Компьютерный вирус может закрыть доступ к архивной информации паролем
Обновлено: 07.07.2024
(38) Облака резервировать другими облаками.
Раз в год покупать новый накопитель взамен старого. На старый скидывать старые редко используемые данные.
(41) Забэкапить. Вдруг потом появятся процессоры и софт, которые за час (вместо 10 лет) тупым перебором найдут вариант расшифровки.
(39) Вы таки дома поймали сей зловред? Таки с таким же успехом мог навернуться Винт, ПК мог сгореть, Его могли украсть, Файлы могил удалить, те же дети :)
Все это мирское :)
Я считаю что без разницы - одинаково легко бэкапяться как файловые так и скулевые базы.
(0)
У нас в облако архивы баз (запароленный естественно со сложным паролем) еженощно уходят.
Правда объем баз небольшой. В архиве все суммарно около 1 Гбайта.
(35)В облака.
(38)И что такого? Какой шанс что одновременно навернется облако и твой комп с фотками?
(39)По идее это возможно и не так уж сложно.
Шифровальщик шифрует не весь файл, это очень долго и нафиг никому не нужно.
Обычно шифруется три небольших блока данных, в начале, середине и конце файла.
Для базы данных потеря даже небольшого куска критична, а для фотки это всего лишь потеря небольшого количества пикселов, не критично.
Но это для фоток в RAW формате. А вот для сжатых все хуже, там идет кодировка, и кодировочная таблица которая лежит в начале файла будет повреждена, и ты его уже не раскодируешь.
Поэтому храни в сыром виде, либо бэкапь в надежное место заголовки.
(46)А что такого в SSD? Почему нельзя?
И вообще это невозможно.
(48) Потому что если у тебя не что-то древнее типа XP, то ОС регулярно шлет ему команду TRIM, в которой передает диску неиспользуемые ей блоки (чтобы SSD их стер). Естественно, что неразмеченная область будет помечена как неиспользуемая, и SSD ее сотрет. А так - ничего невозможного в этом нет, просто открываешь диск на запись как устройство - и пишешь.
(49)Ну по порядку -
Во первых любой SSD будет затирать неразмеченную область и без всякой команды TRIM. Трим нужен и важен чтобы затирать удаленные файлы в размеченной области.
Поэтому неразмеченаня на SSD в любом случае будет затерта.
Во вторых - поясни пожалуйста как именно можно писать в неразмеченную область?
Я о таком не слышал, и на основе своих знаний считаю это невозможным.
Ты не путаешь это случайно с записью в несмонтированный раздел? Т.е раздел не имеющий буквы?
+(50) Под невозможностью записи в неразмеченный раздел, я понимаю запись штатными средствами.
Понятно что можно написать программу работающую напрямую с диском, но только вот как она будет работать под виндой, требующей монопольный доступ к диску?
(52)Ограничения есть у всех.
Да SSD при длительном отключении от питания -месяцы, годы, способны терять данные. Но на практике никто собственно и не применяет их для длительного хранения информации.
Они как раз позиционируются как устройства для работы с горячими данными.
У HDD тоже куча своих ограничений.
В курсе что HDD не работают на большой высоте? Например в горах.
(50) Диск работает на уровне ниже файловой системы. Поэтому для него неиспользуемым будет только тот блок, в который ни разу не писали после полного стирания. Поэтому их стирать не надо - они уже стерты (более того, SSD даже не выделяет под эти области место в памяти, и эту память использует для своих нужд). Команда же TRIM сообщает диску, какие блоки не нужны с точки зрения файловой системы, чтобы диск мог и эти области освободить для своих нужд.
(51) Все просто: открываешь физический диск как файл и пишешь. Куча дисковых редакторов такое делает.
Человек тут задался вопросом, как восстановить данные, но и сохранить сеи архивы в длительностью жизнь, тоже не так просто :)
(55)
По поводу записи в физический диск - приведи пример.
Я знаю как штатными средствами работать с разделом который не примонтирован, т.е на диске создан раздел, но система его не видит. Это не проблема и делается очень просто по метке раздела.
А вот как записать на неразмеченное пространство? Раздела нет.
Т.е надо реализовать какую то ФС, и работать с диском на уровне посекторной записи. Если на диске вообще нет разделов, это в принципе возможно.
Но если это неразмеченная область на диске, другая область которого используется ОС это нереально, т.к будут конфликты, ибо надо согласовывать свои действия с ОС.
По поводу SSD.
Там все действует по следующему принципу -
На SSD есть таблица соответствия. в ней указан виртуальный сектор в который пишет ФС, и соответствующая ячейка памяти где реально хранятся данные.
В неразмеченную область ФС не может писать, поэтому адреса секторов этой области в таблицу не попадут, а ячейки не имеющие записи в таблице соответствия, будут очищены сборщиком мусора при первом же проходе.
TRIM нужен только для того чтобы чистить эту самую таблицу соответствия вовремя.
