Решение Ростеха защитит критически важные предприятия от программ-шифровальщиков

Новая разработка позволяет осуществлять мониторинг и заблаговременную блокировку любых операций, связанных с файлами и процессами, при выявлении признаков активности со стороны вредоносного ПО.

«Антишифр» является новым модулем отечественной экосистемы для обеспечения цифровой защиты RT Protect EDR, созданной компанией «РТ-Информационная безопасность». Интеграция модуля с ядром операционной системы Windows на уровне драйвера позволяет осуществлять анализ всех выполняемых процессов в режиме реального времени. Блокировка вредоносных операций происходит на этапе попытки их исполнения, а не постфактум. Это предотвращает преобразование, удаление или хищение данных.

Новый модуль обеспечивает автоматическое принудительное завершение как отдельных вредоносных программ, функционирующих самостоятельно, так и групп программ, работающих совместно. Кроме того, «Антишифр» проводит автоматическое сохранение важных файлов при попытке их модификации/удаления в локальное защищенное хранилище. Резервирование действует параллельно с другими защитными механизмами, благодаря чему можно восстановить важные файлы после отражения кибератаки. В случае вредоносного преобразования файлов для их восстановления не потребуется знать ключи и алгоритмы шифрования.

«Наш новый модуль предотвращает запуск вредоносного ПО за счет регулярно обновляемых индикаторов компрометации по доменным именам, IP-адресам, хешам исполняемых файлов, YARA-сигнатурам. „Антишифр“ способен выявлять общие характерные поведенческие признаки вредоносного ПО — повышение привилегий, закрепление в системе и другие — на начальном этапе его работы за счет актуального набора индикаторов атак. Также модуль в режиме реального времени проводит аналитику поведения программ по отношению к файлам и выявляет характерные признаки вредоносного шифрования файлов или их уничтожения», — сказал генеральный директор «РТ-Информационная безопасность» Дмитрий Прендецкий.