С каждым годом количество угроз продолжает расти, они становятся сложнее и опаснее. Согласно данным Лаборатории Касперского, во втором квартале 2017 года было обнаружено 15663 новых модификаций программ-вымогателей (для сравнения за тот же период 2016 года новых вредоносов было почти на 70% меньше — 9226) и зафиксировано 268284 атак.
Рисунок 1. Количество новых модификаций программ-вымогателей согласно данным Лаборатории Касперского
Две самые масштабные атаки произошли в этом году. Сначала в мае программа-вымогатель WannaCry атаковала телефонные компании, больницы, заводы и сотни других организаций в более чем 100 странах, а затем, в июне, шифровальщик NotPetya заставил тысячи пользователей по всему миру пожалеть об отсутствии резервных копий своих данных.
Рисунок 2. Количество атак программ-вымогателей согласно данным Лаборатории Касперского
Сегодня про эти кибератаки говорят крупнейшие мировые СМИ, поэтому пользователи начинают лучше представлять масштаб угрозы. Согласно данным нашего глобального исследования на тему защиты данных, о программах-вымогателях знают почти 50% респондентов, против 35% в прошлом Исследование прошло в августе этого года, в нем приняли участие пользователи из США, Великобритании, Австралии, Японии, Германии, Франции и Испании.
Однако пока еще низкая осведомленность пользователей и постоянное усложнение кода программ-вымогателей не оставляет сомнений, что количество атак будет расти, а значит и решения по защите данных тоже должны совершенствоваться.
Поэтому одним из основных нововведений Acronis True Image 2018 стала технология Acronis Active Protection 2.0, которая и призвана «отбивать атаки». В основе представленной в начале года технологии Acronis Active Protection лежат поведенческие эвристики, которые помогают выявить подозрительную активность и предотвратить атаки программ-вымогателей. Такой подход к защите прекрасно работал и работает для большинства существующих зловредов, однако, их современные версии настолько продвинуты, что могут «обмануть» систему. Представьте себе вредоносца, который внедряется в MS Word, и, шифруя все документы целиком, оставляет заголовки нетронутыми. В этом случае поведенческая эвристика не относит это процесс к опасному, и зловред успевает «частично зашифровать» почти все файлы до того, как вы успеете что-то предпринять.
Для того, чтобы противостоять и таким атакам, в Acronis Active Protection 2.0 был внедрен ML(machine learning) Engine, который анализирует работу как зараженных и незараженных программ, формирует на основе их сравнения характерные паттерны и, в случае их последующего обнаружения, останавливает подозрительные процессы.
В Санкт-Петербурге и Москве у нас уже развернуто более 20 физических ферм, а также работает виртуальное облако Microsoft Azure, на котором в автоматическом режиме производится загрузка и анализ процессов в различных ОС и программах в чистом виде и при заражении программами-вымогателями. Алгоритм «учится», чем различаются эти процессы и какие показатели могут сигнализировать о заражении.
Наши внутренние тесты показали, что даже если атака не была зафиксирована на основе поведенческой эвристики, ML Engine Acronis Active Protection 2.0 замечал ее и блокировал. В дополнение к этому, машинное обучение помогло нам найти и сформулировать новые правила для эвристической составляющей. К уже имеющимся правилам «робот» нашел еще 100. Самые внимательные и придирчивые могли уже задаться вопросом: сколько места на жестком диске и в памяти требует такой алгоритм? Ответ вас немного удивит: система занимает менее 14 мб! Если говорить о загрузке памяти, то и тут беспокоиться не о чем: ML Engine работает в фоновом режиме и включается лишь раз в 30 секунд, не занимая много памяти.
Acronis Active Protection 2.0 также обзавелся дашбордом, который показывает график всех процессов в системе, в том числе подозрительных. Подозрительными считаются процессы без цифровой подписи (или с недействительной подписью) или если есть подозрение, что в процесс был внедрен код с помощью DLL Injection. Если такие процессы начинают изменять файлы пользователя, то эти файлы сохраняются в кэш. Если модифицируется слишком много файлов, то срабатывают наши эвристики, система приостанавливает работу процесса и сообщает пользователю, что это, скорее всего, программа-вымогатель и предлагает добавить эти процессы в черный список или разрешить им продолжить работу. Также на этом дашборде отображается информация о готовящихся обновлениях, статистика по количеству заблокированных Active Protection процессах, число восстановленных после атаки файлов, и новости из блога Acronis.