(58)Насколько я помню в дропбоксе доступ к версиям есть только в платной версии. Или ошибаюсь?
А вообще проще и логичнее использовать не синхронизатор типа дропбокса, а сервис хранения типа MEGA.
Да и беслатного места в MEGA как то побольше будет.
+(60) Несколько сложнее, но по тому же принципу можно и с физическим дополнительным диском работать при желании.
(60)В то время как диск примонтирован, шифровальщик вполне себе шифрует файлы на этом диске.
Проще уж без монтирования.
(62) Интересно, а credentials исключительно для текущего процесса как-то можно выставить? Т.е. монтирование в рамках процесса не подключает диск другим процессам. Ну или если через runas выполнить скрипт, будет ли хард виден текущему пользователю? Не проверял как-то :)
(0) Поднять сервер на какой-нибудь более другой ОС и после backup, сделанного стандартными средствами, средствами этой OS перетащить файл туда. Таким образом, шифровальщик не получит доступ к хранилищу backup'ов.
(63)Монтирование это понятие файловой системы.
Кто имеет право пользоваться файловой системой тот и увидит.
А доступ будет зависеть от прав, которые выставишь на точку монтирования.
Можно писать на диск и без монтирования. Хотя никто не запрещает это делать и шифровальщику.
(65) А, ну дык если выставить права на подключенный сетевой диск для другого пользователя (например, backup) и запускать скрипт резервного копирования через runas, то проблема какбе решена, не?
+(67) Шифровальщик, работая под текущим юзером, зайти на сетевой диск не сможет, а скрипт бэкапа - скока угодно.
(57) CreateFile("\\.\PhysicalDisk0", . ) - и пиши-читай что хочешь штатными ReadFile() и WriteFile().
Т.е шифровальщик однозначно работает под каким то пользователем.
Если этот пользователь не имеет доступа к какому то месту, значит и шифровальщик не имеет.
Проблема в том что большинство виндовс юзеров работают под админом.
Так что просто не работать под админом.
Но тут еще есть момент что шифровальщик может попасться продвинутый, т.е который умеет повышать права.
(69)PhysicalDisk0 - что это? И где его посмотреть?
Я знаю идентификатор тома (GUID) -
т.е вместо буквы диска пишем в батнике адрес \\?\Volume\ и все работает.
А вот как на физический диск, можно поподробнее?
Хотя надо сказать такое бывает довольно редко.
У шифровальщиков не слышал чтобы были такие фишки.
А вообще у вирусов это бывает.
Я у себя всегда делаю бэкапы под спец учеткой.
Т.е не под админом, а под бэкап юзером.
Причем отбираю права на бэкапы у админа.
Это не 100% гарантия, но шанс ничтожный.
А когда речь идет о копировании на сетевую шару бэкап сервера, то надежнее всего сделать перемещение бэкапа из шары в недоступное по сети место, средствами самого бэкап сервера.
Т.е даже если шифровальщик получит доступ к шаре - бэкапы там не хранятся.
Прочитав статью rattlersnake А твой антивирус ловит запароленные архивы? я прошел стадии от неверия через сомнение к разочарованию и обратно к пониманию.
Как вполне правильно отмечают в комментариях, получение содержимого запароленного архива без знания пароля невозможно, следовательно, невозможна и проверка. Но значит ли это, что детект вируса невозможен? Как мне кажется, я разобрался, почему такое возможно и почему такой метод имеет право на жизнь.
Желание проверить правильность описанной в статье ситуации и разобраться, как такое возможно, побудили меня провести небольшой эксперимент.
Проверяемый файл info.exe был найден по хэшу с VirusTotal и запакован архиватором WinRar в три архива: zip, rar и rar версии 5.
На все архивы был установлен сложный пароль для исключения его подбора антивирусом либо использования стандартных паролей. К моему удивлению, антивирус Fortinet сработал на архивах zip и rar, но не сработал на rar5!
В комментариях к статье была версия, что это — «false positive, ложное срабатывание». Но эта версия неправдоподобна, так как это ложное срабатывание выдает тот же самый детект, что и незапакованный вирус. Более того, при использовании разных паролей полученный архив должен значительно отличаться. Тут должен работать какой-то другой механизм, но какой?
Пытясь понять, что влияет на срабатываение антивируса, я изменил один байт в файле и снова запаковал его в архивы с паролем. После проверки меня ждал другой сюрприз – хотя детект вируса в архиве пропал (0/53), пропал детект этим антивирусом и неупакованного файла, хотя большинство остальных антивирусов продолжали его видеть (35/52)!
И тут мне в голову пришла отличная идея:
-
Смотрим, какие свойства файла доступны в архиве – и видим контрольную сумму CRC32:
Проверяем на всякий случай и получившийся exe файл – и видим странный результат – Fortinet продолжает находить в файле вирус. Похоже, он детектит его исключительно по CRC32!
