Microsoft: Windows 10 защитит от шифровальщиков без помощи антивируса

Исследование Microsoft показывает, что шифровальщики семейства Cerber являются самыми распространенными представителями данного вида угроз за последнее время.

Согласно заявлениям Microsoft, когда ваш антивирус не способен заблокировать троян-вымогатель, Windows 10 по-прежнему может нейтрализовать угрозу.

Редмонд утверждает, что защита от шифровальщиков - является значимой причиной для перехода организаций на Windows 10 Enterprise, потому что встроенная технология Windows Defender Advanced Threat Protection (ATP) может самостоятельно пресечь действия троянов-вымогателей до того, как они смогут нанести серьезный ущерб пользовательским файлам.

Microsoft представила новое исследование реакции Windows Defender ATP на шифровальщиков семейства Cerber, которые доминировали в период с 16 декабря по 15 января.

Член команды исследователей Windows Defender ATP Томми Близард сообщает: “Наше исследование семейства известных вымогателей показывает, что кампания по распространению угроз может длиться несколько дней или даже недель, в течение которых используются схожие методы и файлы. Если компания сможет быстро проанализировать первые случаи заражения, то распространенные угрозы можно надежно остановить”.

Так как в разных семействах вымогателей используются похожие техники, Близард считает, что исследование Cerber может помочь отследить другие варианты шифровальщиков и ускорить реагирование на угрозы безопасности.

Редмонд в последнее время активно мотивирует компании переходить на Windows 10. Многие организации по-прежнему используют Windows 7, которая, по мнению Microsoft, не соответствует современным требованиям безопасности.

Тем временем, Windows 10 Defender ATP получит новые функции безопасности в рамках предстоящего крупного обновления Creators Update, которое ожидается в апреле 2017 года. В частности, будут добавлены новые методы обнаружения вредоносных программ в оперативной памяти и эксплойтов уровня ядра, появится возможность добавления новых источников аналитических данных, а также будут улучшены инструменты для изоляции зараженных систем.

Недавно Microsoft подчеркнула, что улучшения, представленные в Windows 10 Юбилейное обновление, позволили заблокировать два ранее неизвестных эксплойта, еще до того, как были выпущены патчи.

Близард обращает внимание, что текущая версия Defender ATP успешно обнаруживает команду PowerShell, которая используется для распространения вымогателей Cerber. Защита предупреждает, когда скрипт PowerShell пытается подключиться к скрытому сайту сети Tor для скачивания исполняемого файла.

Близард утверждает: “Персонал службы безопасности IT-инфраструктуры (Security Operation Center) может использовать подобные предупреждения для обнаружения IP-адреса источника угрозы и блокировки адреса в правилах фаервола, предотвратив скачивание зловреда на других машинах”.

Сотрудники службы безопасности могут использовать имя файла для поиска других установок объекта в сети с помощью консоли Defender ATP. Затем они могут посмотреть IP-адрес источника, который содержит угрозу и заблокировать его в фаерволе.

Windows Defender ATP также способен обнаружить автоматический запуск Cerber после завершения загрузки и предпринять необходимые защитные меры еще до этапа шифрования файла, когда зловред пытается предотвратить будущие попытки резервного копирования.

Подобные предупреждения предназначены для получения актуальной информации о безопасности системы, которая поможет провести расследование и предотвратить масштабное заражение.

Близард отмечает: “В нашем исследовании поддерживались модели машинного обучения и алгоритмы поведенческого анализа, которые обнаруживают троян-вымогатель на разных этапах поражения цели в случаях доставки электронного сообщения с угрозой или при организации атаки с помощью эксплойтов, вплоть до момента, когда жертва обычно совершает выплату злоумышленникам”.

По материалам ZDNet