Среди других функций, которые мы обновили, можно отметить мастер создания загрузочных носителей. Теперь при создании загрузочного флэш-накопителя или CD/DVD-диска мы используем Windows Recovery Partition. Если раньше для этого нужно было скачивать специальный кит от Microsoft размером в зависимости от сборки от 4 до 6 Гб, то в Acronis True Image 2018 мы решили сделать все немного изящнее, не загружая лишнего. На современных Windows-системах есть Recovery-разделы, с которых мы можем брать собственно этот ADK (комплект средств для развертывания и оценки Windows) и на его основе мы делаем загрузочный носитель, не загружая специальных китов.
Также у нас появилась возможность конвертировать резервные копии в виртуальные диски в формате VHD(x). Этот виртуальный диск можно использовать по-разному: например, в качестве носителя данных (зайти, побраузить папки и файлы, какие-то из них можно восстановить простым копированием, не прибегая к помощи True Image). Можно загрузить как виртуальную машину Hyper-V (начиная с Windows 7, она доступна в PRO версиях), а можно загрузиться нативно как с WRP.
Полезным для наших пользователей станет ещё одно нововведение — система клонирования активных дисков Windows. Клонирование диска поможет, например, при переезде с HDD на SSD или же если есть подозрение, что диск может скоро прийти в негодность. Теперь чтобы скопировать системный диск не нужно перезагружаться – можно «на лету» подключить новое устройство к USB и клонировать на него.
Одним из основных нововведений в UI стал интерфейс анализа данных в бэкапе — это способ визуализировать процесс бэкапа, показать пользователю, что происходит в процессе и какие данные мы сохраняем.
Acronis True Image 2018 показывает статистику по каждому бэкапу: сразу под блоками, где изображено, что и куда бэкапим, выводится диаграмма, показывающая пропорционально сколько в архиве фотографий, сколько видео- и аудиофайлов, документов, сколько места занимают системные файлы (это файлы, находящиеся в системных папках Windows или macOS). Плюс, на вкладке активность показывается вся история операций с бэкапом вроде статусов или ошибок. Все это сделало процесс работы с бэкапами более наглядным и приятным для глаз.
Мы добавили в продукт еще несколько полезных фич. Во-первых, это возможность отложить бэкап, пока ноутбук не подключен к сети. Как известно, резервное копирование — это довольно энергоемкий процесс (много обращений к диску и операций копирования, особенно если бэкап выполняется редко и за раз копируется и передается много данных), и если он начнется, когда заряда батареи уже совсем чуть-чуть, это может сыграть злую шутку. Чтобы этого не произошло, есть возможность запретить приложению начинать любой бэкап пока устройство не подключено к электросети. Второй фичей стал автоматический бэкап мобильных устройств по Wi-Fi сети на NAS. Если телефон находится в той же сети, что и NAS и у них настроен бэкап, то телефон сразу начинает бэкапиться самостоятельно без участия пользователя — даже не нужно подключаться к компьютеру.
В Acronis True Image 2018 мы расширили поддержку бэкапа соцсетей. К Facebook, который стал поддерживаться с Acronis True Image 2017, мы добавили поддержку Instagram. В сентябре у пользователей по всему миру появится возможность бэкапить все свои фото, видео, информацию/статистику с профиля. К сожалению, из-за технических ограничений самого Instagram, пользователь, не может восстановить все данные, как это реализовано в Facebook, то есть бэкапить больше 150 комментариев под одним постом, зато можно восстановить как отдельные так и все фото профиля одним кликом.
Что можно сказать в итоге: разработка Acronis True Image 2018 стала для нас настоящим вызовом. Мы серьезно расширили его функциональность и добавили востребованные фишки, как в программной части, так и в части UI. У нас есть основание полагать, что True Image 2018 установит новый стандарт для систем умного резервного копирования для домашних пользователей, защиты данных всей семьи и малого бизнеса.
Комментарии (35)
AbstractGaze
05.09.2017 11:28+1«ML Engine работает в фоновом режиме и включается лишь раз в 30 секунд, не занимая много памяти.»
