Δωρεάν "εμβόλιο" για την αντιμετώπιση μολύνσεων από ransomware, από την Bitdefender

[nnn]

Η ετιαρία ασφαλείας Bitdefender έκανε διαθέσιμο ελεύθερα ένα "εμβόλιο" που προστατεύει τους υπολογιστές από μόλυνση με ransomware.

Το Bitdefender Antiransomware vaccine παρέχει προστασία από τις CTB-Locker, Locky και TeslaCrypt εκδόσεις ransomware, εμφανίζοντας το σύστημα ψευδώς μολυσμένο στην περίπτωση που πάνε να το μολύνουν. Έτσι "ξεγελάει" τον μηχανισμό ελέγχου που έχουν ώστε να μην μολύνουν ξανά υπολογιστή που έχει πέσει θύμα τους.

Various strains of ransomware, such as versions of Locky and TeslaCrypt, often use a system where it will detect if a computer has been infected by the ransomware in the past and had its files encrypted. Bitdefender’s new software claims that it can fake these checks so if your computer ever encounters ransomware, the virus will skip it.

“The new tool is an outgrowth of the Cryptowall vaccine program, in a way,” said Bitdefender chief security strategist, Catalin Cosoi. “We had been looking at ways to prevent this ransomware from encrypting files even on computers that were not protected by Bitdefender antivirus and we realized we could extend the idea.”[/i]

Πηγή : Digital Trends

Bitdefender Labs

[intech]

Ο πρώτος που θα το δοκιμάσει, ας μας αναφέρει εντυπώσεις.

[sdikr]

Ο πρώτος που θα το δοκιμάσει, ας μας αναφέρει εντυπώσεις.

Για να το δοκιμάσει σωστά θα πρέπει να τρέξει και τον cryptovirus, δύσκολα

[NexTiN]

Θα νοσήσει (πυρετό) άραγε ο υπολογιστής για λίγες μέρες, όπως γίνεται με τα κανονικά εμβόλια??

[Deus]

Ερε γλέντια που έρχονται με κάποια antivirus που θα βρίσκουν το εμβόλιο σαν ransomware... σύννεφο τα false detections!

[sweet dreams]

Η έμπνευση αυτή από που τους ήρθε;;; από το World War Z;;;

[johnson]

Εγώ πάντως το έβαλα για δοκιμή, τρέχει στην εκκίνηση, εμφανίζεται στο tray icon και αναμένει το ransomware να κάνει την εμφάνιση του... (αμ δε)

[tsigarid]

Πολύ αθώα προσέγγιση μου ακούγεται, οι "κακοί" απλά πρέπει να απενεργοποιήσουν τον έλεγχο για τον αν ο υπολογιστής είναι μολυσμένος, και τέλος το εμβόλιο.

[johnson]

Ναι προφανώς αλλά ο σκοπός τους είναι να χτυπήσουν τα υπάρχοντα ransomware που γνωρίζουν πως δουλεύουν (ποια αρχεία και registry keys κάνουν access κλπ.) και όχι τις μελλοντικές εκδόσεις αυτών.

My bad.

Bitdefender anti-malware researchers have released a new vaccine tool which can protect against known and possible future versions of the CTB-Locker, Locky and TeslaCrypt crypto ransomware families.

[biggeo65]

Η λύση για όλα αυτά είναι απλή. Δεν εγκαθιστούμε,ανοίγουμε ότι να'ναι,
και δεν αφήνουμε πρόγραμμα να τρέχει μέσα από το C:\Users\username\AppData.
Κι κάνουμε συχνά βαψκθπ των σημαντικών δεδομένων.

Μέχρι σήμερα τα Ransomware εκεί εγκαθίστανται κι από εκεί τρέχουν.

Τα περι εμβολίου απλά προσθέτουν ακόμη μια εφαρμογή στην έναρξη
χωρίς να είναι σίγουρο το αποτέλεσμα.

[netlag]

διαφωνώ κάθετα. Τα ransomware είναι μακράν οι πιο "εξυπνοι" ιοι, και ταυτόχρονα έχουν καταστροφικά αποτελέσματα. Προφανώς ισχύει οτι ο γνωστης είναι πιο ασφαλής, αλλά σε ενα εργασιακό περιβάλλον δεν ειναι δεδομένη ούτε η υπαρξη γνωστή, ούτε η υπαρξή κοινού επιπέδου γνωσεων μεταξύ χρηστών του ιδιου πχ fileserver. Κοινως ο γνωστης δεν θα σώσει την κατάσταση όταν ο αδαης τρέξει το exe που ηρθε στο email του, και παει και κρυπτογραφήσει όλα τα network shares.

