با سلام و خسته نباشید.
اگه ممکنه این جمله از نتیجه تست رو توضیح دهید. به نظر این مشکل جدی میتونه باشه!
"However, we found that the protection approach can be bypassed if Ransomware changes its behavior"
نتیجه تست باج افزار توسط AV-test
Re: نتیجه تست باج افزار توسط AV-test
سلام
خوشحالم که پرسیدید.
اگر جمله را تا انتها بخوانید خود av-test توضیح داده است:
این جملات مربوط به یکی از چهار لایه محافظتی ضدباجگیر پادویش (طعمهگذاری) است. اما وجود حداقل دو لایه محافظتی دیگر باعث میشود که حتی در صورت بایپس شدن این لایه، بازهم فایلها محافظت شوند.
ضدباجگیر پادویش چهار لایه محافظت که به صورت تودرتو یک محافظت کامل را ایجاد میکنند. به طوری که در صورت دور خوردن یک لایه، سایر لایهها جلوی عملکرد باجگیر را خواهند گرفت:
۱- لایه محافظت اطلاعات: این لایه به صورت هوشمند و رفتاری جلوی رمز شدن و از بین رفتن فایلهای کاربر را میگیرد. اولین نسخ ضدباجگیر فقط همین یک لایه را داشت و یک ضدباجگیر کامل بود. نمونه موفقیت این لایه این بود که زمان انتشار باجگیر wannacry معروف، همین لایه به تنهایی جلوی عملکرد این ویروس را میگرفت و نیازی به سایر لایهها نبود.
۲- لایه دادهبان: این لایه یک پشتیبانگیری منظم (روزی دوبار) و بسیار سریع (در حد چند ثانیه) و فوقالعاده کم حجم (در حد چند مگابایت فقط تغییرات) از کل اطلاعات سیستم تهیه میکند و جلوی حذف این پشتیبانها توسط باجگیر یا هر نرمافزار دیگری را میگیرد.
۳- لایه محافظت MBR: این لایه جلوی باجگیرهایی که با آلوده کردن MBR و ریست کردن سیستم، قبل از بالا آمدن ویندوز اطلاعات دیسک را رمز میکنند را میگیرد. همچنین جلوی روتکیتهایی که از این تکنیک استفاده میکنند توسط این لایه گرفته میشود.
۴- لایه طعمهگذاری: این لایه که آخرین لایهای است که اضافه شده است، تعداد فایل طعمه در نقاط مهم سیستم قرار میدهد. به محض اینکه باجگیری بخواهد این فایلها را رمز کند توسط لایه طعمهگذاری به دام میافتد. این همان لایهای است که در گزارش به آن اشاره شده است.
در واقع علت اضافه شدن این لایه این بود که برخی باجگیرها علیرغم اینکه فایلهای کاربر را نمیتوانستند رمز کنند، نام و پسوند فایل را تغییر میدادند و کاربر ناچار بود اسم فایلها را بازگرداند. در نتیجه و برای جلوگیری از این موضوع، مکانیزم طعمهگذاری به پادویش اضافه شد که البته در گرفتن باجگیرها نیز کمک میکند، ولی ضروری نیست.
گزارش av-test ذکر کرده که ثابت بودن نام فولدر باعث میشود که باجگیر بتواند این مکانیزم را دور بزند. نام این فولدر در نسخه بعدی ضدباجگیر رندوم خواهد بود، ولی حتی در صورت دور خوردن این مکانیزم، بازهم اطلاعات توسط لایههای اول و دوم (دادهبان) محافظت میشوند.
خوشحالم که پرسیدید.
اگر جمله را تا انتها بخوانید خود av-test توضیح داده است:
کد: انتخاب همه
Currently Padvish creates a folder “!!AntiCrypto!!” containing fake files with lots of
different file extension. The default behavior of the ransomware at the present time follows the
sequence A-Z. Therefore, the ransomware tries to encrypt the files in the fake folder first. This
enables Padvish AntiCrypto to detect the behavior and block the malware without causing any
damage to the actually relevant user data.ضدباجگیر پادویش چهار لایه محافظت که به صورت تودرتو یک محافظت کامل را ایجاد میکنند. به طوری که در صورت دور خوردن یک لایه، سایر لایهها جلوی عملکرد باجگیر را خواهند گرفت:
۱- لایه محافظت اطلاعات: این لایه به صورت هوشمند و رفتاری جلوی رمز شدن و از بین رفتن فایلهای کاربر را میگیرد. اولین نسخ ضدباجگیر فقط همین یک لایه را داشت و یک ضدباجگیر کامل بود. نمونه موفقیت این لایه این بود که زمان انتشار باجگیر wannacry معروف، همین لایه به تنهایی جلوی عملکرد این ویروس را میگرفت و نیازی به سایر لایهها نبود.