Да, похоже, чудес не бывает и настоящий детект вируса в запароленом архиве невозможен.
С другой стороны, учитывая что Fortinet занимается программно-аппаратными комплексами сетевой безопасности, и цель — не пропустить писмо с вредоносным вложением, то такой подход имеет право на жизнь.
Если мы знаем CRC32 вредоносного файла, будет не лишним предупредить пользователя, когда такой файл найдется в архиве с паролем.
Бурное развитие информационных технологий в целом и Интернета в частности привело к тому, что сегодня все больше информации, в том числе и конфиденциальной, передается по Сети. Не секрет, что при определенном старании такую информацию могут получить заинтересованные в ней лица. Во избежание этого данные зашифровываются, и в ряде случаев в этом могут помочь обычные архиваторы.
то же время в современном компьютерном мире необходима защита компьютеров от вторжений вирусов. Регулярное архивирование файлов позволяет минимизировать риск их вторжения.
Немного о методах шифрования
егодня существует довольно много различных алгоритмов криптографической защиты информации. Из числа наиболее современных можно выделить 3DES, IDEA, Blowfish, Cast-128 и некоторые из AES, включая новый AES Rijndael наряду с ZIP-сжатием.
Что касается методов шифрования, реализованных в современных программах-архиваторах, то здесь выбор более ограничен. В подавляющем большинстве случаев в конкретном архиваторе (речь идет о популярных архиваторах) реализован какой-нибудь один метод. Чаще — ZIP-кодирование или AES Rijndael. Исключение составляет PowerArchiver, в котором пользователю предоставляется целых пять вариантов кодирования сжатых данных: Blowfish (128 бит), DES (64 бит), Triple DES (128 бит) и Rijndael AES (128 бит) и обычное ZIP-шифрование.
Следует признать, что стандартное ZIP-кодирование не относится сегодня к числу надежных, равно как и шифрование с применением алгоритма DES (Data Encryption Standard). Последний оставался федеральным стандартом шифрования в течение почти 20 лет, являлся наиболее часто используемым алгоритмом симметричного блочного шифрования как наиболее надежный и применялся многими структурами, в том числе банками и службами обращения денег.
Однако сегодня, в связи с увеличением скорости вычислений, уже не представляет большого труда взломать этот алгоритм путем полного перебора всех возможных вариантов ключей — ведь длина ключа в DES всего 8 байт. Размер ключа оказался слишком мал, да и скорость шифрования сегодня уже недостаточна, поэтому взломать шифр при современном развитии компьютерной техники совсем несложно.
Начиная с середины 90-х годов стали появляться кандидаты на замену DES, наиболее известные из которых — Triple DES, IDEA и Blowfish. Первый и последний применяются и сегодня в разных программных средствах для шифрования данных, в том числе в архиваторах, а IDEA используется PGP и рядом других криптографических программ.
Современный 64-битный блочный шифр Blowfish с ключом переменной длины от 32 до 48 бит в настоящее время считается достаточно сильным алгоритмом. Он был разработан в 1993 году в качестве замены уже существующих алгоритмов и является намного более быстрым, чем DES, Triple DES и IDEA.
Самые популярные архиваторы
WinZip 8.1
Коротко о продукте
Статус программы: shareware, цена 29 долл (на 1 пользователя).
Операционная система: Windows 98/Mе/NT/2000/XP.
Интерфейс: английский (в Сети можно найти русификатор).
Отличительные особенности
Формат ZIP считается мировым стандартом архивирования и имеет самую длительную историю развития. А архиватор WinZip стал самым скачиваемым архиватором. О его популярности свидетельствует и тот факт, что большинство архивов в Интернете имеет формат ZIP.
Возможности WinZip достаточно широки для того, чтобы обеспечить надежное и эффективное архивирование данных. Программа работает в двух режимах: в классическом (Classic Mode) и в режиме «Мастер» (Wizard) для новичков. Она ориентирована преимущественно на ZIP-архивы, но при этом поддерживает и популярные архивные форматы TAR, GZIP, UUencode, XXencode, BinHex, MIME, ARJ, LZH и ARC. В то же время существенным недостатком программы можно считать тот факт, что WinZip не работает с широко используемыми архивными форматами, к примеру с RAR, ACE и JAR. Да и по степени сжатия WinZip проигрывает архиваторам WinRar и WinAce. Таким образом, несмотря на высокую популярность, сегодня WinZip уже нельзя считать самым лучшим архиватором.
Установка пароля при создании ZIP-файлов обеспечивает их защиту от других пользователей. Правда, сами разработчики WinZip признают, что формат шифрования ZIP 2.0 недостаточно надежен. Поэтому при использовании данной возможности для снижения вероятности взлома архивов с помощью соответствующих программ нужно задавать длинные пароли.
Чтобы защитить файлы с помощью пароля, необходимо указать его после открытия или создания архива, но до начала добавления файлов (рис. 1). Можно устанавливать пароли и для ARJ-файлов, однако в этом случае за их защиту полностью отвечает внешняя ARJ-программа.
