shadow_member
Platinum Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Как же работает SBGuard Anti-Ransomware? Похоже, это не совсем понятно.
SBGuard и ей подобные программы (CryptoPrevent, SRPPrevent) используют официальные возможности групповой политики Windows. Вносят в реестр [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\0\Paths] от 700 до 17000 записей, в зависимости от программы.
У Ransomware есть 2 этапа, прежде чем он заражает и шифрует:
SBGuard блокирует доставку и выполнение вредной нагрузки через Интернет или электронную почту.
1. Доставка. Ransomware использует социальную инженерию и фишинг, чтобы заманить пользователей на ссылки, главным образом через электронные письма (ссылки или вложения) и браузеры. Эти 2 метода подтверждены в 99% случаев.
2. Выполнение. Когда пользователи нажимают на ссылку, она выполняет какой-то скрипт. Это может быть exe, vbs, js, scr и т.д. Скрипт выполняется (автоматически в фоновом режиме, если вы этого не видите), он загружает Ransomware и доставляет полезную нагрузку (заражение).
SBGuard защищает 1-й этап. Он ограничивает сотни действий, выполняемых сотнями Ransomware, когда они пытаться доставить полезную нагрузку.
Например, он не позволяет запускать определенные типы файлов из определенных мест. Это предотвратит поддельные типы файлов с двойным расширением (например, Manual.pdf.exe), и множество другого. Он автоматически защитит от запуска макросов в документах и ​​т.д.
Если тест SBGuard был выполнен простым запуском исполняемого файла Ransomware с флешки или рабочего стола, он не будет блокировать его. Здесь это должен делать АНТИВИРУС.
После того, как SBguard заблокирует доставку, поведение Ransomware должно быть уловлено вашим антивирусом и Ransomware должно быть заблокировано.
Еще один пример приведенного выше объяснения.
Пользователь получает фишинговое письмо. Нажимает на ссылку, которая выводит на веб-страницу, где javascript (например) развертывает исполняемый файл на компьютере пользователя.
Этими исполняемыми файлами могут быть различные типы файлов. Например, exe, com, cmd, bat, js, jse, scr и т.д. Эти файлы разворачиваются на компьютере пользователя, и как только автоматически выполнятся, они будут развертывать Ransomware.
SBGuard вводит правила в Windows, которые предотвращают выполнение таких и аналогичных файлов Ransomware. Теперь вы не можете просто отключить эти расширения, вам нужно настроить таргетинг на места, где эти файлы могут выполняться. Например, большинство из них любят делать это из% TEMP% или% APPDATA%. Это всего лишь 2 примера, а в SBGuard включено около 700 возможных мест и комбинаций типов файлов. После того, как вредная нагрузка блокируется правилами SBGuard, компьютерный антивирус должен воспринимать это поведение и помещать Ransomware в карантин.
SBGuard контролирует и блокирует различные входы (векторы атаки), сделанные террористом (malwarewriter), чтобы поместить бомбу (Ransomware) в здание (ОС). Если же бомба попала в здание, то теперь охранники (AV) должны найти (карантин) бомбу. Если бомба уже находится в здании, SBGuard бесполезна.
SBGuard охраняет дверь, AV защищает внутри дома.
Кроме того, отключение WSH (Windows Script Host) предотвращает запуск сценариев Java и VBS в любом месте системы, они часто используются злоумышленниками. |
