TS Solution
TS Solution

Анти-шифровальщик - SandBlast Agent Anti-Ransomware

31 ОКТЯБРЯ 2016
Что такое SandBlast Agent Anti-Ransomware?

SandBlast Agent Anti-Ransomware (анти-шифровальщик) автоматически обнаруживает, блокирует и удаляет наиболее опасные зловреды — шифровальщики. Современные шифровальщики практически невозможно обезвредить на основе антивирусной (сигнатурной) защиты, т.к. новые модификации зловредов появляются быстрее чем их добавляют в сигнатурные базы.

С помощью SandBlast Agent Anti-Ransomware любые файлы, которые были подвержены шифрованию, легко и быстро восстанавливаются из резервной копии.

Анти-шифровальщик (Anti-Ransomware) является частью технологии CheckPoint SandBlast Agent — защита конечных станций от атак 0 — дня.

Как работает Anti-Ransomware?

SandBlast Agent Anti-Ransomware использует продвинутые алгоритмы обнаружения и блокирования атак шифровальщиков. Агент не использует сигнатурные базы. Вместо этого используется несколько уровней защиты.

Уровень 1. Анализ поведения шифровальщика

SandBlast Agent Anti-Ransomware выполняет анализ в реальном времени и способен заблокировать атаку еще до начала процесса шифрования файлов. Это достигается за счет:

  1. Продвинутого алгоритма по анализу поведения большинства известных ранее шифровальщиков
  2. Тому, что большинство шифровальщиков используют похожие механизмы обхода средств защиты
  3. Возможности обнаруживать подозрительную деятельность ранее неизвестных шифровальщиков
Уровень 2. Обнаружение неправомерного шифрования данных Если шифровальщику все же удалось обойти первый уровень, он начинает шифровать Ваши данные. SandBlast Agent Anti-Ransomware позволяет незамедлительно обнаружить эту деятельность. Сам процесс выглядит следующим образом:

  1. Независимый модуль следит за состоянием таких файлов как документы или картинки и обнаруживает неправомерное и систематическое шифрование данных.
  2. Модуль мониторинга файлов следит за любыми изменениями файлов, проверяет процессы, которые модифицируют данные, а также определяет происхождение и назначение этих изменений. При этом модуль понимает разницу между обычным и зловредным модифицированием файла.
  3. SandBlast Agent Anti-Ransomware обнаруживает деятельность шифровальщика практически мгновенно, после первых операций шифрования.
Уровень 3. Автоматическое создание аналитического отчета и помещение шифровальщика в карантин Обнаруженный шифровальщик автоматически отправляется в карантин после чего генерируется аналитический отчет об инциденте.

  1. После обнаружения шифровальщика на уровне 1 или 2 происходит автоматический запуск анализа инцидента.
  2. Forensic модуль (входящий в состав SandBlast Agent) автоматически отслеживает всю проявленную активность и затронутые элементы для отражения полной модели атаки.
  3. Отчет о модели атаки включает информацию о зловредном файле (с которого началась атака), приложении (которым был скачан данный зловред), процессах (которые были затронуты или изменены) и т.д.
  4. SandBlast Agent помещает в карантин зловредный файл и все его составляющие.

Уровень 4. Восстановление данных SandBlast Agent Anti-Ransomware позволяет автоматически восстановить зашифрованные данные, если шифровальщик все же смог пройти уровень 1 и 2.

  1. Агент автоматически создает резервную копию файла, до начала любого изменения.
  2. Несколько опций помогают минимизировать объем резервных копий:
    — Резервная копия файла создается только когда предполагается попытка неправомерного изменения исходного файла.
    — Как правило сами пользователи изменяют лишь небольшое кол-во данных.
    — Если предположение о деятельности шифровальщика не подтвердилось, то резервные копии могут быть удалены.
  3. По умолчанию на компьютере пользователя выделяется 1Гб (HDD) для резервных копий.
  4. Папка с резервными копиями защищается функционалом Check Point Endpoint Protection.
  5. После обнаружения деятельности шифровальщика на уровне 3, все зашифрованные файлы автоматически восстанавливаются из резервной копии.


Часто задаваемые вопросы (FAQ) о SandBlast Agent Anti-Ransomware

Q1: Наш антивирус успешно заблокировал шифровальщик ранее. Зачем нам нужен SandBlast Agent Anti-Ransomware?

A1: Традиционный антивирус эффективен только при обнаружении ранее известных шифровальщиков. Однако текущая статистика говорит о том, что ранее неизвестные зловреды появляются все с большей скоростью — это и есть атаки нулевого дня. Здесь сигнатурный анализ антивируса просто бессилен. Фактически, сигнатура антивируса это успешная атака на каком-либо компьютере (после чего были обновлены сигнатурные базы) и этим компьютер может быть в Вашей сети.



Q2: Если мы используем SandBlast Agent Anti-Ransomware нужен ли нам Антивирус?

A2: Мы настоятельно рекомендуем использовать антивирус на каждом компьютере — это важная часть эффективной комплексной защиты. И эта защита очень эффективна в борьбе с большинством распространенных вирусов, троянов, которые все еще преобладают. SandBlast Agent может быть внедрен совместно с антивирусами других компаний, либо как дополнительный модуль комплексной защиты в виде Check Point Endpoint Protection, включающий традиционный антивирус, МЭ, IPS и т.д.



Q3: Сколько дискового пространства требуется для резервных копий?

A3: По умолчанию используется 1Гб, однако этот размер может быть изменен заказчиком.


Q4: Нужно ли мне средство резервного копирования если я уже использую SandBlast Agent Anti-Ransomware?

A4: Да. SandBlast Agent Anti-Ransomware не является средством резервного копирования и выполняет восстановление только зашифрованных файлов.



Q5: Как защищается папка с резервными копиями?

A5: Папка защищается встроенными средствами SandBlast Agent. Доступ к папке возможен только для SandBlast Agent.



Q6: Какие операционные системы поддерживаются?

A6: Функция Anti-Ransomware является частью SandBlast Agent и доступна для Windows 7, 8, 10, а также для Windows Server 2008 R2 и выше.



Автор статьи: Ольков Евгений, компания TS Solution

Читайте также: