Способ обнаружения и обезвреживания энкодеров

Авторы патента:

G06F21/56 - Обработка цифровых данных с помощью электрических устройств (вычислительные машины, в которых часть вычислений осуществляется гидравлическими или пневматическими устройствами G06D; оптическими средствами G06E; автономные внешние вводные и выводные устройства G06K; компьютерные системы, основанные на специфических вычислительных моделях G06N; цепи полного /активного и реактивного/ сопротивления H03H)

Владельцы патента RU 2640626:

Общество с ограниченной ответственностью "Доктор Веб" (RU)

Настоящий способ обнаружения и обезвреживания энкодеров относится к способам обнаружения вредоносных программ для ЭВМ на электронных устройствах. Техническим результатом, обеспечиваемым изобретением, является повышение эффективности защиты электронных устройств от воздействия энкодеров. Способ содержит этапы, на которых: I) осуществляют мониторинг действий программ в операционной и файловой системах электронного устройства; II) выявляют программы, осуществляющие операции составления перечня файлов, открытия, чтения и модификации большого количества файлов за заданный промежуток времени; III) относят выявленные на этапе II программы к категории подозрительных; IV) проводят анализ отнесенных на этапе III к категории подозрительных программ на предмет их вредоносности; V) обезвреживают вредоносные программы. 2 з.п. ф-лы.

Область техники

Данное изобретение относится к способам обнаружения вредоносных программ для ЭВМ на электронных устройствах.

Уровень техники

Вредоносные программы для ЭВМ являются серьезной угрозой информационной безопасности электронных устройств, поскольку в зависимости от модификации способны без согласия владельца, либо пользователя электронного устройства (далее - Владелец) удалить, изменить, заблокировать, зашифровать информацию, данные, файлы, папки Владельца (далее - Информация), а также предоставить третьим лицам полный доступ к Информации, размещенной на электронном устройстве.

Настоящее изобретение относится к обнаружению и обезвреживанию разновидности вредоносных программ для ЭВМ, предназначенных (и имеющих соответствующий функционал) для шифрования Информации на электронных устройствах без ведома и согласия Владельца электронного устройства (далее - Энкодеры, от англ. Encode - зашифровывать). Шифрование Информации Энкодером ведет к ее недоступности и невозможности использования Владельцем. Самостоятельная расшифровка зашифрованной Информации Владельцем без обращения к специалистам - практически невозможна (обращение к специалистам также не дает гарантии расшифровки Информации).

Зачастую Энкодеры также имеют функционал, позволяющий им осуществлять демонстрирование Владельцу электронного устройства (Информация на котором была зашифрована Энкодером без ведома Владельца электронного устройства) предложения расшифровать Информацию за денежное вознаграждение. Кроме того, некоторые разновидности Энкодеров способны не только зашифровывать Информацию, но также и похищать ее с электронных устройств без ведома и согласия Владельцев.

Энкодеры представляют огромную опасность для Владельцев электронных устройств, поскольку способны нанести Владельцам электронных устройств сразу несколько видов ущерба:

1) потеря важных (в т.ч. персональных, личных, конфиденциальных и прочих) данных, хранящихся на электронных устройствах, вследствие их шифрования;

2) материальный (денежный) ущерб вследствие совершения оплаты Владельцем электронного устройства за расшифровку зашифрованной Информации на электронном устройстве;

3) репутационный ущерб вследствие распространения третьими лицами похищенной с электронного устройства Владельца Информации (личные фотографии, переписка и прочее).

Работа Энкодера на электронном устройстве происходит очень быстро и, как правило, остается незаметной для Владельца до того момента, пока Владелец либо сталкивается с невозможностью использования Информации (файлов, папок и прочего), либо обнаруживает предложение Энкодера оплатить расшифровку зашифрованной Информации. Именно поэтому скорость обнаружения и обезвреживания Энкодера является столь важным фактором.

На сегодняшний день существует способ обнаружения вредоносных программ, шифрующих файлы, описанный в патенте US 20150058987 A1. Обнаружение вредоносных программ, шифрующих файлы, согласно вышеуказанному патенту основывается на анализе и сравнении данных в файлах до и после момента их модификации-шифрования. Основным недостатком данного способа является сильная зависимость скорости и успешности осуществления обнаружения вредоносных программ, шифрующих файлы, от уровня производительности электронного устройства в связи с необходимостью анализа и сравнения данных в файлах.

