RU2015141551A

RU2015141551A - Способ обнаружения работы вредоносной программы, запущенной с клиента, на сервере

Info

Publication number: RU2015141551A
Application number: RU2015141551A
Authority: RU
Inventors: Владислав Иванович Овчарик; Олег Григорьевич Быков
Original assignee: Акционерное общество "Лаборатория Касперского"
Priority date: 2015-09-30
Filing date: 2015-09-30
Publication date: 2017-04-05
Also published as: US20170093886A1; JP2017068822A; RU2617631C2; JP6298849B2; CN106557696B; US10375086B2; CN106557696A

Claims

1. Способ определения работы вредоносной программы, запущенной с компьютера пользователя, на сервере:

а) перехватывают файловую операцию со стороны компьютера пользователя на сервере с помощью перехватчика;

б) передают данные по перехваченной файловой операции анализатору, при этом данные включают по меньшей мере одно из: тип файловой операции, буферы данных с оригинальным содержимым файла и модифицированным содержимым файла, данные о компьютере пользователя;

в) подсчитывают информационную энтропию для буфера данных с оригинальным содержимым файла с помощью анализатора;

г) подсчитывают информационную энтропию для буфера данных с модифицированным содержимым файла с помощью анализатора;

д) подсчитывают разность полученных значений энтропии на этапах в) и г) с помощью анализатора;

е) при превышении порогового значения подсчитанной на этапе д) разности, определяют файловую операцию со стороны компьютера пользователя на сервере как работу вредоносной программы.

2. Способ по п. 1, в котором вредоносной программой является программа-шифровальщик (англ. cryptor ransomware).

3. Способ по п. 1, в котором дополнительно после этапа а) производят создание резервной копии файла, над которым совершается файловая операция.

4. Способ по п. 3, в котором дополнительно после этапа е) производят восстановление резервной копии файла на сервере после определения файловой операции со стороны компьютера пользователя на сервере как работу вредоносной программы.

5. Способ по п. 1, в котором перехватчик и анализатор работают в асинхронном режиме.

6. Способ по п. 1, в котором на компьютере пользователя установлено антивирусное приложение, которому передается информация о работе вредоносной программы.