WinRar 3.11
Коротко о продукте
Статус программы: shareware, цена от 29 долл. (на 1 пользователя) до 3,1 долл. (на 500-999 пользователей).
Операционная система: существуют различные версии архиватора для Windows 95/98/Mе/NT/2000/XP, Linux, FreeBSD, DOS, OS/2, Mac OS X.
Интерфейс: имеется и русский.
Отличительные особенности
В числе его основных особенностей полная поддержка архивов RAR и ZIP; управление архивами других форматов (CAB, ARJ, LZH, TAR, GZ, ACE, UUE, BZ2, JAR, ISO); наличие графической оболочки с поддержкой технологии перетаскивания drag & drop; поддержка метода solid-архивирования, при котором может быть достигнута на 10-50% более высокая степень сжатия, чем дают обычные методы; поддержка многотомных архивов (в формате RAR); создание самораспаковывающихся (SFX) обычных и многотомных архивов; возможность создания и использования томов для восстановления, позволяющих воссоздавать недостающие части многотомных архивов; отправка архива по электронной почте и пр. Для удобства возможно создание избранных папок и архивов. Программа поддерживает два варианта работы: классический и с помощью мастера.
Обеспечение конфиденциальности
Как и в других архивах, защита информации от несанкционированного доступа осуществляется в WinRar, в первую очередь за счет шифрования данных. Пароль можно установить как по умолчанию (в этом случае архивирование с паролем будет продолжаться до его отмены), так и непосредственно в процессе архивирования в случае однократного применения.
При необходимости шифрования имен файлов требуется дополнительное включение соответствующей опции в диалоге задания пароля (рис. 2). Зашифрованный в таком режиме архив без пароля невозможно не только распаковать, но даже просмотреть список находящихся в нем файлов.
Следует помнить, что в формате ZIP применяется собственный алгоритм шифрования, который в целом считается менее надежным, нежели алгоритм шифрования архивов RAR — AES-128.
Помимо парольной защиты в среде Windows NT/2000/XP допустимо сохранение данных о правах доступа, что подразумевает данные о владельце, группе, правах доступа и аудит-информацию. Естественно, что это возможно лишь при наличии у пользователя достаточных прав доступа. Сохранение данной информации может сделать невозможным обращение других лиц к файлам после распаковки (это зависит от файловой системы и собственно прав доступа), но замедляет процесс архивирования/разархивирования.
WinAce 2.2
Коротко о продукте
Статус программы: shareware, цена 29 долл.
Операционная система: Windows 95/98/ NT/2000/XP; есть версия для Linux.
Интерфейс: английский/немецкий (в Сети можно найти русификатор).
Отличительные особенности
Очень может быть, что в недалеком будущем WinAce сможет составить серьезную конкуренцию WinZip и WinRar. Главное его достоинство — манипуляция разными форматами архивов. Архиватор обеспечивает сжатие в форматах ACE, ZIP, LHA, MS-CAB, JAVA JAR, GZip, TAR, GzippedTar и распаковку архивов типа ACE, ZIP, LHA, MS-CAB, RAR, ARC, ARJ, GZip, TAR, ZOO, JAR. Он поддерживает технологии перетаскивания (drag & drop); предоставляет возможности для создания многотомных архивов в форматах ACE, ZIP и CAB; самораспаковывающихся архивов (SFX) ACE и ZIP; solid-архивирование для формата ACE; мультимедиасжатие рисунков и звука; отправку архивов по электронной почте и многое другое. Есть возможность добавления информации для восстановления архива в случае его повреждения.
В целом различных настроек и установок в WinAce больше, чем в любом другом архиваторе. Однако следует признать, что начинающим пользователям все же проще освоить WinRar или WinZip, нежели WinAce.
Обеспечение конфиденциальности
Что касается защиты информации, то в WinAce предусмотрена обычная защита архивов паролем с использованием обычного ZIP-кодирования, поддерживаемая для форматов ACE, ZIP и JAR (рис. 3). Пароль устанавливается либо непосредственно в процессе архивирования (для однократного применения), либо предварительно в меню (многократное использование). Ввод пароля возможен в двух вариантах: с отображением пароля на экране дисплея или без оного. Для повышения надежности шифрования рекомендуется использовать длинные (максимальная длина — 56 символов) пароли.
PowerArchiver 8.00.63
Коротко о продукте
Статус программы: shareware, цена от 19,95 долл. (на 1 пользователя) до 3 долл. (на 500 и более пользователей).
Операционная система: Windows 95/98/NT/2000/XP.
Интерфейс: английский, немецкий.