Я не совсем понял. Если появился шифровальщик о котором никто ничего не знает, в худшем случае его распознавание начнется только через 30 секунд и не известно когда закончится? т.е. в итоге довольно много (все) данных все же зашифруются? Зачем давать фору в 30 секунд с учетом что потребления ресурсов компьютера по современным меркам в принципе нет.Aelnor Автор
05.09.2017 12:37Раз в полминуты включается отправка телеметрия в Azure. Сам же сервис работает всё время и оперативно выявляет возникающие в системе аномалии.
Taciturn
05.09.2017 13:07+1Программа для бекапа превращается в какого-то монстра. Я так понимаю выбора компонентов нет и если нужен только бекап по расписанию и ничего больше, то всё равно придётся устанавливать все эти излишества?
Aelnor Автор
05.09.2017 13:51Компоненты Active Protection занимают около 10 Мб. Не устанавливать его и правда нельзя, но можно отключить после установки.
MichaelVo
05.09.2017 13:51+1Мне кажется — еще немного и это внедрят в более полном виде, например, в систему умного дома. Вообще штука очень полезная! У него же, тем более, есть центр: и Вы уже сами можете регулировать настройки. Есть и умные розетки, и контроль чистоты воздуха, и темпертуры.
teecat
05.09.2017 14:30+1Насколько я вижу — в наличие поведенческий анализатор и облачный антивирус на основе автоматического анализа метаданных программ — выявления новых программ, не имеющих пока хорошей репутации
Не вижу исскуственного интеллекта
Представьте себе вредоносца, который внедряется в MS Word, и, шифруя все документы целиком, оставляет заголовки нетронутыми. В этом случае поведенческая эвристика не относит это процесс к опасному, и зловред успевает «частично зашифровать» почти все файлы до того, как вы успеете что-то предпринять.
Точно шифрование без изменения имени не может быть отслежено? Шифровальщик это массовое шифрование одновременно, на что и можно реагировать
Для того, чтобы противостоять и таким атакам, в Acronis Active Protection 2.0 был внедрен ML(machine learning) Engine, который анализирует работу как зараженных и незараженных программ, формирует на основе их сравнения характерные паттерны и, в случае их последующего обнаружения, останавливает подозрительные процессы.
А вот тут непонятно. Как вы можете грузить процессы для анализа, если анализируемые данные по сети не должны передаваться? Или вы передаете по сети анализируемые данные? Но тогда это вопросы конфиденциальности и скорости анализа
Ответ вас немного удивит: система занимает менее 14 мб!
Совершенно не удивит. Это же не антивирусные базы, а базы поведенческого анализатора. Они небольшиеAelnor Автор
05.09.2017 15:43Не вижу исскуственного интеллекта
Мы используем машинное обучение, это методы искусственного интеллекта.
Точно шифрование без изменения имени не может быть отслежено? Шифровальщик это массовое шифрование одновременно, на что и можно реагировать
Безусловно на массовое шифрование можно и нужно реагировать. В статье приводится пример шифрования без изменения заголовка (был документ — остался документ), что в свою очередь затрудняет определение факта шифрования.
Кроме этого, каждая разновидность шифровальщика по-разному преобразует файлы, чтобы обойти эвристики антивирусов: что-то засыпает посреди процесса, что-то шифрует медленно…
А вот тут непонятно. Как вы можете грузить процессы для анализа, если анализируемые данные по сети не должны передаваться? Или вы передаете по сети анализируемые данные? Но тогда это вопросы конфиденциальности и скорости анализа
Данные анализируются на конечной машине, а если пользователь дает согласие на отправку данных, то никакой персональной информации не передается — только состояние контекста выполнения программы.teecat
05.09.2017 16:00чтобы обойти эвристики антивирусов
Эвристики антивирусных баз анализируют файлы.
И все же несмотря на разность подходов к маскировке — шифрование в первую очередь поток шифруемых файлов. Поведенческий анализатор по шифровальщикам по факту — анализ статистики операций по отношению к потоку шифруемых файлов
если пользователь дает согласие на отправку данных,
Тоесть, если пользователь дает согласие его файлы уходят по сети. Безопасности не касаемся, вопрос о задержке на время передачи — файлов море, да еще во время эпидемии. Ждем окончания передачи данных и их анализа или запускаем процесс и постфактум выносим по отношению к нему вердикт? А на случай разрыва связи?