В то же время отличительным признаком заявленного изобретения является обнаружение и обезвреживание Энкодеров на основе мониторинга (отслеживания) поведения программ без необходимости проведения анализа и сравнения данных в файлах до и после момента их модификации-шифрования. Предложенный и описанный далее способ обнаружения и обезвреживания Энкодеров обходит описанные выше недостатки изобретения по патенту US 20150058987 A1.

Раскрытие изобретения

Задачей, на решение которой направлено заявленное изобретение, является обнаружение и обезвреживание Энкодеров.

Техническим результатом, обеспечиваемым заявленным изобретением, является повышение эффективности защиты электронных устройств от воздействия Энкодеров.

Данная задача и технический результат достигаются за счет того, что способ обнаружения и обезвреживания Энкодеров содержит этапы, на которых:

1) осуществляют мониторинг действий программ в операционной и файловой системах электронного устройства, в ходе которого отслеживают операции составления перечня файлов в файловой системе, открытия, создания, чтения, модификации, удаления файлов и прочие операции;

2) выявляют программы, осуществляющие операции составления перечня файлов, открытия, чтения и модификации большого количества файлов за заданный промежуток времени;

3) относят выявленные на этапе 2 программы к категории подозрительных;

4) проводят анализ отнесенных на этапе 3 к категории подозрительных программ на предмет их вредоносности;

5) обезвреживают вредоносные программы (в случае их отнесения к вредоносным в результате анализа, проведенного на этапе 4) путем блокирования доступа к ним, также возможности этих программ осуществлять операции открытия, чтения и модификации файлов и последующего удаления таких программ из операционной системы.

Описанные выше этапы также являются существенными признаками заявленного изобретения.

Осуществление изобретения

Заявленное изобретение осуществляется следующим образом.

В операционной и файловой системах электронного устройства осуществляется мониторинг действий программ. В ходе мониторинга отслеживаются такие операции программ, как: составление перечня файлов (создание дерева файлов и каталогов), открытие, чтение, модификация, удаление файлов и прочие операции с файлами. Среди программ выявляются те из них, которые осуществляют операции открытия, чтения и модификации большого количества файлов (к примеру, больше 10 файлов) за заданный промежуток времени (к примеру, меньше чем за 1 секунду). Выявляются именно такие программы, поскольку упомянутые ранее Энкодеры перед началом шифрования файлов составляют перечень имеющихся на электронном устройстве файлов, затем осуществляют операции открытия, чтения и модификации файлов. Однако перед отнесением программ, осуществляющих вышеописанные операции, присущие Энкодерам, к вредоносным осуществляется отнесение таких программ к подозрительным с одновременным анализом на предмет их вредоносности. В случае если по итогам анализа вредоносности программа признается вредоносной (Энкодеры), происходит ее обезвреживание. Обезвреживание производится путем блокирования доступа к такой программе, а также возможности этих программ осуществлять операции открытия, чтения и модификации файлов, после чего производится удаление таких программ из операционной и файловых систем, а также удаление следов их присутствия. В случае невозможности произвести удаление вредоносной программы незамедлительно производится перезагрузка электронного устройства и последующее отложенное удаление вредоносной программы.

Согласно одному из частных вариантов реализации изобретения мониторинг действий программ в операционной и файловой системах электронного устройства, а также выявление программ осуществляется только в отношении тех программ, которые осуществляют операции открытия, чтения и модификации файлов только определенного типа (например, *.doc, *.xls, *.ppt, *jpg, *.pdf и т.д.).

Это связано с характерным для Энкодеров поведением: они модифицируют не все файлы, а только те, что обычно содержат значимую для Владельцев Информацию, но при этом модификация этих файлов не вызывает фатальный сбой в работе операционной или файловой системы.

Согласно другому частному варианту реализации изобретения мониторинг действий программ в операционной и файловой системах электронного устройства осуществляется одновременно в отношении нескольких программ (многопоточность).

Это связано с такой особенностью некоторых разновидностей Энкодеров, как распределение процессов (так называемая многопоточность), т.е. Энкодер может одновременно осуществлять чтение файлов в одном процессе и их модификацию - в другом процессе.

Настоящее изобретение не ограничивается приведенными вариантами осуществления, оно может воплощаться в различных видах. Сущность, приведенная в описании, является деталями, приведенными для помощи специалисту в области техники в исчерпывающем понимании изобретения. Настоящее изобретение определяется в объеме приложенной формулы.

1. Способ обнаружения и обезвреживания энкодеров, содержащий этапы, на которых:

I) осуществляют мониторинг действий программ в операционной и файловой системах электронного устройства;

II) выявляют программы, осуществляющие операции составления перечня файлов, открытия, чтения и модификации большого количества файлов за заданный промежуток времени;

III) относят выявленные на этапе II программы к категории подозрительных;

IV) проводят анализ отнесенных на этапе III к категории подозрительных программ на предмет их вредоносности;

V) обезвреживают вредоносные программы.

2. Способ по п. 1, в котором мониторинг действий программ в операционной и файловой системах электронного устройства, а также выявление программ осуществляется только в отношении тех программ, которые осуществляют операции открытия, чтения и модификации файлов только определенного типа.

3. Способ по п. 1, в котором мониторинг действий программ в операционной и файловой системах электронного устройства осуществляется одновременно за несколькими программами.

Изобретение относится к области антивредоносных систем, использующих технологию аппаратной виртуализации. Техническим результатом является защита компьютерных систем от вредоносных программ.

Способ и устройство для определения пригодности документа для оптического распознавания символов (ocr) на сервере // 2640296

Изобретение относится к средствам анализа цифрового изображения документа в вычислительной системе. Технический результат заключается в расширении арсенала технических средств анализа цифрового изображения документа.

Способ и устройство для мониторинга файла в системном разделе // 2639898

Изобретение относится к области мониторинга программ и устройств для поддержания целостности операционных систем, а именно к мониторингу файлов в системном разделе операционной системы мобильного терминала.

Способ и система аутентификации // 2639674

Изобретение относится к компьютерной безопасности. Технический результат заключается в повышении безопасности во время аутентификации пользователя.

Контекстное приглашение в пробной версии приложения // 2639667

Изобретение относится к способу и системе обновления приложений на компьютерном устройстве. Технический результат заключается в обновлении программного обеспечения до улучшенной версии, которая обеспечивает полный набор возможностей программного обеспечения.

Удаление следов вредоносной активности из операционной системы, которая в настоящий момент не загружена на компьютерном устройстве // 2639666

Изобретение относится к системе и способу устранения последствий удаления вредоносного файла во время проведения антивирусной проверки неактивной операционной системы (ОС), которая установлена и не запущена на компьютере.

Верификация информации воздушного летательного аппарата в ответ на скомпрометированный цифровой сертификат // 2638736

Изобретение относится к области верифицирования подлинности и целостности информации, используемой на воздушном летательном аппарате. Техническим результатом является повышение безопасности полета.

Система и способ оптимизации антивирусной проверки неактивных операционных систем // 2638735

Изобретение относится к системе и способу антивирусной проверки операционных систем (ОС), установленных на компьютере и неактивных в момент проверки. Технический результат заключается в ускорении проведения антивирусной проверки неактивной ОС и в проведении антивирусной проверки только одной неактивной ОС при наличии нескольких установленных ОС.

Способы обнаружения вредоносных элементов веб-страниц // 2638710

Изобретение относится к способам обнаружения вредоносных элементов веб-страниц. Технический результат заключается в обеспечении обнаружения вредоносных элементов веб-страницы, возникших на стороне пользователя, без установки дополнительного программного обеспечения.

Способ оценки степени влияния средств разграничения доступа на производительность автоматизированной системы // 2638636

Изобретение относится к средствам разграничения доступа, предназначенным для защиты информации, содержащейся в автоматизированной системе, от несанкционированного доступа.

Способ оценки эффективности функционирования автоматизированных систем управления в условиях воздействия вредоносных программ // 2640629

Изобретение относится к способу оценки эффективности функционирования автоматизированных систем управления (АСУ). Технический результат заключается в расширении функциональных возможностей способа оценки эффективности AСУ за счет добавления в него процесса моделирования воздействия вредоносных программ на структурные элементы АСУ. Способ включает в себя выбор стратегии оценки эффективности управления; моделирование воздействие вредоносных программ на структурные элементы (СЭ) АСУ, которые осуществляют прием, хранение, обработку, выдачу и отображение информации, путем внедрения образцов вредоносного кода в память этих СЭ АСУ с помощью устройства моделирования воздействия вредоносных программ, на основе информации об уязвимостях программного и аппаратного обеспечения СЭ АСУ, полученной из запоминающего устройства (ЗУ) уязвимостей, ЗУ весовых коэффициентов, соответствующих критичности каждой уязвимости и ЗУ образцов вредоносного кода; затем автоматически считывают информацию с датчиков через преобразователи и записывают ее в ЗУ считанной информации терминального сервера, в котором преобразуют эту информацию к виду, удобному для текущей оценки, а затем оценивают ее по программе оценки эффективности управления. 1 ил., 1 табл.

Устройство обработки информации, способ обработки информации, программа и устройство-сервер // 2640640

Изобретение относится к технологиям сетевой связи. Технический результат заключается в повышении скорости передачи данных. Устройство содержащее: модуль обработки данных вещания, выполненный с возможностью приема и обработки данных вещательного ресурса, состоящего из множества типов мультимедийной информации; и контроллер, выполненный с возможностью получения информации о приложении, которая хранит информацию, необходимую для активирования приложения, которое может использовать вещательный ресурс, отличающееся тем, что контроллер дополнительно выполнен с возможностью получения первой информации определения, предназначенной для указания типа мультимедийной информации вещательного ресурса, который может быть использован этим приложением, из множества типов мультимедийной информации, содержащих: видеоинформацию, аудиоинформацию, служебную информацию (SI), субтитры или вещательную передачу данных, и определения, может ли этот вещательный ресурс быть использован этим приложением, основываясь на типе мультимедийной информации, указанной в перовой информации определения. 4 н. и 16 з.п. ф-лы, 21 ил.

Биометрическая система с интерфейсом связи через тело // 2640641

Изобретение относится к биометрической системе. Технический результат заключается в расширении арсенала биометрических средств, включающих систему подтверждения идентичности и систему верификации идентичности. Биометрическая система (100), содержащая систему (110) подтверждения идентичности, содержащую энергонезависимое запоминающее устройство (125), хранящее биометрические данные верификации для биометрического признака индивида, биометрические данные верификации содержат биометрические вспомогательные данные для уменьшения шума в биометрических данных, полученных с помощью биометрического считывателя, сконфигурированного для измерения биометрического признака индивида, и первый интерфейс (130) связи через тело, сконфигурированный для передачи биометрических данных верификации посредством связи через тело вдоль тела индивида или сквозь него во второй интерфейс связи через тело, и систему (210) верификации идентичности, содержащую биометрический считыватель (220), сконфигурированный для измерения биометрического признака индивида для получения биометрических данных, второй интерфейс (230) связи через тело, сконфигурированный для приема биометрических данных верификации посредством связи через тело вдоль тела индивида или сквозь него, причем биометрический считыватель размещается так, что второй интерфейс связи через тело соприкасается или находится в непосредственной близости с индивидом во время измерения биометрического признака с помощью биометрического считывателя (220), чтобы сделать возможным прием, и верификатор биометрических данных, сконфигурированный для сверки полученных биометрических данных с биометрическими данными верификации. 6 н. и 8 з.п. ф-лы, 4 ил.

Передача классификации потребительского продукта // 2640649

Изобретение относится к средствам подтверждения подлинности картриджа принтера. Технический результат заключается в уменьшении вероятности использования неподлинного картриджа для принтера. Память картриджа содержит идентификатор для картриджа для печати, которым, когда его подлинность подтверждена, запускается передача классификации картриджа для печати в принтер. Память картриджа также содержит поле классификации и функциональные данные главного устройства для идентификации классификации картриджа для печати и предоставления данных для обеспечения, на основе классификации картриджа для печати, усовершенствованной или дополнительной функции принтера. При этом поле классификации дополнительно содержит данные для инструктирования принтера на предмет того, использовать ли функциональные данные главного устройства. 3 н. и 16 з.п. ф-лы, 7 ил.

Сетевое управление наборами защищенных данных // 2640653

Изобретение относится к системе для эмуляции физически подсоединенной доверенной среды исполнения. Технический результат заключается в сохранении безопасности локальной доверенной среды исполнения. Система для эмуляции физически подсоединенной доверенной среды исполнения включает: приемный модуль, выполненный с возможностью принимать команды доверенной среды исполнения, выданные множеством субъектов через сеть, где каждая команда является командой функционировать в контексте обеспечения безопасности, который соответствует субъекту, выдавшему эту команду; экземпляр процессора обеспечения безопасности, сконфигурированный для выполнения множества криптографических процессов и процессов обеспечения безопасности в отношении ключей и наборов защищенных данных в качестве реакции на команды доверенной среды исполнения; модуль управления учетными записями, сконфигурированный для поддержания множества защищенных учетных записей. 3 н. и 17 з.п. ф-лы, 4 ил.