Отличительные особенности
Кроме стандартных операций, PowerArchiver позволяет переименовывать файлы в архивах, инсталлировать из них программы, проверять содержимое на вирусы, конвертировать архивы из одного формата в другой (для ZIP-, CAB-, LHA-, BH- и TAR-архивов), восстанавливать. Обеспечивается интеграция с проводником Windows, поддерживаются два режима работы: классический и режим проводника. Можно создавать самораспаковывающиеся (SFX) архивы ZIP, RAR, ARJ, LHA и BH, восстанавливать ZIP-архивы, создавать многотомные архивы, отправлять архивы по электронной почте, создавать резервные копии ZIP-, CAB-, LHA-, BH- и TAR-архивов. При создании ZIP-архивов размер файлов и их количества неограничен — можно архивировать файлы размером больше 4 Гбайт, а общее количество файлов в архиве может превышать 65 535. Еще один плюс PowerArchiver — применение нескольких вариантов кодирования архивов и паролей к ним.
Обеспечение конфиденциальности
Уровень защиты ZIP-, CAB-, LHA-, BH-, TAR.GZ-архивов от несанкционированного доступа повышает возможность использования четырех различных методов шифрования сжатых данных: Blowfish (128 бит), DES (64 бит), Triple DES (128 бит) и Rijndael AES (128 бит) (рис. 4). Ввод пароля осуществляется традиционно в процессе диалога. Кроме того, архиватор поддерживает также пятый метод шифрования — стандартное ZIP-кодирование (только для ZIP-архивов), но этот метод недостаточно надежен и предпочтительнее использовать стандарты Blowfish, DES, Triple DES или Rijndael AES.
Кроме того, программа при создании архивов с паролем может дополнительно зашифровать пароль с помощью менеджера паролей, что делает еще больше ее привлекательность с точки зрения повышения уровня безопасности. Сам пароль шифруется с помощью безопасного 256-битного AES-кодирования, а закодированные архивы запоминаются в формате *.pae. Зашифровать можно как файлы при создании нового архива, так и уже созданные ранее архивы вышеуказанного спектра архивных форматов. В программе предусмотрена также установка паролей для SFX-архивов.
ZipItFast 2.0
Коротко о продукте
Статус программы: freeware.
Операционная система: Windows 95/98/Mе/NT/2000.
Интерфейс: английский, французский (можно также найти русификатор).
Отличительные особенности
Очень неплохой бесплатный архиватор с минимально необходимым набором функций, работающий практически со всеми популярными форматами. Создает архивы ZIP, BH, CAB, TAR, JAR, LHA, а также самораспаковывающиеся архивы из ACE-, ARJ-, JAR-, LHA/LZH- и ZIP-файлов. Может распаковывать архивы ACE, ARC, ARJ, BH, CAB, ENC, GZ, HA, JAR, LHA/LZH, PAK, PK3, RAR, TAR, TGZ, UU, UUE, XXE, Z, ZIP и ZOO. Поддерживает метод drag & drop и парольную защиту архивов.
Шифрование архива путем ZIP-кодирования реализовано обычным образом с помощью пароля, вводимого в процессе диалога (рис. 5).
UltimateZip 2.7.1
Коротко о продукте
Статус программы: freeware.
Операционная система: Windows 95/98/NT/2000/XP.
Отличительные особенности
Бесплатный архиватор с множеством удобно реализованных функций для работы с архивами. Очень напоминает WinZip: по степени сжатия практически ему не уступает, но работает несколько медленнее, зато поддерживает намного большее число форматов.
Обеспечивает сжатие в ZIP-, BH-, CAB-, JAR-, LHA-, GZIP-, TAR-, TAR-BZIP2- и TAR-GZIP-форматах и распаковку для архивов ACE, ARC, ARJ, RAR, ZOO, ZIP, BH, CAB, JAR, LHA, GZIP, TAR, TAR-BZIP2 и TAR-GZIP. Можно создавать самораспаковывающиеся и многотомные архивы, восстанавливать испорченные файлы. Как и WinZip, эта программа поддерживает распространенные в Интернете форматы сжатия UUencode и XХencode и обеспечивает отправку архивов по электронной почте. Серьезно облегчает процесс архивирования механизм перетаскивания файлов, а встроенный мастер помогает начинающим пользователям быстро освоить процесс создания архивов.
Обеспечение конфиденциальности
Шифрование файлов в UltimateZip осуществляется обычным образом с помощью пароля, вводимого в процессе диалога, на основе надежного стандарта AES Rijndael (рис. 6).
PowerZip 6.5
Коротко о продукте
Статус программы: shareware, цена — 20 долл.
Операционная система: Windows 95/98/Mе/NT/2000/XP.
Отличительные особенности
Стандартный архиватор с поддержкой ZIP-, CAB-, TGZ-, ARJ- и HA-форматов, в том числе с возможностью создания и распаковки многотомных и самораспаковывающихся архивов. Кроме того, архиватор распаковывает форматы RAR, JAR, LZH, ACE, TAR, GZ, TGZ и Z. Программа полностью поддерживает операции drag & drop, имеет возможности тестирования архивов, интеграции с проводником Windows, инсталляции программ из архивов. PowerZip позволяет просматривать файлы в архивах, отправлять их по почте и защищать паролем.
