Ну чего там с языками программирования и технологиями?

Не, там сейчас как-то по другому алгоритмы работают. Не надо ничего указывать, кроме исключений для специфического софта. Про создание списков с запретами на изменение я и так знаю - корявый метод.

 

Самый примитивный поиск сигнатур. По базе ищет сигнатуры уже известных вирусов. Но в случае
если что то новое неизвестное, то не заметит.
Неизвестное анализируют с помощью эвристик типа правил введенных экспертами. На основании их анализируется последовательность кода исполяющегося в "песочнице". Но это долго уже.

 

Со списком переименования.

 

Определённые паттерны действий в сочетании, к примеру, с отсутствием цифровой подписи и временем и местом создания файла, из которого запущен процесс.
Эвристики всяко-разные и т.д.

 

Только это в лоб не решается. 1 пропущенное обновление и натепожалста.

 

Так. А при сценарии - файловый сервер с антивирусом способным определять активность шифровалки, к серваку штатно подключена юзерская машина пораженная шифровалкой. Антивирь на стороне сервера может "понять", что
содержимое файловой системы на лапшу рубят?

Я это к тому, что логичнее защищать - сам сервак или воркстейшны. Ясен хрен, что надо все.

 

Нет. Ему не откуда знать "лапшу" в файлы заливают или так и должно быть.

Разве что пытаться контролировать формат файлов перед записью их на диск, но это прямо скажем весьма параноидальный, драконовский и проблемный режим работы, который точно не прокатит для универсальной файлопомойки.

 

Бэкапы делать надо и права доступа к файлам для приложений жестко ограничивать, в стиле "все запретить и самый минимум разрешить".
Т.е. каждая программа имеет под себя отдельного юзера и может читать и писать только "свои" файлы и каталоги.

Если всерьез стоит задача защиты - без этого никак.

 

Это как-то совсем чересчур. Если задача защиты стоит всерьез - то решается это физической изоляцией.

Я кстати даже не могу представить себе сценарий, где могло бы понадобится предложенное тобой решение. Разве что только пром.оборудование, но мы сейчас не про это.

 

У нас у новых внедряемых систем именно так.

Хуй поссышь мимо тазика. (с)

Вирус шифровальщик самоубьется с тоски.

 

Да, не прокатит. Да я тут просто листаю мануал на АЗ, там нет внятного и четкого описания ни алгоритма действия превентивной защиты от угроз класса ransomware/encoder.

 

На второй работе так. Давно. Это лютый пиздец, я тебе доложу. Там даже не юзеры получаются, а тупо операторы.

 

Либо удобство, либо безопасность. К сожалению так.

 

Увы, согласен...

 

Решение - только параноидальная безопасность + бэкапы.
Да неудобно. Надысь коллегам бинарные логи отправлял, так почтовый антивирь в них трояна увидел. Пришлось бороться уже с антивирем.

 

Если заплатки не ставить, то все эти ограничения - коту под хвост. До сих компы ломают через BlueKeep и EternalBlue, хотя первую дыру MS закрыла в 2019 году, а вторую - вообще в 2017.
Так что обязательно заплатки, плюс никого вообще напрямую из инета не пускать по RDP - только через VPN с отдельной авторизацией. И бэкапы само собой, при чём на отдельном компе, который по сети не должен быть ниоткуда доступен на запись!
И виндовыми же средствами запретить юзерам писать в те каталоги, откуда разрешено запускать файлы, и запускать файлы из тех каталогов, куда им можно писать (в первую очеред - из домашнего каталога и темпов), чтобы пришедший по мылу шифровальщик не могли запустить.

 

Я что-то говорил про винду?

Безопасность - это не про нее.

Анально огороженные линуксы, это как минимум.

Хотя все мы знаем байку про Неуловимого Джо.
Безопасней всего система которую вообще не атакуют.

 

Заплатки и в линухе ставить надо:
https://en.wikipedia.org/wiki/Linux.Encoder

А если есть виндовые станции, с которых есть доступ к линуховому файлсерверу, то смотри выше...

 

Везде надо.

Только вот линуксь гораздо проще настроить так, что бы у закинутого на сервер трояна прав ни на что не было.

Ну и любовно встроенных производителем дыр, для себя любимых, там поменьше.
Ибо исходники есть и их можно проверять.

Идеально это не спасет, конечно. Система слишком сложна.
Но риск меньше.

Самая высокая защищенность у небольших, полностью самописных систем, причем с исполняемым кодом лежащим в ROM. Специально на то предназначенных.

Но это совсем другой уровень геморроя и анальной боли для разработчиков.