Способ и устройство управления веб-приложением // 2640720

Изобретение относится к области технологий связи. Технический результат заключается в повышении эффективности обратного перехода на веб-приложение в форме веб-страницы. Технический результат достигается за счет получения маркера отображения веб-приложения, на открытой веб-странице, идентификатора браузера и универсального указателя ресурса URL веб-приложения, приема первой инструкции, которая используется для отображения списка недавно открытых приложений, отображения маркера отображения веб-приложения в списке недавно открытых приложений в соответствии с первой инструкцией, и приема второй инструкции, что пользователь выбирает веб-приложение в соответствии со списком недавно открытых приложений, и открытие веб-приложения, соответствующего URL, в соответствии со второй инструкцией с использованием браузера, соответствующего идентификатору браузера, для предоставления возможности быстрого запуска веб-приложения. 2 н. и 9 з.п. ф-лы, 7 ил.

Способ получения информации для биометрической идентификации личности // 2640732

Изобретение относится к биометрической аутентификации, верификации и идентификации человека и может быть использовано для определения или подтверждения личности пользователя в платежных системах, системах лояльности, системах контроля и управления доступа. Техническим результатом является расширение арсенала средств того же назначения, т.е. получение информации для биометрической идентификации личности. В способе обеспечивают биометрическую идентификацию личности, в котором биометрический образ дополняют параметрами, характеризующими позу индивида, причем в качестве характеристики позы индивида используют несколько вариантов движений, фотографирование производят при движении индивида рукой или головой, а набор изображений состоит из серии фотографий или видеокадров, фотографирование осуществляют с использованием фотоаппаратов, сотовых телефонов или камер, причем можно получить ряд фотографий лица с разных сторон, результаты фотографирования сохраняются и могут использоваться для аутентификации, верификации и идентификации человека.

Способ моделирования пунктов управления // 2640734

Изобретение относится к области моделирования и может быть использовано для моделирования процессов функционирования элементов пунктов управления, систем военной связи и автоматизированных систем управления (АСУ) в условиях вскрытия и внешних деструктивных воздействий. Техническим результатом изобретения является повышение достоверности моделирования процесса функционирования пункта управления с учетом процессов вскрытия и внешних деструктивных воздействий на элементы пункта управления со стороны злоумышленника, а также возможности изменения структуры пункта управления с учетом этих воздействий. Технический результат достигается за счет разработки способа, основанного на моделировании основных процессов функционирования элементов пункта управления в условиях внешних дестабилизирующих факторов с учетом особенностей выполняемых задач. 4 ил.

Кривые в вариационной системе // 2640739

Изобретение относится к средствам управления данными о продукте. Технический результат заключается в расширении арсенала технических средств редактирования кривых редактируемой геометрической модели. Способ включает в себя прием геометрической модели, включающей в себя множество сущностей-объектов; прием существующих условий, соответствующих геометрической модели; прием операции, которая должна быть выполнена по отношению к выбранному объекту геометрической модели; проход по геометрической модели от выбранного объекта к другим объектам геометрической модели согласно существующим условиям; и добавление выбранных объектов и других объектов в вариационную систему. Применяют упорядоченные необязательные ограничения для достижения предпочтительного поведения (наклонять ребра, сохранять ребра как горизонтальные или вертикальные, не перемещать ребра, оставлять размер и форму постоянными или локализации области изменения). Выполняют вариационное решение вариационной системы согласно операции для создания модифицированных объектов; выполняют топологическое развертывание согласно модифицированным объектам; применяют модифицированные объекты к геометрической модели для создания отредактированной геометрической модели. 3 н. и 15 з.п. ф-лы, 8 ил.

Способ функционирования secureos на многопроцессорных системах в мобильных устройствах // 2641226

Изобретение относится к способу функционирования защищенной операционной системы (SecureOS) на многопроцессорных системах в мобильных устройствах. Технический результат заключается в повышении производительности SecureOS. Способ содержит этапы, на которых: после активации потока в SecureOS назначают в SecureOS этот поток ядру процессора (CPU), каковое назначение включает в себя этап, на котором изменяют маску CPU, при этом маска CPU является структурой данных, поддерживаемой в SecureOS для информирования незащищенной операционной системы (RichOS) о текущих потребностях SecureOS в ядрах CPU; передают посредством SecureOS маску CPU в RichOS для запрашивания RichOS предоставить SecureOS управление на ядре CPU; на основе маски CPU включают посредством RichOS ядро CPU, если ядро CPU отключено; и переключают посредством RichOS ядро CPU в защищенный режим, предоставляя SecureOS управление на ядре CPU, причем мобильное устройство содержит CPU, имеющий множество ядер CPU, каждое из которых функционирует либо в защищенном, либо в незащищенном режиме, и установленные в мобильном устройстве RichOS и SecureOS поддерживают многопоточность и сообщаются друг с другом через предварительно заданный интерфейс. 2 н. и 28 з.п. ф-лы, 5 ил.