صفحه 1 از 1

نتیجه تست باج افزار توسط AV-test

ارسال شده: دوشنبه فوریه 12, 2018 5:23 pm
توسط hkma
با سلام و خسته نباشید.
اگه ممکنه این جمله از نتیجه تست رو توضیح دهید. به نظر این مشکل جدی میتونه باشه!
"However, we found that the protection approach can be bypassed if Ransomware changes its behavior"

Re: نتیجه تست باج افزار توسط AV-test

ارسال شده: سه‌شنبه فوریه 13, 2018 6:35 pm
توسط Naficy
سلام
خوشحالم که پرسیدید.
اگر جمله را تا انتها بخوانید خود av-test توضیح داده است:

کد: انتخاب همه

Currently Padvish creates a folder “!!AntiCrypto!!” containing fake files with lots of 
different file extension. The default behavior of the ransomware at the present time follows the 
sequence A-Z. Therefore, the ransomware tries to encrypt the files in the fake folder first. This 
enables Padvish AntiCrypto to detect the behavior and block the malware without causing any 
damage to the actually relevant user data.
این جملات مربوط به یکی از چهار لایه محافظتی ضدباجگیر پادویش (طعمه‌گذاری) است. اما وجود حداقل دو لایه محافظتی دیگر باعث می‌شود که حتی در صورت بایپس شدن این لایه، بازهم فایل‌ها محافظت شوند.

ضدباجگیر پادویش چهار لایه محافظت که به صورت تودرتو یک محافظت کامل را ایجاد می‌کنند. به طوری که در صورت دور خوردن یک لایه، سایر لایه‌ها جلوی عملکرد باجگیر را خواهند گرفت:

۱- لایه محافظت اطلاعات: این لایه به صورت هوشمند و رفتاری جلوی رمز شدن و از بین رفتن فایل‌های کاربر را می‌گیرد. اولین نسخ ضدباجگیر فقط همین یک لایه را داشت و یک ضدباجگیر کامل بود. نمونه موفقیت این لایه این بود که زمان انتشار باجگیر wannacry معروف، همین لایه به تنهایی جلوی عملکرد این ویروس را می‌گرفت و نیازی به سایر لایه‌ها نبود.

۲- لایه داده‌بان: این لایه یک پشتیبانگیری منظم (روزی دوبار) و بسیار سریع (در حد چند ثانیه) و فوق‌العاده کم حجم (در حد چند مگابایت فقط تغییرات) از کل اطلاعات سیستم تهیه می‌کند و جلوی حذف این پشتیبان‌ها توسط باجگیر یا هر نرم‌افزار دیگری را می‌گیرد.

۳- لایه محافظت MBR: این لایه جلوی باجگیرهایی که با آلوده کردن MBR و ریست کردن سیستم، قبل از بالا آمدن ویندوز اطلاعات دیسک را رمز می‌کنند را می‌گیرد. همچنین جلوی روت‌کیت‌هایی که از این تکنیک استفاده می‌کنند توسط این لایه گرفته می‌شود.

۴- لایه طعمه‌گذاری: این لایه که آخرین لایه‌ای است که اضافه شده است، تعداد فایل طعمه در نقاط مهم سیستم قرار می‌دهد. به محض اینکه باجگیری بخواهد این فایل‌ها را رمز کند توسط لایه طعمه‌گذاری به دام می‌افتد. این همان لایه‌ای است که در گزارش به آن اشاره شده است.
در واقع علت اضافه شدن این لایه این بود که برخی باجگیرها علی‌رغم اینکه فایل‌های کاربر را نمی‌توانستند رمز کنند، نام و پسوند فایل را تغییر می‌دادند و کاربر ناچار بود اسم فایل‌ها را بازگرداند. در نتیجه و برای جلوگیری از این موضوع، مکانیزم طعمه‌گذاری به پادویش اضافه شد که البته در گرفتن باجگیرها نیز کمک می‌کند، ولی ضروری نیست.