По сравнению со всеми вышерассмотренными архиваторами программа несколько неудобна, поскольку при создании архивов требуется большее количество установок, а значит, и дополнительных нажатий на кнопки.
Для обеспечения защиты от несанкционированного доступа в PowerZip используется обычная парольная система на основе ZIP-кодирования, которая работает только для ZIP- и EXE-архивов. Пароль вводится обычным образом в процессе диалога (рис. 7).
TurboZIP 5.1
Коротко о продукте
Статус программы: shareware, цена от 49,95 долл. (на 1 пользователя) до 3,99 долл. (на 1000 и более пользователей).
Операционная система: Windows 95/98/Mе/NT/2000/XP.
Интерфейс: английский, немецкий.
Несмотря на высокую цену, это весьма посредственный архиватор с непохожим на другие архиваторы интерфейсом, по технологии работы напоминающий несколько видоизмененный WinZip. В отличие от последнего, в TurboZIP за счет дополнительных настроек неудобно организован процесс создания архива, что существенно замедляет процесс архивирования. Программа обеспечивает только создание ZIP-архивов и разархивирование архивов основных форматов: ZIP, JAR, CAB, ARJ и LHA. Есть возможность формирования самораспаковывающихся архивов (правда, исключительно в результате конвертации на основе ZIP-файлов) и предварительного просмотра файлов основных графических форматов (BMP, JPEG, PCX, PSD, TIFF и пр.).
В числе других возможностей TurboZip — создание архивов, защищенных паролем, и инсталляция файлов без их разархивации, поддержка технологии drag & drop, автоматическое создание резервных копий файла.
Значительно тормозит процесс архивирования неудобный ввод параметров, предполагающий работу с дополнительными окнами.
Возможно создание ZIP-архивов с паролем, что осуществляется на основе стандартного ZIP-кодирования. Ввод пароля производится обычным путем — в процессе диалога (рис. 8).
FilZip 2.01
Коротко о продукте
Статус программы: freeware.
Операционная система: Windows 95/98/ NT/2000/XP.
Интерфейс: английский, немецкий.
Отличительные особенности
Небольшой WinZip-подобный бесплатный архиватор с множеством поддерживаемых форматов (создание архивов для форматов ZIP, BH, CAB, LHA, JAR и TAR и распаковка для ZIP, BH, CAB, JAR, LHA, TAR, GZIP (TAR.GZ), ACE, ARC, ARJ, RAR и ZOO), с возможностями преобразования архивов и создания SFX-архивов. Поддерживает распространенные в Интернете форматы сжатия UUencode и Xxencode. Часть функций реализована только для формата ZIP.
Программа интегрирована с Windows — поддерживает операцию drag & drop, а также сжатие и распаковку файлов через контекстное меню. В числе возможностей программы — создание самораспаковывающихся архивов, защита «упакованных» данных паролем, возможность конвертирования одного архива в формат другого, автоматическая инсталляция программ.
Обеспечение конфиденциальности
Шифрование архивов осуществляется обычным образом на основе ZIP-кодирования с помощью пароля, вводимого в ходе диалога (рис. 9).
Проблема восстановления паролей
ак ни печально, но вслед за архиваторами, предусматривающими парольную защиту, сразу же появились программы, предназначенные для их взлома. С одной стороны, такие программы могут помочь в снятии пароля в случае, если он будет забыт, но с другой — они открывают ворота для несанкционированного доступа к информации. Поэтому, защищая архивы, нужно обязательно учитывать этот факт.
Больше всего программ предназначено для восстановления паролей к ZIP-архивам (Zip Password Recovery Key, PicoZip Recovery Tool, Visual Zip Password Recovery Processor и др.), менее распространены программы для RAR-архивов (например, RAR Password Cracker).
Краткие выводы
документации к архиваторам с функцией шифрования очень часто говорится, что архивы с паролями расшифровать нельзя. К сожалению, сегодня (вспомните о программах восстановления паролей) это не всегда соответствует действительности. И при работе с конфиденциальной информацией данный факт нужно обязательно учитывать.
Поэтому для повышения уровня безопасности лучше:
• стараться выбирать неподдерживаемые программами восстановления паролей форматы, например RAR версий 3.0 и выше, ACE версий 2.0 и выше, TAR, JAR и др.;
• задавать длинные (не менее 8 символов) пароли; чем длиннее пароль, тем труднее его подобрать; с этой точки зрения подходят любые из перечисленных архиваторов, так как в каждом из них допустимая длина пароля превышает 56 символов, что вполне достаточно;
• останавливать выбор на нетривиальных паролях; использовать в пароле пробелы и комбинации цифр, символов и букв, чтобы в итоге получалась не фраза из реальных слов, а абракадабра, поскольку если пароль состоит из одного слова, то его очень легко отгадать, заставив компьютер перебрать все слова в словаре.