Μπορεί στο Appdata να τρέχουν τα γνωστα strains, αλλά δεν λέει κάτι. Μπορεί οποιοδηποτε αλλο strain να τρέξει από αλλου.

To backup δεν είναι λύση στο προβλημα, είναι μπάλωμα. Φυσικά είναι ανεκτίμητη η υπαρξη backup ειδικά προσφατου, διαφορετικά ή απλά πλήρωνεις, ή παρακαλάς, ή χάνεις τα δεδομένα σου. Αλλά δεν είναι λίγα τα περιστατικά που το backup επίσης κρυπτογραφήθηκε. Αλλά ναι αν την γλυτωσε το backup, τουλάχιστον διατηρείς τα δεδομένα.

Έχουν ήδη ξεκινήσει ransomwares που κάνουν encrypt όλο τον δισκο με το πρώτο reboot από τη στιγμή της μολυνσης. Και διαρκώς εξελίσσονται.

Όλα αναξαιρέτως τα antivirus είναι άχρηστα! Από ransomware δεν προστατευει κανένα. Ενδιαφέρουσα λοιπον η πρόταση της bit defender, οπώς και ενα beta anti ransomware της Malware Bytes. Που αν κάνουν δουλεια είναι μια επιπλεον βοηθεια/προληψη!

Όλοι όσοι είναι πισω απο αυτη τη μπιζνα με τα ransomware κονομανε. Και όσο κονομάνε τα ransomware θα είναι undetectable, και πάντα μπροστά από τα AV definitions. Η μόνη λύση είναι σε επίπεδο OS και hardware. Να υπάρχει synergy κλπ, και να εντοπίζει μονο του το μηχανημα unauthorized προσπαθεια κρυπτογράφησης και να τη σταματαει.

[sweet dreams]

όταν ο αδαης τρέξει το exe που ηρθε στο email του, και παει και κρυπτογραφήσει όλα τα network shares.

Όλα αναξαιρέτως τα antivirus είναι άχρηστα! Από ransomware δεν προστατευει κανένα.

Eρώτηση αδαούς, αν το ΑV που έχεις δεν τρέχει exe που δεν έχει στην βάση δεδομένων του ας χτυπιέσαι εσύ να το τρέξεις και σε ρωτάει με επιμονή μήπως κάνεις λάθος, πάλι άχρηστο είναι;;;

[netlag]

Eρώτηση αδαούς, αν το ΑV που έχεις δεν τρέχει exe που δεν έχει στην βάση δεδομένων του ας χτυπιέσαι εσύ να το τρέξεις και σε ρωτάει με επιμονή μήπως κάνεις λάθος, πάλι άχρηστο είναι;;;

ποιο AV είναι αυτό που λες; Πάντως το ζητούμενο με τα antivirus είναι να βρίσκουν την απειλή και να την σταματούν. Όχι να σου υπαγορευουν τι να τρεξεις και τι όχι με βαση τους servers τους. Σίγουρα με σωστό σεταρισμα αυτο που λες θα είχε επιτυχία, αλλα δεν είναι λύση, είναι μόνο μια πρακτική που σε δενει χειροποδαρα.

Όταν λοιπόν λέω οτι τα AV είναι άχρηστα, εννοω ότι ο εντοπισμός απειλών βασίζεται σε definitions. Στην περίπτωση των ransomware, υπάρχει κίνητρο οικονομικό από τους developers των ιων να αλλάζουν signatures των εκτελέσιμων τους τόσο συχνα ωστε να είναι πάντα μέρες ή βδομάδες μπροστά από τα definitions και να ειναι undetectable.

Η λύση είναι το pc, λόγω λειτουργικού και hardware να αντιλαμβάνονται ότι πάει να ξεκινήσει διαδικασία κρυπτογράφησης, ή οποία αν δεν είναι authorized να αποτυγχάνει.

[sweet dreams]

ποιο AV είναι αυτό που λες; Πάντως το ζητούμενο με τα antivirus είναι να βρίσκουν την απειλή και να την σταματούν. Όχι να σου υπαγορευουν τι να τρεξεις και τι όχι με βαση τους servers τους. Σίγουρα με σωστό σεταρισμα αυτο που λες θα είχε επιτυχία, αλλα δεν είναι λύση, είναι μόνο μια πρακτική που σε δενει χειροποδαρα.

Όταν λοιπόν λέω οτι τα AV είναι άχρηστα, εννοω ότι ο εντοπισμός απειλών βασίζεται σε definitions. Στην περίπτωση των ransomware, υπάρχει κίνητρο οικονομικό από τους developers των ιων να αλλάζουν signatures των εκτελέσιμων τους τόσο συχνα ωστε να είναι πάντα μέρες ή βδομάδες μπροστά από τα definitions και να ειναι undetectable.

