Способ обнаружения и обезвреживания энкодеров
Владельцы патента RU 2640626:
Общество с ограниченной ответственностью "Доктор Веб" (RU)
Настоящий способ обнаружения и обезвреживания энкодеров относится к способам обнаружения вредоносных программ для ЭВМ на электронных устройствах. Техническим результатом, обеспечиваемым изобретением, является повышение эффективности защиты электронных устройств от воздействия энкодеров. Способ содержит этапы, на которых: I) осуществляют мониторинг действий программ в операционной и файловой системах электронного устройства; II) выявляют программы, осуществляющие операции составления перечня файлов, открытия, чтения и модификации большого количества файлов за заданный промежуток времени; III) относят выявленные на этапе II программы к категории подозрительных; IV) проводят анализ отнесенных на этапе III к категории подозрительных программ на предмет их вредоносности; V) обезвреживают вредоносные программы. 2 з.п. ф-лы.
Область техники
Данное изобретение относится к способам обнаружения вредоносных программ для ЭВМ на электронных устройствах.
Уровень техники
Вредоносные программы для ЭВМ являются серьезной угрозой информационной безопасности электронных устройств, поскольку в зависимости от модификации способны без согласия владельца, либо пользователя электронного устройства (далее - Владелец) удалить, изменить, заблокировать, зашифровать информацию, данные, файлы, папки Владельца (далее - Информация), а также предоставить третьим лицам полный доступ к Информации, размещенной на электронном устройстве.
Настоящее изобретение относится к обнаружению и обезвреживанию разновидности вредоносных программ для ЭВМ, предназначенных (и имеющих соответствующий функционал) для шифрования Информации на электронных устройствах без ведома и согласия Владельца электронного устройства (далее - Энкодеры, от англ. Encode - зашифровывать). Шифрование Информации Энкодером ведет к ее недоступности и невозможности использования Владельцем. Самостоятельная расшифровка зашифрованной Информации Владельцем без обращения к специалистам - практически невозможна (обращение к специалистам также не дает гарантии расшифровки Информации).
Зачастую Энкодеры также имеют функционал, позволяющий им осуществлять демонстрирование Владельцу электронного устройства (Информация на котором была зашифрована Энкодером без ведома Владельца электронного устройства) предложения расшифровать Информацию за денежное вознаграждение. Кроме того, некоторые разновидности Энкодеров способны не только зашифровывать Информацию, но также и похищать ее с электронных устройств без ведома и согласия Владельцев.
Энкодеры представляют огромную опасность для Владельцев электронных устройств, поскольку способны нанести Владельцам электронных устройств сразу несколько видов ущерба:
1) потеря важных (в т.ч. персональных, личных, конфиденциальных и прочих) данных, хранящихся на электронных устройствах, вследствие их шифрования;
2) материальный (денежный) ущерб вследствие совершения оплаты Владельцем электронного устройства за расшифровку зашифрованной Информации на электронном устройстве;
3) репутационный ущерб вследствие распространения третьими лицами похищенной с электронного устройства Владельца Информации (личные фотографии, переписка и прочее).
Работа Энкодера на электронном устройстве происходит очень быстро и, как правило, остается незаметной для Владельца до того момента, пока Владелец либо сталкивается с невозможностью использования Информации (файлов, папок и прочего), либо обнаруживает предложение Энкодера оплатить расшифровку зашифрованной Информации. Именно поэтому скорость обнаружения и обезвреживания Энкодера является столь важным фактором.
На сегодняшний день существует способ обнаружения вредоносных программ, шифрующих файлы, описанный в патенте US 20150058987 A1. Обнаружение вредоносных программ, шифрующих файлы, согласно вышеуказанному патенту основывается на анализе и сравнении данных в файлах до и после момента их модификации-шифрования. Основным недостатком данного способа является сильная зависимость скорости и успешности осуществления обнаружения вредоносных программ, шифрующих файлы, от уровня производительности электронного устройства в связи с необходимостью анализа и сравнения данных в файлах.
В то же время отличительным признаком заявленного изобретения является обнаружение и обезвреживание Энкодеров на основе мониторинга (отслеживания) поведения программ без необходимости проведения анализа и сравнения данных в файлах до и после момента их модификации-шифрования. Предложенный и описанный далее способ обнаружения и обезвреживания Энкодеров обходит описанные выше недостатки изобретения по патенту US 20150058987 A1.
Раскрытие изобретения
Задачей, на решение которой направлено заявленное изобретение, является обнаружение и обезвреживание Энкодеров.
Техническим результатом, обеспечиваемым заявленным изобретением, является повышение эффективности защиты электронных устройств от воздействия Энкодеров.
Данная задача и технический результат достигаются за счет того, что способ обнаружения и обезвреживания Энкодеров содержит этапы, на которых:
1) осуществляют мониторинг действий программ в операционной и файловой системах электронного устройства, в ходе которого отслеживают операции составления перечня файлов в файловой системе, открытия, создания, чтения, модификации, удаления файлов и прочие операции;
2) выявляют программы, осуществляющие операции составления перечня файлов, открытия, чтения и модификации большого количества файлов за заданный промежуток времени;
3) относят выявленные на этапе 2 программы к категории подозрительных;
4) проводят анализ отнесенных на этапе 3 к категории подозрительных программ на предмет их вредоносности;
5) обезвреживают вредоносные программы (в случае их отнесения к вредоносным в результате анализа, проведенного на этапе 4) путем блокирования доступа к ним, также возможности этих программ осуществлять операции открытия, чтения и модификации файлов и последующего удаления таких программ из операционной системы.
Описанные выше этапы также являются существенными признаками заявленного изобретения.
Осуществление изобретения
Заявленное изобретение осуществляется следующим образом.
В операционной и файловой системах электронного устройства осуществляется мониторинг действий программ. В ходе мониторинга отслеживаются такие операции программ, как: составление перечня файлов (создание дерева файлов и каталогов), открытие, чтение, модификация, удаление файлов и прочие операции с файлами. Среди программ выявляются те из них, которые осуществляют операции открытия, чтения и модификации большого количества файлов (к примеру, больше 10 файлов) за заданный промежуток времени (к примеру, меньше чем за 1 секунду). Выявляются именно такие программы, поскольку упомянутые ранее Энкодеры перед началом шифрования файлов составляют перечень имеющихся на электронном устройстве файлов, затем осуществляют операции открытия, чтения и модификации файлов. Однако перед отнесением программ, осуществляющих вышеописанные операции, присущие Энкодерам, к вредоносным осуществляется отнесение таких программ к подозрительным с одновременным анализом на предмет их вредоносности. В случае если по итогам анализа вредоносности программа признается вредоносной (Энкодеры), происходит ее обезвреживание. Обезвреживание производится путем блокирования доступа к такой программе, а также возможности этих программ осуществлять операции открытия, чтения и модификации файлов, после чего производится удаление таких программ из операционной и файловых систем, а также удаление следов их присутствия. В случае невозможности произвести удаление вредоносной программы незамедлительно производится перезагрузка электронного устройства и последующее отложенное удаление вредоносной программы.
Согласно одному из частных вариантов реализации изобретения мониторинг действий программ в операционной и файловой системах электронного устройства, а также выявление программ осуществляется только в отношении тех программ, которые осуществляют операции открытия, чтения и модификации файлов только определенного типа (например, *.doc, *.xls, *.ppt, *jpg, *.pdf и т.д.).
Это связано с характерным для Энкодеров поведением: они модифицируют не все файлы, а только те, что обычно содержат значимую для Владельцев Информацию, но при этом модификация этих файлов не вызывает фатальный сбой в работе операционной или файловой системы.
Согласно другому частному варианту реализации изобретения мониторинг действий программ в операционной и файловой системах электронного устройства осуществляется одновременно в отношении нескольких программ (многопоточность).
Это связано с такой особенностью некоторых разновидностей Энкодеров, как распределение процессов (так называемая многопоточность), т.е. Энкодер может одновременно осуществлять чтение файлов в одном процессе и их модификацию - в другом процессе.
Настоящее изобретение не ограничивается приведенными вариантами осуществления, оно может воплощаться в различных видах. Сущность, приведенная в описании, является деталями, приведенными для помощи специалисту в области техники в исчерпывающем понимании изобретения. Настоящее изобретение определяется в объеме приложенной формулы.
1. Способ обнаружения и обезвреживания энкодеров, содержащий этапы, на которых:
I) осуществляют мониторинг действий программ в операционной и файловой системах электронного устройства;
II) выявляют программы, осуществляющие операции составления перечня файлов, открытия, чтения и модификации большого количества файлов за заданный промежуток времени;
III) относят выявленные на этапе II программы к категории подозрительных;
IV) проводят анализ отнесенных на этапе III к категории подозрительных программ на предмет их вредоносности;
V) обезвреживают вредоносные программы.
2. Способ по п. 1, в котором мониторинг действий программ в операционной и файловой системах электронного устройства, а также выявление программ осуществляется только в отношении тех программ, которые осуществляют операции открытия, чтения и модификации файлов только определенного типа.
3. Способ по п. 1, в котором мониторинг действий программ в операционной и файловой системах электронного устройства осуществляется одновременно за несколькими программами.