Ilirium
05.09.2017 15:37Дорогие разработчики, программа хорошая, я сам пользуюсь версией 2016. Но вы бы хотя бы доделали существущие функции. Все что касается синхронизации и мобильных приложений просто не работало, когда я пробовал. Мне это было не нужно, я потыкал и забил.
Aelnor Автор
05.09.2017 16:34Спасибо за отзыв!
Мы постоянно исправляем разнообразные ошибки, вполне возможно, что те, что мешали вам в 2016, уже починены.
Если проблемы все-таки возникнут, то будет здорово, если вы сообщите о них в поддержку или мне лично.
Claud
05.09.2017 17:06У меня как у недовольного пользователя вашей программы ряд вопросов.
— Программа для бекапа данных научилась бекапить свои же настройки, или все еще если она сдохнет (а такое бывает), то нужно вновь все настраивать?
— Уже существующие бекапы можно подцепить к вновь настроенным (это может потребоваться по причине первого). Подцепить по нормальному, чтобы они стали частью цепочек, а не просто архивчиками?
— Починили баг, с тем что даже при выключенных таймерах пробуждений, чудо софт будит компьютер?
P.S. Свежо еще в моей памяти приложение, оплатить платную поддержку, чтобы сообщить о баге (тот баг с пробуждением). :DAelnor Автор
05.09.2017 18:44— Acronis True Image естественно бэкапит настройки бэкап планов вместе с системным диском. Сама по себе программа не бэкапит свои настройки.
— Можно продолжить уже существующие бэкапы. Нельзя сделать новый архив, а потом «в прошлое» подцепить старые цепочки.
— Честно говоря, я не могу навскидку ответить. Мы перепроверим этот сценарий, спасибо.Claud
05.09.2017 18:581. Ха-ха-ха. То есть если слетит программа нужно иметь копию системного диска, чтобы восстановить, настройки программы для бекапа данных? Вот это сильно. То есть рискнуть рабочей системой, ради программы для бекапов. Хотя в принцыпе отверткой тоже можно гвоздь забить если постараться.
2. Так у меня версия 2017 года. Я относительно недавно это пробовал сделать. И то ли я вас не так понял, то ли вы не про то говорите. Архив цепляется, а далее надо все настраивать. Считай по новой создавать бекап. Потому что, то что было подцеплено, это фактически просто файлики, в них как я понимаю никаких метаданных о том, что это вообще за бекап, нет.
А вообще как выше уже написали, вы бы хоть доработали то, что есть в программе, а то обновляться нет ни какого желания. С 2016 кстати перешел только потому что ваше творение приказало долго жить, и чтобы время не тратить на поиск решения (один то раз я уже сталкивался с проблемой о которой пытался сообщить), решил что обновление спасет.Aelnor Автор
05.09.2017 19:15То есть рискнуть рабочей системой, ради программы для бекапов.
Вовсе нет. Можно из бэкапа достать нужные файлы/папки, а не восстанавливать весь диск целиком.
Архив цепляется, а далее надо все настраивать. Считай по новой создавать бекап.
В версии 2018 мы добавили возможность экспорта/импорта настроек бэкапа. Если я все правильно понимаю, это должно помочь решить проблему, о которой вы говорите.Claud
05.09.2017 20:00В версии 2018 мы добавили возможность экспорта/импорта настроек бэкапа. Если я все правильно понимаю, это должно помочь решить проблему, о которой вы говорите.
О, вот это радует.
Вовсе нет. Можно из бэкапа достать нужные файлы/папки, а не восстанавливать весь диск целиком.
А что это за нужные папки и файлы, где хранятся настройки, все настройки в том числе и настройки моих бекапов (верней прежде всего настройки бекапов).
pa_kulikov
05.09.2017 18:15ACD Systems, Nero AG, Acronis — три компании-производителя из юности, делавших крутые вещи. Первые 2 уже померли в погоне за наращиванием функционала.
DaneSoul
05.09.2017 21:11Первые две компании тоже не померли, по прежнему выпускаются новые версии их софта.