1. Классические с хранением ключа на компьютере пользователя. Вирус шифрует данные, при этом ключ дешифровки хранится на компьютере пользователя. При вводе правильного пароля дешифрует данные и удаляется.
2. Классические с хранением ключа на удаленном компьютере. Вирус шифрует данные, при этом ключ дешифровки хранится на сервере в интернете. При оплате предоставляется ключ, вирус с помощью этого ключа дешифрует данные и удаляется.
3. Симулянты. Данные не шифруются, а необратимо повреждаются. После оплаты ничего не происходит.
По принципу работы делятся на 2 категории:
1. На уничтожение данных. В случае не оплаты вирус уничтожает все данные.
2. На публикацию данных. Помимо шифрования вирус отправляет содержимое жесткого диска на удаленный сервер. В случае не оплаты авторы вируса публикуют данные пользователя в открытый доступ.
Особым подвидом являются вирусы, которые дают на оплату очень ограниченное время и затем начинают удалять/публиковать файлы.
Самое главное здесь то, что оплата не гарантирует восстановление или не опубликование файлов. По прогнозам специалистов, данный вид вирусов станет основным трендом в вирусописании на ближайшие годы. Ожидается, что следующим ходом в вирусописании станет возможность атаки на облачные хранилища данных для исключения возможности восстановления файлов.
Теперь о защите:
Тезис о том, что "лучшая защита - это нападение" в данном случае принципиально не применим. Для отражения угрозы нужно подготовить плацдарм для отступления и последующей успешной контратаки. Давайте рассмотрим работу вируса и выделим ключевые моменты.
Этап 1::Заражение. Вирус тем или иным способом проникает на компьютер.
Анализ угрозы: Основная угроза безопасности - пользователь. Подавляющее большинство заражений - открытое письмо с вирусом, переход на взломанный сайт и т.д.
Методы защиты:
1. "Белый список" сайтов куда разрешен доступ. Желательно прописать сайты в локальный DNS-сервер.
2. "Белый список" разрешенных для запуска приложений. Можно в редакторе реестра (запускается Win+R и ввести regedit и ОК) в ветке HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer создать DWORD параметр RestrictRun со значением 1, затем в этой же ветке создаем раздел RestrictRun, а имена исполняемых файлов прописываем в этом же разделе в строковых параметрах в формате: имя параметра = номере по порядку (1,2,3); значение = имя исполняемого файла. В ОС Linux на отдельные диски выносятся точки монтирования /bin /usr/bin (если нестандартный софт, то добавить в этот список), а для остальных разделов ставиться флаг монтирования noexec.
3. Работа в сети через "интернет-дистрибутивы" Linux, это специально подготовленный дистрибутив, запущенный из виртуальной системы с правами "только чтение", для обмена данными выделяется каталог реальной системы куда скачиваются файлы. Следует отметить, что интернет-дистрибутив является DMZ-решением т.е. он не даст "закрепиться" вирусу в системе (все изменения удаляются при перезагрузке), однако если пользователь скачает файл и запустит его, то данное решение уже не спасет.
4. "Специально обученный" хомячок на шлюзе со "специально настроенной" ОС. Весь потенциально опасный траффик (прежде всего электронная почта) должны быть обработаны в DMZ. То есть на машине запуск вирусов на которой практически невозможен, крайне желательно перекодировать потенциально опасные файлы, полученные из не доверенных или условно-не доверенных источников. Например(!), документы WORD и PDF конвертировать в PNG, а затем из PNG собирать PDF и именно в PDF запускать в сеть. В этом случае информация останется читаемой человеком, а активное содержимое будет утеряно. . Из практики видел организацию, где секретарь весь поступающий траффик печатала на принтере, потом сканировала на другой машине и уже в виде сканов отправляла в сеть. Сотрудники работали исключительно со списком из 3-4 разрешенных сайтов, флешки запрещены. О заражении чем-либо в этой организации я не слышал.
5. Работа из "неизменяемой" операционной системы. Данный пункт ОЧЕНЬ объемный, поэтому за справкой отправлю в Яндекс.
НЕ НАДЕЙТЕСЬ НА АНТИВИРУС. Во-первых, тестирование вируса на невидимость антивирусами перед "продакшеном" является даже не классикой, а само собой разумеющейся процедурой, следовательно, в самом лучшем случае антивирус будет способен к сопротивлению через сутки-двое после "релиза" и то при поимке сигнатур вирусов. Во-вторых, "антивирус" может быть подменен. Средства объективного контроля за работой ОС и ПО не существуют и понять, что работает "заглушка" демонстрирующая интерфейс и "работу" антивируса в принципе невозможно.
НЕ ИСПОЛЬЗУЙТЕ ДЛЯ БЭКАПОВ ЖЕСТКИЙ ДИСК С КОПИРОВАНИЕМ ФАЙЛОВ ИЗ ОСНОВНОЙ ОС.