Η λύση είναι το pc, λόγω λειτουργικού και hardware να αντιλαμβάνονται ότι πάει να ξεκινήσει διαδικασία κρυπτογράφησης, ή οποία αν δεν είναι authorized να αποτυγχάνει.

Το Κaspersky, δεν τρέχει τίποτα άγνωστο και ότι έχω προσπαθήσει να τρέξω σε υπολογιστή δοκιμών για να δω τι θα γίνει αφαιρεί αρχεία από αυτό που πας να τρέξεις και τελικά δεν γίνεται τίποτα. Μένει ο φάκελος κενός ή έχει μέσα μόνο άχρηστα αρχεία ή screenshots.
Aργεί λίγο το σύστημα με την full ρύθμιση γιατί κάνει έλεγχο συνέχεια ακόμη και σε ότι είναι μόνιμα εγκατεστημένο στον υπολογιστή. Υπάρχουν προγράμματα, π.χ. Revo που κάνουν αρκετά δευτερόλεπτα για να ανοίξουν αλλά το συνηθίζεις.

[biggeo65]

ποιο AV είναι αυτό που λες; Πάντως το ζητούμενο με τα antivirus είναι να βρίσκουν την απειλή και να την σταματούν. Όχι να σου υπαγορευουν τι να τρεξεις και τι όχι με βαση τους servers τους. Σίγουρα με σωστό σεταρισμα αυτο που λες θα είχε επιτυχία, αλλα δεν είναι λύση, είναι μόνο μια πρακτική που σε δενει χειροποδαρα.

Όταν λοιπόν λέω οτι τα AV είναι άχρηστα, εννοω ότι ο εντοπισμός απειλών βασίζεται σε definitions. Στην περίπτωση των ransomware, υπάρχει κίνητρο οικονομικό από τους developers των ιων να αλλάζουν signatures των εκτελέσιμων τους τόσο συχνα ωστε να είναι πάντα μέρες ή βδομάδες μπροστά από τα definitions και να ειναι undetectable.

Η λύση είναι το pc, λόγω λειτουργικού και hardware να αντιλαμβάνονται ότι πάει να ξεκινήσει διαδικασία κρυπτογράφησης, ή οποία αν δεν είναι authorized να αποτυγχάνει.

Ας αλλάζουν όσα signatures θέλουν, αν το antivirus απομονώσει το εκτελέσιμο δεν μπορεί να κάνει κάτι.
Αν δεν επιτρέπεις να τρέχουν .exe μέσα από το AppData πάλι δεν μπορεί να γίνει κάτι.

Αν πάει να εγκατασταθεί αλλού έχεις ειδοποίηση για την εγκατάσταση,οπότε αν το δεχτείς,
δεν φταίει το Ransomware αλλά εσύ που το επέτρεψες.

Όσο για τις εταιρείες αν το δίκτυο τους μολύνεται τόσο εύκολα από κάποιο ransomware
που έτρεξε ένας χρήστης τοπικά στον υπολογιστή του,τότε δύο πράγματα συμβαίνουν:

Α) Ή ο διαχειριστής δικτύου δεν ξέρει την δουλειά του ή το πιο πιθανό στην Ελλάδα,
Β) Δεν υπάρχει διαχειριστής δικτύου.
Και στις δυό περιπτώσεις ας πρόσεχε η εταιρεία.

Αλλά σε επιπεδο οικιακής χρήσης, οικιακού δικτύου, λίγο αν προσέχεις δεν προκειται να μολυνθείς.
Για να ξεκινήσει η κρυπτοιγράφηση:

A) Θα πρέπει το εκτελέσιμο να τρέξει μέσα από το AppData
Β) Θα πρέπει να αλλάξουν κλειδιά στο μητρώο.
Γ) Να ξεκινήσει ο ίδιος ο χρήστης την εγκατάσταση.

Αν το AV βρεί και σε ειδοποιήσει για το εν λόγω .exe,
Aν σε ειδοποιεί ότι πρόκειται να γίνει αλλαγή σε κλειδιά μητρώου,
Αν σε ειδοποιεί ότι κάποιο νέο πρόγραμμα θα τρέξει στην επόμενη επανεκκίνηση

Και παρ'όλες τις ειδοποιήσεις ο χρήστης μολυνθεί,πρόκειται για βλακεία του χρήστη,
κι όχι για τις τυχόν ικανότητες που έχει το οποιοδήποτε Ransomware.

Κι ακόμη και μετά την μόλυνση αν δεν έχει backup τα σημαντικά αρχεία σε εξωτερικό δίσκο
πάλι φταίει ο χρήστης κι όχι το οποιοδήποτε Ransomware.