[Цитировать]

    korsak7
  • 107
  • Стаж: 9 лет
  • Сообщений: 1063
  • Репутация:62

    [+] [-]
http://habrahabr.ru/company/eset/blog/250565/
Авторитетный веб-ресурс VirusTotal, который является наиболее распространенным сервисом онлайн-проверки файлов и URL-ссылок различными AV-сканерами, внедрил дополнительный механизм уведомления о т. н. false positive. Под этим понятием подразумевается чистый (не зараженный) файл, обнаруживаемый (ошибочно) как вредоносная программа одним или несколькими антивирусными сканерами. Сами false positive являются довольно распространенным явлением и обнаружение с чистого файла может быть убрано вендором за несколько часов, тем не менее, такой подход вводит пользователя в заблуждение.
Одним из механизмов, которые VirusTotal уже давно ввел для защиты от false positive, является голосование за статус файла. Пользователь сервиса или член сообщества может проголосовать за файл статусом «Вреден» или «Безвреден». Такой механизм проверки позволяет оценить достоверность вердиктов AV-сканеров, кроме этого, он помогает выявить потенциально вредоносные файлы еще до того, как они начнут обнаруживаться вендорами. В случае присутствия очень большого количества голосов «Безвреден» можно говорить о том, что файл чист, а если файл обнаруживается антивирусом, то мы имеем дело с false positive.
Новая функция VirusTotal вводит дополнительную проверку на наличие false positive, а также показывает пользователю специальное уведомление. Такое уведомление показано ниже на скриншоте который был взят с блога VirusTotal, упоминавшегося выше. Речь идет о стандартном приложении Windows «калькулятор», которое сам сервис посчитал чистым, вне зависимости от вердикта AV-сканеров.

[Цитировать]

    Diver
  • 130
  • Стаж: 9 лет
  • Сообщений: 11
  • Репутация:1

    [+] [-]
VirusTotalUpload
Малюсенькая программка для загрузки выбранного файла на VirusTotal,
входит в состав AnVir Task Manager, работает как самостоятельное приложение.
Скачать

[Цитировать]

    SunOK
  • 9
  • Стаж: 9 лет
  • Сообщений: 352
  • Репутация:32

    [+] [-]
  • Откуда: Україна, Перлина Поділля
Здравствуйте!
Сечас очень модно ссылаться на Вирустотал(возможно есть и другие платформы) в доказательство наличия или отсутствия злумышленного действия прграммы. Но судить только по показателям эврестического анализа непрвильно, только по сигнатурам - это может быть не актуально или заведомо ложно("борцуны с пирацтвом"), только по голосованию - достоверности нет.
Итого, мы получаем в комлексе вероятностную оценку, "может быть, а может и не быть".
Выяснять самостоятельно на виртуальной ОС или в так называемой "песочнице" можно долго и нудно, зависит еще и от собственной сообразительности. А уж как обнаружить похитителя данных даже не представляю.
Собственно вопрос заключается в следующем: как пользоваться компьютером, но при этом пользовательские данные не угнали и не зашифровали?

[Цитировать]

    Ander_73
  • 15549
  • Стаж: 7 лет 8 месяцев
  • Сообщений: 3783
  • Репутация:127

    [+] [-]
SunOK, на вопрос "как дальше жить" навскидку два совета:
1. Использование ограниченной в правах учётной записи. Использование "Администратора" только в случае установки софта\драйверов\системных правок.
2. Использование time-machine типа Deep Freeze, RollBack RX + не лениться делать бекап.

[Цитировать]

    zxen
  • 32
  • Стаж: 9 лет
  • Сообщений: 263
  • Репутация:21

    [+] [-]
  • Откуда: Siberia
aa Как ни банально, 100% уверенности, дает ТОЛЬКО бэкап)
Заблочил на работе, на юзеровских компах, запуск всяческих скриптов - wsh, js, vb.. и.т.д Которые используют модные в последнее время шифровщики.
Буквально вот неделю назад, с письмом залезла гадость под названием spora - шифровщик, причем умеющий шифровать сетевые ресурсы.
Антивирус на почтовом сервере спокойно прохлопал ушами, на вирустотале только касперский заподозрил что то неладное.
Код шифровщика был уже в скрипте .cmd, замаскированный под экселвский файл. Пришлось скрепя сердце заблочить и запуск cmd, и надеяться что это не вызовет каких-либо неприятных последствий в работе.
Конечно можно запретить все и вся, но это вызовет такие неудобства в работе, что сам не рад будешь.


