ZÁCHYT RANSOMWARU
A VRSTVA OCHRANY KOMUNIKACE OD HEIMDALU

 

Jak to, že dodavatel deklaruje, že jeho antivirus je schopen zachytit ransomware, když mnoho odborníků i obětí útoku tvrdí opak?
S tímto se setkáváme běžně. Nejde o žádnou lež, jde ale o tvrzení poněkud zavádějící.

Jak funguje Antivirus?
Zjednodušeně, každý virus – nebo lépe řečeno malware, se kterým se antivirus setká, podrobí kódové analýze a najde jisté matematické znaky. Podle nich je možné nalézt kód v jakémkoliv souboru vašeho počítače, který se mu podobá, pokud tedy máme aktuální virovou bázi. Takto je schopen zachytit prakticky jakýkoliv malware, ransomware nevyjímaje. Potíž tady je právě v tom, zda se s malwarem, o který nám jde – antivirus již někdy SETKAL:

Ransomware je totiž poměrně jednoduchý program, který hackeři dokáží kompilovat v nových verzích cca každé dvě hodiny. Aby vás před tím ochránil antivirus, museli byste mít při vší smůle velké štěstí: muselo by jít o kmen ransomware, který už váš antivirus zná. A to je málo pravděpodobné.

Jak funguje vrstva ochrany komunikace?
Produkty Thor Foresight obsahují více podvrstev. Ochrana komunikace je však velmi podstatná. Jde o ochranu na úrovni DNS serveru. Server, kam směřujete dotaz na webový zdroj (ať už vy nebo nějaký proces vašeho systému), porovnává váš dotaz s vlastní databází maligních webových adres. Jde o velmi jednoduchou technologii, avšak nad velmi rozsáhlou databází maligních zdrojů. Tu spravuje dánská firma CSIS Security Group, která tuto zpravodajskou činnost provádí na celosvětové úrovni – data sdílí s Europolem, FBI, MI-5, Scotland Yardem a dalšími zainteresovanými autoritami. Aktivně pracuje na internetu i darknetu, spolupracuje s registrátory domén a výrobci webových prohlížečů. Díky tomu má denní přírůstek cca 70 tis. maligních webových adres! Na některé z těchto adres je pravděpodobně Command and Control Centre hackera, který ohrožuje Váš systém!

Behaviorální analýza ransomwaru:
Některé antiviry obsahují vrstvu ochrany založenou na behaviorální analýze ransomwaru. Sleduje, zda v systému nedochází k šifrování více souborů za sebou. Pokud ano, tak proces provádějící tuto aktivitu zastaví. To je samozřejmě důležitá vlastnost. Potíž je v tom, že se moderní ransoware snaží vyřadit antivirus z činnosti (dokonce je schopen restartovat Windows do servisního módu, kde antivirus není spuštěn), nebo ho po podvodném získání patřičných práv vypne. Tento typ ochrany však, není schopen zastavit únik dat, které nejnovější ransomwary provádí, kdy požadují výkupné také za to, že zcizená data nezveřejní.