گزارش av-test ذکر کرده که ثابت بودن نام فولدر باعث می‌شود که باجگیر بتواند این مکانیزم را دور بزند. نام این فولدر در نسخه بعدی ضدباجگیر رندوم خواهد بود، ولی حتی در صورت دور خوردن این مکانیزم، بازهم اطلاعات توسط لایه‌های اول و دوم (داده‌بان) محافظت می‌شوند.

Re: نتیجه تست باج افزار توسط AV-test

ارسال شده: چهارشنبه فوریه 14, 2018 12:06 am
توسط hkma
متشکر از توضیح خوب و کاملتون.
اما یک سوال دیگه:
اینکه پادویش تو تست انجام شده، از نمونه باج افزار های شبیه سازی شده فقط تونسته 50 درصدشون رو تشخیص بده چی؟

Re: نتیجه تست باج افزار توسط AV-test

ارسال شده: چهارشنبه فوریه 14, 2018 1:46 pm
توسط Naficy
در این مورد هم متن گزارش را بخوانید، توضیحات جالبی داده:

کد: انتخاب همه

In case of real-world ransomware attacks all were detected and successfully blocked. The detection 
rate of 100% is perfect. For the simulated attacks half of them were detected and completely 
blocked. The second half were detected but at least one file was encrypted before the malware could 
be stopped. We assume this happened because the simulated attacks did not start to encrypt files in 
the “Documents” folder, rather they start in a random folder on the primary partition.
The encrypted files of the 4 not completely blocked test cases are successfully recovered by Padvish’s
Data Cop Protection. Here Padvish use the Windows History (Volume Shadow Storage) functionality 
to recover different versions of files.
خلاصه فارسیش اینه:
  • در مورد حملات واقعی تشخیص ۱۰۰٪ و کامل بوده است.
  • در مورد ۸ حمله شبیه‌سازی‌شده (یعنی حمله‌ای که یک باجگیر واقعی نیست و در آزمایشگاه جهت تست طراحی شده)، نیمی از حملات به طور کامل بلوکه شدند.
  • ۴ مورد دیگر نیز تشخیص داده شدند، ولی حداقل یک فایل قبل از تشخیص رمز شده بود.
  • در این موارد که تشخیص بعد از رمز شدن چند فایل اتفاق افتاده، فایل‌های رمز شده توسط داده‌بان (Data Cop) قابل بازگرداندن بودند.
در نتیجه جلوگیری از باجگیر نهایتا انجام شده و اطلاعاتی نیز از دست نرفته، اما با معیارهای سختگیرانه و علمی نمره کامل کسب نشده است.

Re: نتیجه تست باج افزار توسط AV-test

ارسال شده: دوشنبه فوریه 26, 2018 9:09 pm
توسط Meysam
لطفا ترجمه کامل متن رو قرار دهید
نمیدونم چرا اصلا پیام خصوصی جواب نمیدین

Re: نتیجه تست باج افزار توسط AV-test

ارسال شده: جمعه مارس 02, 2018 11:00 am
توسط Naficy
Meysam نوشته شده: دوشنبه فوریه 26, 2018 9:09 pm لطفا ترجمه کامل متن رو قرار دهید
نمیدونم چرا اصلا پیام خصوصی جواب نمیدین
سلام
عذرخواهی می‌کنم، پیغام شما را ندیده بودم.
از پیشنهاد شما و پیگیریتان بسیار متشکرم.

راستش نمی‌دانم چقدر ترجمه کامل متن مفید است یا کار صحیحی است و هیچ شرکتی نیز ریز متن آزمون خود را ترجمه نمی‌کند.
این یک متن فنی است و فقط به درد افراد فنی می‌خورد، و این افراد نیز معمولا با متون اصلی راحتتر هستند. نکات ریز فنی برای مخاطب عام بیشتر گیج‌کننده است.
الان که ما حتی این گواهی را روی سایت خودمان نیز قرار نمی‌دهیم و به سایت اصلی لینک می‌دهیم، باز هم برخی افراد بی‌دقت در صحت این گواهی تردید می‌کنند! (داشتیم که می‌گم!) و باید به آنها گوشزد کنیم که گواهی روی سایت اصلی است.