Последний раз редактировалось: zxen (2017-09-24 19:12), всего редактировалось 3 раз(а)

[Цитировать]

    korsak7
  • 107
  • Стаж: 9 лет
  • Сообщений: 1063
  • Репутация:62

    [+] [-]
Я вчера хотел предложить zxen сделать в VirusTotal Scan http://usbtor.ru/viewtopic.php?t=1222 отключаемый фильтр для окна просмотра результатов. Чтоб отсеивало мутную эвристику типа "generic", "heuristic" и т.д. в выводе результатов.
Да и половину антивирусов можно априори исключить af
И кнопку отключения фильтра назвать "А можно всех посмотреть"

[Цитировать]

    Adler
  • 1708
  • Стаж: 9 лет
  • Сообщений: 1204
  • Репутация:65

    [+] [-]
  • Откуда: Луганск
Имхо, панацеи не существует. Если есть какие то действительно важные данные, которые боишься потерять (фото, хом видео, документы и т.д.), то хранить это надо либо на изолированном от сети ПК, либо на внешнем накопителе. А если компьютер подключен к сети, то будь морально готов это все потерять.

[Цитировать]

    SunOK
  • 9
  • Стаж: 9 лет
  • Сообщений: 352
  • Репутация:32

    [+] [-]
  • Откуда: Україна, Перлина Поділля
Отдельный терабайтник для ноутбука как раз был приобретен под архиважные склады. Осталось выяснить как его по быстренькому подключать к ПК, если приспичит что-то оттуда вытащить.
Всё чаще задумываюсь над карманом с блокировкой записи. Ибо перезагружать ПК для подсоединения архивного ЖД как-то непродуктивно.
Про бэкапы помню!-)
Всем спасибо! fr Наверно прекратим отклонение от темы...

[Цитировать]

    korsak7
  • 107
  • Стаж: 9 лет
  • Сообщений: 1063
  • Репутация:62

    [+] [-]
SunOK, как вариант без отключения архивного винта - прога Hide.Folders - паролит папки, есть ключи команд. строки. У меня сделан батник - снимает пароль с папки(разрешает запись) - бэкапит данные - ставит пароль.
И что удобно - бэкапная папка постоянно доступна в режиме ридонли

[Цитировать]

    zxen
  • 32
  • Стаж: 9 лет
  • Сообщений: 263
  • Репутация:21

    [+] [-]
  • Откуда: Siberia
korsak7, По хорошему, в VTS еще много чего допилить можно, но пока не до нее, но скоро надеюсь доберусь.

[Цитировать]

    dialmak
  • 2607
  • Стаж: 8 лет 9 месяцев
  • Сообщений: 842
  • Репутация:40

    [+] [-]
SunOK
Собственно вопрос заключается в следующем: как пользоваться компьютером, но при этом пользовательские данные не угнали и не зашифровали?
Бекап рулит ибо AV практически бесполезны.
Но что делать, чтобы обезопасить бекап? Я, если честно, с шифровальщиками не встречался, может это и не поможет, но как вариант - можно ложить бекап в раздел с неподдерживаемой файловой системой. Например архив раздела с данными NTFS ложить в раздел Ext2/3/4, ReiserFS или HSF+ с помощью Image for Windows. Он это умеет без лишних драйверов и не требуется другой машинки или диска..
Я же держу FreeBSD с Mirror и бекап с данными NTFS ложу через NFS в нее (планировщик делает ночью инкрементный бекап через Image for Windows). По моему вполне безопасно, но требует отдельного сервера.

[Цитировать]

    Ander_73
  • 15549
  • Стаж: 7 лет 8 месяцев
  • Сообщений: 3783
  • Репутация:127

    [+] [-]
Насчёт хранения бекапа, есть неплохое решение в виде док-станции. В неё вставляется любой SATA-хард и по USB цепляется к ПК. Всегда можно легко включить/выключить, а при необходимости и сам хард заменить как кассету.
Навскидку, произвольная модель.

[Цитировать]

    dialmak
  • 2607
  • Стаж: 8 лет 9 месяцев
  • Сообщений: 842
  • Репутация:40

    [+] [-]
Ander_73, для дома прокатит (но я не купил бы), для предприятия не очень удобно по разным причинам.

[Цитировать]

    dialmak
  • 2607
  • Стаж: 8 лет 9 месяцев
  • Сообщений: 842
  • Репутация:40

    [+] [-]
Наверное не в тему, но накипело..
Сегодня ситуация. Знаю что 100% сидит вирусняк или троян в винде. Видно невооруженным взглядом по поведению винды, не смертельно, но неприятно.
Прогнал вначале на 3 самых крутых AV систему из самой винды, потом из PE, потом из Linux ещё на 2 AV.
Тишина, все гут пишут. Пародокс! Пришлось удалить ручками. Вопрос накипел - что это за AV? Зачем они? Они простейшей угрозы не видят... А если это было бы что-то серьезнее и не такое откровенно видимое...
Недаром я уж лет 10 не пользуюсь антивирусами и никому не советую, хотя всем ставлю на всякий..

[Цитировать]

    korsak7
  • 107
  • Стаж: 9 лет
  • Сообщений: 1063
  • Репутация:62

    [+] [-]
"Качай сборник из 13 антивирусов" - говорили они... "сборник сделан уважаемым сайтом и отнюдь не бесполезен" - говорили они... "сканируй неделями и получишь результат" - говорили они...

Страница 1 из 2


Показать сообщения:    

Текущее время: 31-Окт 10:31

Часовой пояс: UTC + 3


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы можете скачивать файлы