Не, там сейчас как-то по другому алгоритмы работают. Не надо ничего указывать, кроме исключений для специфического софта. Про создание списков с запретами на изменение я и так знаю - корявый метод.
Самый примитивный поиск сигнатур. По базе ищет сигнатуры уже известных вирусов. Но в случае если что то новое неизвестное, то не заметит. Неизвестное анализируют с помощью эвристик типа правил введенных экспертами. На основании их анализируется последовательность кода исполяющегося в "песочнице". Но это долго уже.
Определённые паттерны действий в сочетании, к примеру, с отсутствием цифровой подписи и временем и местом создания файла, из которого запущен процесс. Эвристики всяко-разные и т.д.
Так. А при сценарии - файловый сервер с антивирусом способным определять активность шифровалки, к серваку штатно подключена юзерская машина пораженная шифровалкой. Антивирь на стороне сервера может "понять", что содержимое файловой системы на лапшу рубят? Я это к тому, что логичнее защищать - сам сервак или воркстейшны. Ясен хрен, что надо все.
Нет. Ему не откуда знать "лапшу" в файлы заливают или так и должно быть. Разве что пытаться контролировать формат файлов перед записью их на диск, но это прямо скажем весьма параноидальный, драконовский и проблемный режим работы, который точно не прокатит для универсальной файлопомойки.
Бэкапы делать надо и права доступа к файлам для приложений жестко ограничивать, в стиле "все запретить и самый минимум разрешить". Т.е. каждая программа имеет под себя отдельного юзера и может читать и писать только "свои" файлы и каталоги. Если всерьез стоит задача защиты - без этого никак.
Это как-то совсем чересчур. Если задача защиты стоит всерьез - то решается это физической изоляцией. Я кстати даже не могу представить себе сценарий, где могло бы понадобится предложенное тобой решение. Разве что только пром.оборудование, но мы сейчас не про это.
У нас у новых внедряемых систем именно так. Хуй поссышь мимо тазика. (с) Вирус шифровальщик самоубьется с тоски.
Да, не прокатит. Да я тут просто листаю мануал на АЗ, там нет внятного и четкого описания ни алгоритма действия превентивной защиты от угроз класса ransomware/encoder.
На второй работе так. Давно. Это лютый пиздец, я тебе доложу. Там даже не юзеры получаются, а тупо операторы.
Решение - только параноидальная безопасность + бэкапы. Да неудобно. Надысь коллегам бинарные логи отправлял, так почтовый антивирь в них трояна увидел. Пришлось бороться уже с антивирем.
Если заплатки не ставить, то все эти ограничения - коту под хвост. До сих компы ломают через BlueKeep и EternalBlue, хотя первую дыру MS закрыла в 2019 году, а вторую - вообще в 2017. Так что обязательно заплатки, плюс никого вообще напрямую из инета не пускать по RDP - только через VPN с отдельной авторизацией. И бэкапы само собой, при чём на отдельном компе, который по сети не должен быть ниоткуда доступен на запись! И виндовыми же средствами запретить юзерам писать в те каталоги, откуда разрешено запускать файлы, и запускать файлы из тех каталогов, куда им можно писать (в первую очеред - из домашнего каталога и темпов), чтобы пришедший по мылу шифровальщик не могли запустить.
Я что-то говорил про винду? Безопасность - это не про нее. Анально огороженные линуксы, это как минимум. Хотя все мы знаем байку про Неуловимого Джо. Безопасней всего система которую вообще не атакуют.
Заплатки и в линухе ставить надо: https://en.wikipedia.org/wiki/Linux.Encoder А если есть виндовые станции, с которых есть доступ к линуховому файлсерверу, то смотри выше...
Везде надо. Только вот линуксь гораздо проще настроить так, что бы у закинутого на сервер трояна прав ни на что не было. Ну и любовно встроенных производителем дыр, для себя любимых, там поменьше. Ибо исходники есть и их можно проверять. Идеально это не спасет, конечно. Система слишком сложна. Но риск меньше. Самая высокая защищенность у небольших, полностью самописных систем, причем с исполняемым кодом лежащим в ROM. Специально на то предназначенных. Но это совсем другой уровень геморроя и анальной боли для разработчиков.