۲- لایه دادهبان: این لایه یک پشتیبانگیری منظم (روزی دوبار) و بسیار سریع (در حد چند ثانیه) و فوقالعاده کم حجم (در حد چند مگابایت فقط تغییرات) از کل اطلاعات سیستم تهیه میکند و جلوی حذف این پشتیبانها توسط باجگیر یا هر نرمافزار دیگری را میگیرد.
۳- لایه محافظت MBR: این لایه جلوی باجگیرهایی که با آلوده کردن MBR و ریست کردن سیستم، قبل از بالا آمدن ویندوز اطلاعات دیسک را رمز میکنند را میگیرد. همچنین جلوی روتکیتهایی که از این تکنیک استفاده میکنند توسط این لایه گرفته میشود.
۴- لایه طعمهگذاری: این لایه که آخرین لایهای است که اضافه شده است، تعداد فایل طعمه در نقاط مهم سیستم قرار میدهد. به محض اینکه باجگیری بخواهد این فایلها را رمز کند توسط لایه طعمهگذاری به دام میافتد. این همان لایهای است که در گزارش به آن اشاره شده است.
در واقع علت اضافه شدن این لایه این بود که برخی باجگیرها علیرغم اینکه فایلهای کاربر را نمیتوانستند رمز کنند، نام و پسوند فایل را تغییر میدادند و کاربر ناچار بود اسم فایلها را بازگرداند. در نتیجه و برای جلوگیری از این موضوع، مکانیزم طعمهگذاری به پادویش اضافه شد که البته در گرفتن باجگیرها نیز کمک میکند، ولی ضروری نیست.
گزارش av-test ذکر کرده که ثابت بودن نام فولدر باعث میشود که باجگیر بتواند این مکانیزم را دور بزند. نام این فولدر در نسخه بعدی ضدباجگیر رندوم خواهد بود، ولی حتی در صورت دور خوردن این مکانیزم، بازهم اطلاعات توسط لایههای اول و دوم (دادهبان) محافظت میشوند.
Re: نتیجه تست باج افزار توسط AV-test
متشکر از توضیح خوب و کاملتون.
اما یک سوال دیگه:
اینکه پادویش تو تست انجام شده، از نمونه باج افزار های شبیه سازی شده فقط تونسته 50 درصدشون رو تشخیص بده چی؟
اما یک سوال دیگه:
اینکه پادویش تو تست انجام شده، از نمونه باج افزار های شبیه سازی شده فقط تونسته 50 درصدشون رو تشخیص بده چی؟
Re: نتیجه تست باج افزار توسط AV-test
در این مورد هم متن گزارش را بخوانید، توضیحات جالبی داده:
خلاصه فارسیش اینه:
کد: انتخاب همه
In case of real-world ransomware attacks all were detected and successfully blocked. The detection
rate of 100% is perfect. For the simulated attacks half of them were detected and completely
blocked. The second half were detected but at least one file was encrypted before the malware could
be stopped. We assume this happened because the simulated attacks did not start to encrypt files in
the “Documents” folder, rather they start in a random folder on the primary partition.
The encrypted files of the 4 not completely blocked test cases are successfully recovered by Padvish’s
Data Cop Protection. Here Padvish use the Windows History (Volume Shadow Storage) functionality
to recover different versions of files.- در مورد حملات واقعی تشخیص ۱۰۰٪ و کامل بوده است.
- در مورد ۸ حمله شبیهسازیشده (یعنی حملهای که یک باجگیر واقعی نیست و در آزمایشگاه جهت تست طراحی شده)، نیمی از حملات به طور کامل بلوکه شدند.
- ۴ مورد دیگر نیز تشخیص داده شدند، ولی حداقل یک فایل قبل از تشخیص رمز شده بود.
- در این موارد که تشخیص بعد از رمز شدن چند فایل اتفاق افتاده، فایلهای رمز شده توسط دادهبان (Data Cop) قابل بازگرداندن بودند.
Re: نتیجه تست باج افزار توسط AV-test
لطفا ترجمه کامل متن رو قرار دهید
نمیدونم چرا اصلا پیام خصوصی جواب نمیدین
نمیدونم چرا اصلا پیام خصوصی جواب نمیدین
Re: نتیجه تست باج افزار توسط AV-test
سلام
عذرخواهی میکنم، پیغام شما را ندیده بودم.
از پیشنهاد شما و پیگیریتان بسیار متشکرم.
راستش نمیدانم چقدر ترجمه کامل متن مفید است یا کار صحیحی است و هیچ شرکتی نیز ریز متن آزمون خود را ترجمه نمیکند.
این یک متن فنی است و فقط به درد افراد فنی میخورد، و این افراد نیز معمولا با متون اصلی راحتتر هستند. نکات ریز فنی برای مخاطب عام بیشتر گیجکننده است.
الان که ما حتی این گواهی را روی سایت خودمان نیز قرار نمیدهیم و به سایت اصلی لینک میدهیم، باز هم برخی افراد بیدقت در صحت این گواهی تردید میکنند! (داشتیم که میگم!) و باید به آنها گوشزد کنیم که گواهی روی سایت اصلی است.