Antivírusový špecialista Sophos predstavuje technologické novinky a riešenia proti ransomvéru priamo vo svojom kamióne.
Sophos InterceptX truck je kamión, ktorý putuje po Európe so zastávkou v Bratislave. Nachádza sa v ňom prezentačné centrum, ktoré predstavuje možnosti ochrany InterceptX a názorne ukazuje šifrovanie súborov ransomvérom.
Tradičné ochrany už neplatia
Organizované skupiny v minulosti posielali phisnigové kódy so zlou angličtinou alebo veľmi zle lokalizované. Dnes „spolupracujú“ s lokálnymi ľuďmi, ktorí im vytvoria dokonale preložený email a ten sa potom veľmi ťažko rozpoznáva.
Tradičný malware sa dá zachytiť v 95% prípadov. Pri pokuse o jeho stiahnutie do PC, URL filtrovaním, sledovaním reputácie sťahovaných súborov. Ďalej 10% z toho zachytí heuristická analýza a pravidlá správania kódu. No a zvyšných 5% je zachytených na základe známych malwarových skupín.
Bežne antivírus zachytí škodlivý kód aj pri pokuse spustenia z podvrhnutého flash disku. Kontrolné mechanizmy majú ochranu, ktorá kontrolu pripojené dátové zariadenia.
Moderné hrozby treba kontrolovať na základe toho, aké systémové zdroje požadujú a kam sa snažia získať prístup. To je podľa Sophosu zhruba 3%, Ochrana proti exploitom je na úrovni 2%, no práve tu môžu škodlivé kódy preniknúť do PC. Skener škodlivých kódov sa teda zameriava na detekciu techník, ktorý využívajú exploity. Teda aplikácie zameraný na hľadanie zraniteľností v systéme a ich zneužívanie.
InterceptX
InterceptX chráni proti ransomvéru. Rozpozná a zastaví neautorizované pokusy o šifrovanie dát. Zároveň je to ochrana proti tzv. Zero-day hrozbám. Teda takým, na ktoré ešte nie sú antivírusové definície, no už sa šíria po internete. Tretia vlastnosť je čistenie od malwaru. Štvrtá je prevencia, kedy sa analyzuje, čo sa stalo, na akých miestach, aby ochranný softvér vedel reagovať lepšie do budúcna na tento typ hrozby.
CryptoGuard dohliada na dokumenty a sleduje ich konzistenciu. Teda napríklad bežný RTF dokument vieme prečítať a aj iné programy. Problém je keď súbor tohto typu nevie ochranný mechanizmus prečítať. Vtedy je jasné, že nastala nejaká chyba a toto nie je legitímny súbor.
CryptoGuard analyzuje aj sieťové ransomvéry. Keďže ale na diaľku nevie vypnúť proces bežiaci na inom PC, odstrihne tento program od prístupu k nášmu počítaču.
Ransomvér je rýchly aj vďaka tomu, že preskakuje nepodstatne súbory, napríklad EXE. Tie pre používateľa nemajú hodnotu. Zameriava sa na DOC, JPEG, PNG, XLS a vďaka tomu môže byť taký rýchly.
Vďaka CPU Intel Core i3/i5/i7 majú antivírusové programy prístup priamo k inštrukciám a kódy sa tak ťažšie skryjú. Keďže Windows by na úrovni systémových procesov antivírusové skenery všade nepustil.
Softvér sa dá manažovať na diaľku a tak ho bežný používateľ nemôže vypnúť. Zachytené hrozby sa zobrazujú vo webovom rozhraní po prihlásení administrátora. Takisto na diaľku. Nemusí byť súčasťou siete, kde nastal incident.
