shadow_member
Platinum Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Как же работает SBGuard Anti-Ransomware? Похоже, это не совсем понятно. SBGuard и ей подобные программы (CryptoPrevent, SRPPrevent) используют официальные возможности групповой политики Windows. Вносят в реестр [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\0\Paths] от 700 до 17000 записей, в зависимости от программы. У Ransomware есть 2 этапа, прежде чем он заражает и шифрует: SBGuard блокирует доставку и выполнение вредной нагрузки через Интернет или электронную почту. 1. Доставка. Ransomware использует социальную инженерию и фишинг, чтобы заманить пользователей на ссылки, главным образом через электронные письма (ссылки или вложения) и браузеры. Эти 2 метода подтверждены в 99% случаев. 2. Выполнение. Когда пользователи нажимают на ссылку, она выполняет какой-то скрипт. Это может быть exe, vbs, js, scr и т.д. Скрипт выполняется (автоматически в фоновом режиме, если вы этого не видите), он загружает Ransomware и доставляет полезную нагрузку (заражение). SBGuard защищает 1-й этап. Он ограничивает сотни действий, выполняемых сотнями Ransomware, когда они пытаться доставить полезную нагрузку. Например, он не позволяет запускать определенные типы файлов из определенных мест. Это предотвратит поддельные типы файлов с двойным расширением (например, Manual.pdf.exe), и множество другого. Он автоматически защитит от запуска макросов в документах и ​​т.д. Если тест SBGuard был выполнен простым запуском исполняемого файла Ransomware с флешки или рабочего стола, он не будет блокировать его. Здесь это должен делать АНТИВИРУС. После того, как SBguard заблокирует доставку, поведение Ransomware должно быть уловлено вашим антивирусом и Ransomware должно быть заблокировано. Еще один пример приведенного выше объяснения. Пользователь получает фишинговое письмо. Нажимает на ссылку, которая выводит на веб-страницу, где javascript (например) развертывает исполняемый файл на компьютере пользователя. Этими исполняемыми файлами могут быть различные типы файлов. Например, exe, com, cmd, bat, js, jse, scr и т.д. Эти файлы разворачиваются на компьютере пользователя, и как только автоматически выполнятся, они будут развертывать Ransomware. SBGuard вводит правила в Windows, которые предотвращают выполнение таких и аналогичных файлов Ransomware. Теперь вы не можете просто отключить эти расширения, вам нужно настроить таргетинг на места, где эти файлы могут выполняться. Например, большинство из них любят делать это из% TEMP% или% APPDATA%. Это всего лишь 2 примера, а в SBGuard включено около 700 возможных мест и комбинаций типов файлов. После того, как вредная нагрузка блокируется правилами SBGuard, компьютерный антивирус должен воспринимать это поведение и помещать Ransomware в карантин. SBGuard контролирует и блокирует различные входы (векторы атаки), сделанные террористом (malwarewriter), чтобы поместить бомбу (Ransomware) в здание (ОС). Если же бомба попала в здание, то теперь охранники (AV) должны найти (карантин) бомбу. Если бомба уже находится в здании, SBGuard бесполезна. SBGuard охраняет дверь, AV защищает внутри дома. Кроме того, отключение WSH (Windows Script Host) предотвращает запуск сценариев Java и VBS в любом месте системы, они часто используются злоумышленниками. |