ЭФФЕКТИВНАЯ ЗАЩИТА от шифровальщиков

о. Тольятти

(Ransomware), среди которых наиболее часто встречаются шифровальщики, блокирующие файлы пользователя

и требующие за восстановление данных выкуп. Таким образом, вышеперечисленные угрозы могут нанести значительный ущерб, вследствие чего появилась идея разработать приложение, основная цель которого – защитить компьютер от хакерских атак и предотвратить заражение системы.

Объектом исследований является защита от троянских программ-шифровальщиков.

Предметом исследований – антивирусные утилиты.

Цель – создание двух антивирусных утилит для очистки компьютера от уже присутствующих на территории системы угроз, а также для защиты от нового, еще неизвестного вредоносного и потенциально опасного программного обеспечения.

средств защиты
Использовать “облачные” определения, т. е. анализ еще неизвестных утилитам

файлов на собственном сервере
Разработать эвристический анализатор угроз по характерному для них поведению
Обеспечивать пользователю безопасную рабочую среду
Использовать распределение нагрузки на центральный процессор для комфортной работы

Главные задачи

Windows (CMD, BAT)

Исправление кода:
Pe Explorer

Тестирование приложения (виртуальные среды):
Oracle VirtualBox
VmWare Workstation

Сайты-архивы

вирусов:
VirusShare.com
VirusSign.com
Malc0de.com
MalShare.com
VxVault.net

оптимизация реестра системы в режиме реального времени
Защита USB/CD/DVD съемных носителей

от заражения autorun-зловредами
Защита Интернет-соединения
Защита от фишинговых, мошеннических и вредоносных веб-ресурсов
HIPS (поведенческий) анализатор
Возможность использования на серверах и в корпорациях
Защита от подмены системных файлов
Комплексная защита автозагрузки системы

безопасности данных
Защита от DoS и DDoS атак в реальном времени
Ведение

лог-файла для удобства пользователя
Флэш-вакцинация — «прививка» от наиболее распространенных USB червей
Наличие новой разработки — «файлового ревизора»
Наличие центра управления отчетами антивируса в процессе работы
Защита всех протоколов сети (включая Wi-Fi)
Предотвращение установки вредоносных драйверов
Простой и интуитивно понятный интерфейс

заражения
Механизм заражения исполняемых файлов. Изменения в структуре исполняемого файла после

заражения

виде окна обнаружения, звукового сигнала и отсчета времени. По истечении

15 секунд объект перемещается в карантин

Новые антивирусные базы, а также исправления модулей программы выпускаются один раз в день

корне диска
Заморозка подозрительных процессов по PID
Процессы, получавшие доступ к записи

в файл

Наблюдение за изменениями

Запись контрольной MD5 хеш-суммы

Изменение (шифрование) данных обнаружено

Themida
Упакованный файл
А
Н
Т
И
В
И
Р
У
С
Заражённый
Ф
а
й
л

Scan

Проверка критических директорий Windows, System32, Wbem и временных папок

на наличие неизвестных исполняемых файлов
Отсеивание безопасных образцов по белому списку с использованием контрольной MD5 хеш-суммы
Загрузка неизвестных объектов на контрольный сервер
Специальный комплекс проверяет файлы на наличие вредоносного кода
Объекты запускаются в песочнице Sandbox, происходит анализ поведения в памяти
Ответ от сервера о степени риска файлов

администратора;
RAM: 512 Мб;
Процессор: 300 MHz и выше;
Не менее 50Мб свободного

места;
Интернет-соединение со скоростью не менее 500 КБ/c
Манипуляторы:
мышь

&H21&, VarPtr(&H8000F129), &H4&
If App.PrevInstance = True Then End
Me.Hide
ChDir App.Path
CurDir App.Path
Text1

= ""
Form3.Show
Dim hSnapShot As Long
Dim uProcess As PROCESSENTRY32
Dim r As Long
hSnapShot = CreateToolhelpSnapshot(TH32CS_SNAPPROCESS, 0&)
If hSnapShot = 0 Then
Exit Sub
End If
uProcess.dwSize = Len(uProcess)
r = ProcessFirst(hSnapShot, uProcess)
Do While r
Text1 = Text1 + " " + uProcess.szExeFile
r = ProcessNext(hSnapShot, uProcess)
Loop
Call CloseHandle(hSnapShot)
Randomize
(2)
If FileLen(Environ("windir") & "\system32\MSCOMCTL.OCX") = 0 Then FileCopy App.Path & "\MSCOMCTL.OCX", Environ("windir") & "\system32\MSCOMCTL.OCX"
(3)
If Not Command Like "*/Start=*" & Date & "*" Then End