Компания «РТ-Информационная безопасность» разработала цифровое решение «Антишифр» для противодействия программам-шифровальщикам (ransomware). Такой софт используют киберпреступники, чтобы похитить или уничтожить данные с целью получения финансовой выгоды, а также для шпионажа.

Новая разработка позволяет осуществлять мониторинг и заблаговременную блокировку любых операций, связанных с файлами и процессами, при выявлении признаков активности со стороны вредоносного ПО.

«Антишифр» является новым модулем отечественной экосистемы для обеспечения цифровой защиты RT Protect EDR, созданной компанией «РТ-Информационная безопасность». Интеграция модуля с ядром операционной системы Windows на уровне драйвера позволяет осуществлять анализ всех выполняемых процессов в режиме реального времени. Блокировка вредоносных операций происходит на этапе попытки их исполнения, а не постфактум. Это предотвращает преобразование, удаление или хищение данных.

«Организации Ростеха задействованы в важнейших технологических проектах России. Практически все наши предприятия — объекты критической информационной инфраструктуры. Программы-шифровальщики представляют огромную опасность для таких компаний. Удачная кибератака может нанести удар не просто по бизнесу, принеся многомиллионные убытки, но даже по национальной безопасности! «Антишифр» усилит защиту отечественных предприятий», — сказали в Ростехе.

Новый модуль обеспечивает автоматическое принудительное завершение как отдельных вредоносных программ, функционирующих самостоятельно, так и групп программ, работающих совместно. Кроме того, «Антишифр» проводит автоматическое сохранение важных файлов при попытке их модификации/удаления в локальное защищённое хранилище. Резервирование действует параллельно с другими защитными механизмами, благодаря чему можно восстановить важные файлы после отражения кибератаки. В случае вредоносного преобразования файлов для их восстановления не потребуется знать ключи и алгоритмы шифрования.

«Наш новый модуль предотвращает запуск вредоносного ПО за счёт регулярно обновляемых индикаторов компрометации по доменным именам, IP-адресам, хешам исполняемых файлов, YARA-сигнатурам. «Антишифр» способен выявлять общие характерные поведенческие признаки вредоносного ПО — повышение привилегий, закрепление в системе и другие — на начальном этапе его работы за счёт актуального набора индикаторов атак. Также модуль в режиме реального времени проводит аналитику поведения программ по отношению к файлам и выявляет характерные признаки вредоносного шифрования файлов или их уничтожения», — сказал генеральный директор «РТ-Информационная безопасность» Дмитрий Прендецкий.