Rimoz
05.09.2017 23:23Лучшие умы ведущих вендоров (Symantec, Kaspersky, BitDefender, TrendMicro) также работают над этой проблемой и не только используя HIPSы и ML-а там какого только нет и то пропускают, хоть и меньше всех, т.е. не нашли решение универсальное, даже прикрытие папок не абсолютный заслон — антивирус может быть эксплуатирован, а ещё есть MBR-цы. Такое чувство, что и ваша защита такая же — интеллектуальная (удобная, даст большинство ответов правильно), но не абсолютная. Скорее это для тех, кто ещё не понял важность периодического Cloud — бэкапа или изоляции данных на съёмных(!) носителях — только муторно их поддерживать в актуальном состоянии.
Очень важный вопрос — совместимость с антивирусами. Даже Trusteer Raport, утилита защиты от банковских троянов, создаёт антивирям проблемы. Нужно иметь в виду простую вещь — не уместить активные компоненты разных производителей в системе, нужно лишь одно случайное обновление и вся совместимость (даже если она гарантируется, как у Trusteer) рухнет. Отключать?Aelnor Автор
06.09.2017 11:16Acronis True Image как раз и предлагает комбинированное решение: бэкап в клауд + защиту от ransomware. Кроме того, этот бэкап совсем не сложно поддерживать: он выполняется по расписанию, достаточно настроить один раз.
Мы проверяли Active Protection на совместимость с популярными антивирусами (Kaspersky IS, ESET NOD32, McAfee, AVG, Avira и другими) и серьезных проблем не обнаружили — никто никому работать не мешает.
LeshiyUrban
06.09.2017 10:00Товарищи из Acronis!
Я уже год смотрю на True Image. Выглядит супер, репутация — отличная.
Давно готов купить, но останавливает лишь одно: почему нет версии под Linux? Серверную не предлагайте, пожалуйста.
Думаю немало разработчиков, а они прекрасно осведомлены о необходимости резервного копирования, используют Linux не только на серверах, но и как рабочие станции.Aelnor Автор
06.09.2017 11:18Дело в том, что Acronis True Image это решение для домашнего пользователя.
Лично мне тоже несколько не хватает версии для линукса, но пока увы. :)
igorgalkin
06.09.2017 11:09Acronis не удаляет наши данные, а продолжает их хранить.
Пользовался год версией Acronis True Image 2016, потом закончилась лицензия. Пришло сообщение, что все ваши данные будут удалены, если не продлите подписку.
Через 9 месяцев решил воспользоваться Acronis True Image 2018. Как же я был удивлен, когда при активации этого продукта в учетную запись подтянулся мой прошлый бэкап.
Kamareka
06.09.2017 11:09Включенный Active Protection (версия Acronis True Image самая последняя) выжирает кучу места в %SYSTEMDRIVE%\System Volume Information\FileProtector\FileStorage. При удалении (и вероятно изменении) любого файла, как я предполагаю, создается его shadow копия, причем игнорируя настройки Windows по максимальному размеру таких копий на диске.
У многих системный диск на ssd, и такое использование дискового пространства мало кому понравится. Выход один — отключить Active Protection.Aelnor Автор
06.09.2017 11:40Active Protection не использует VSS, поэтому действительно системные настройки игнорирует. Копии создаются только для файлов, которые открываются недоверенными процессами (те процессы, у которых нет действительной подписи или те процессы, в которые был внедрен код посредством DLL Injection). Однако сумма всех теневых копий Active Protection не должна превышать 10% свободного места на диске.
Спасибо за комментарий, это хорошая идея — мы рассмотрим возможность выноса настроек создания теневых копий файлов нашим сервисом в пользовательский интерфейс.
alexdon
06.09.2017 11:52Тот же вопрос. Имеется небольшой парк домашних машин. 50% Windows/50% Linux.
Если была-бы версия для Linux — то приобрел-бы незамедлительно. Брать только для Windows — не выход т.к. это не решает проблему комплексно.
Для бекапов использую кроссплатформенное решение freefilesync. Да, это не комбайн но с задачей создания 1-й резервной копии на удаленном сервере справляется.
P0WERMIC
Шел 2017 год, Acronis выжирал 100% проца при архивации и разогревал MacBook до предела.
Aelnor Автор
Не, это не предел. :) Спасибо за комментарий, мы знаем о проблеме и пока что выбрали скорость бэкапа за счет потребления ресурсов. К сожалению, если просто понизить приоритет бэкапящему процессу, то ему будет доставаться слишком мало процессорного времени, чтобы бэкап завершился за разумный срок.