Компания «РТ‑Информационная безопасность» (входит в госкорпорацию «Ростех») разработала цифровое решение «Антишифр» для противодействия программам‑шифровальщикам (ransomware). По словам разработчиков, решение позволяет осуществлять мониторинг и заблаговременную блокировку любых операций, связанных с файлами и процессами, при выявлении признаков активности со стороны вредоносного ПО (ВПО).
«Антишифр» представляет собой модуль отечественной экосистемы для обеспечения цифровой защиты RT Protect EDR, созданной компанией «РТ‑Информационная безопасность». Интеграция модуля с ядром ОС (пока Windows) на уровне драйвера позволяет осуществлять анализ всех выполняемых процессов в режиме реального времени. Блокировка вредоносных операций происходит на этапе попытки их исполнения, а не постфактум. Это предотвращает преобразование, удаление или хищение данных.
Новый модуль обеспечивает автоматическое принудительное завершение отдельных вредоносных программ, функционирующих самостоятельно, и групп программ, работающих совместно. Кроме того, «Антишифр» проводит бекап важных файлов в локальное защищенное хранилище при попытке модификации или удаления. Бэкапирование действует параллельно с другими защитными механизмами. Как отмечают разработчики RT Protect EDR, в случае вредоносного преобразования файлов для их восстановления не потребуется знать ключи и алгоритмы шифрования.
Дмитрий Прендецкий
Генеральный директор «РТ‑Информационная безопасность»
«Наш новый модуль предотвращает запуск вредоносного ПО за счет регулярно обновляемых индикаторов компрометации по доменным именам, IP‑адресам, хешам исполняемых файлов, YARA‑сигнатурам. „Антишифр“ способен выявлять общие характерные поведенческие признаки вредоносного ПО — повышение привилегий, закрепление в системе и другие — на начальном этапе его работы за счет актуального набора индикаторов атак. Также модуль в режиме реального времени проводит аналитику поведения программ по отношению к файлам и выявляет характерные признаки вредоносного шифрования файлов или их уничтожения».
В рамках запуска нового модуля разработчик готов предоставить 100 российским предприятиям бесплатные лицензии на доступ к ключевому модулю защиты от программ‑шифровальщиков RT Protect EDR на 100 дней. Подробнее можно узнать на сайте «РТ‑Информационная безопасность».
Источник: habr.com