Во-первых, шифровальщик может зашифровать файлы не только на компьютере, но и на съемном диске. Особенно печально если на 1 диск копируются данные с нескольких машин. Во-вторых, вирус может заразить съемный диск и вместо 1-й зараженной машины будут атакованы все где проводятся операции с этим диском.
Этап 2.1::Шифрование. Вирус шифрует или повреждает файлы.
Анализ угрозы: После успешного заражения вирус начинает шифровать или повреждать файлы. При этом отдельные шифровальщики до окончания шифрования могут выдавать незашифрованные копии файлов при обращении. Следовательно, на атакуемой системе или массово изменяются файлы или копируются. При этом вирус может скрывать свое присутствие в системе, а, следовательно, средствами ОС
Методы защиты:
1. Тест-сервер. На рабочих станциях создаются пользователи с правами "только на чтение", рабочие каталоги открываются на доступ по паролю из сети. RO-Сервер (неизменяемый) с ОС Linux сканирует сеть (например, каждый час) и ищет изменения файлов. Как только на рабочей станции за период сканирования изменяются больше файлов чем обычно подается тревога. Данный метод работает только на "слабые" шифровальщики т.к. зашифрованные данные могут храниться в другом месте. Тест-сервер можно заменить на бэкап-сервер, который будет не только сканировать, но и сохранять файлы.
2. Мониторинг загруженности дисков. Совместно с первым способом 2-3 раза в день смотреть в свойствах системы сколько места занято на дисках, если загруженность дисков поползла вверх, то это признак заражения.
3. Бэкап данных. Самый эффективный способ бэкапа данных требует "в идеале" 2 флешки и 1 съемный диск, но можно обойтись и Linux-сервером в сети. "Идеальная схема" - на 1 флешку мы записываем ОС Linux, на вторую - установочник ОС Windows. Устанавливаем ОС и делаем или классическую 2-х дисковую разметку (ОС + данные) или более продвинутую 3-х дисковую (ОС + данные + раздел под резервную ОС). После "чистой" установки устанавливаем весь нужный софт и проводим все мероприятия по защите ОС. Получаем "эталонную систему" (которую, кстати, можно клонировать на все однотипное железо). Затем загрузившись через флешку с Linux копируем системный раздел в резервную область (если создавали) и на съемный диск. Оставшуюся часть съемного диска или сетевой диск мы будем использовать в качестве хранения архивных копий. С установленной периодичностью запускаем тестовую синхронизацию (сравнивает файлы) через rsync и если изменились только те данные, которые должны были измениться, то запускаем основную синхронизацию. Более продвинутые могут написать скрипты зеркалирования, сохраняющие версии файлов. Желательно хранить 2-3 еженедельные/ежемесячные копии файлов т.к. помимо вируса могут быть случайно стерты и просто важные данные.
"Ограниченный" вариант подразумевает установку Linux в дуалбут, а вместо съемника работать с сервером по протоколу синхронизации.
Этап 2.1::Загрузка файлов внешний сервер. Вирус отправляет значимые для шантажа файлы на внешний сервер.
Анализ угрозы: Для шантажа вирус может направлять файлы из локальных компьютеров. Указанные файлы (базы данных, фото и видео) могут использоваться для шантажа пользователей.
Методы защиты:
1. Шифрование файлов. Все важные данные опубликование которых может нанести Вам вред должны быть зашифрованы. В этом случае даже если эти данные и будут скопированы, то они не смогут быть использованы против Вас. Так что для хранения таких файлов нужно использовать хотя бы зашифрованные архивы, а желательно более серьезные системы шифрования. Однако не забывайте, что вирус может быть настроен на повреждение шифрованных данных, следовательно, бэкап никто не отменял.
2. Мониторинг исходящего трафика. Для передачи данных вирус будет использовать сеть. Следовательно, нужно мониторить объем исходящего трафика и, если он вдруг вырос, но при этом никто не заливает данные на удаленный сервер. Крайне желательно поставить шлюз перед модемом/роутером с логированием соединений. Это позволит мониторить соединения и вычислять зараженный компьютер.
Метод (единственный. ) защиты:
1. Выключаем жёстко компьютер (выдергиванием вилки из сети или 10 секундным нажатием на кнопку питания).
2. Создаем или используем загрузочную флешку с антивирусом или просто Linux.
3. Проверяем действительно ли файлы повреждены (есть 0,01% вероятность шутки).
4. Если действительно повреждены - удаляем разделы дисков.
5. Переустанавливаем/восстанавливаем ОС и скачиваем последний бэкап.
НИ В КОЕМ СЛУЧАЕ ПЛАТИТЬ НЕЛЬЗЯ.
Данные вирусы пишут те, кто собирается заработать на выкупах. Не будет выкупов - не будет и вирусов.
Читайте также: