Acronis static ml что это
Очень мощный и полезнейший инструмент для пользователей Windows. Acronis True Image служит для создания и восстановления целых разделов с данными. Таким образом вы можете создать резервную копию, как всего жесткого диска, так и определенного раздела, например, системного.
При создании резервной копии True Image, создается именно копия раздела со всеми данными хранящимися на нем. При восстановлении все данные, находящиеся на восстанавливаемом разделе будут перезаписаны данными из резервной копии Acronis. При этом все данные лицензий, программ, активаций даже закладок и куки будут восстановлены на момент создания копии.
В последних версиях программы разработчики предлагают резервное копирование в облаке Acronis, что очень удобно — ваши данные всегда будут в безопасности и сохранности. И восстановить их вы сможете в любой момент, достаточно лишь доступа к интернету. Я считаю — это действительно прорывом в хранении бэкапов.
Если рассматривать более ранние версии программы Acronis True Image, то сразу будут заметны различия.
В версиях времен Windows 7 и Windows XP было доступно создание резервной копии только по требованию, то есть открыли программу, запустили создание резервной копии и при надобности восстановили весь раздел. Но при этом восстанавливается не только система, но и перезаписывались все данные на разделе. Если вы устанавливали после создания резервной копии программы, сохраняли файлы и тп, то после восстановления эти данные будут потеряны.
В современных версиях Acronis шагнул намного вперед. И теперь доступно не только создание резервной копии по требованию, но и автоматическое создание резервных копий. Теперь вы всегда сможете восстановить на последнюю дату работоспособности системы. Такой инструмент на Mac был доступен давно — Time Machine, но для пользователей Windows.
Не стоит путать Резервное копирование True Image и создание резервных точек в операционной системе Windows. Их при всем желании сравнивать нельзя.
В случае с резервными точками Windows вы можете получить ошибку при восстановлении, а это довольно частое явление. При этом восстанавливаются только файлы системы, не касаясь остального содержимого, то есть если на разделе лежал вирус, то он никак не будет затронут и восстановление не принесет никакого результата.
Acronis же восстанавливает полностью раздел перезаписывая все его содержимое. Перезапись проходит в принудительном порядке, что всегда приводит к получению желаемого результата.
Восстановить данные можно даже не имея доступа к операционной системе. Для этого используется утилита Acronis записанная на флэшку. Если Windows не загружается или заблокирован, то достаточно загрузится с флэшки и выбрать образ восстановления на жестком диске. После некоторого ожидания — раздел будет восстановлен и полностью работоспособен.
Советы по использованию
Рекомендуется использовать автоматическое создание резервных копий;
Если же места на жестком диске не достаточно или вы не хотите покупать полную лицензию True Image, то рекомендуется создавать копию:
После восстановления драйверов и основного программного обеспечения. Например, вы используете в работе Photoshop, Office и тому подобное. То создайте первую копию после установки чистой системы с драйверами, а вторую после установки всех необходимых программ — если нарушений в работе системы не будет, то первую копию смело сможете удалить.
acronis_drive.exe это исполняемый файл, который является частью Acronis True Image 2016 Программа, разработанная Acronis, Программное обеспечение обычно о 564.77 KB по размеру.
Расширение .exe имени файла отображает исполняемый файл. В некоторых случаях исполняемые файлы могут повредить ваш компьютер. Пожалуйста, прочитайте следующее, чтобы решить для себя, является ли acronis_drive.exe Файл на вашем компьютере - это вирус или троянский конь, который вы должны удалить, или это действительный файл операционной системы Windows или надежное приложение.
Acronis_drive.exe безопасный или это вирус или вредоносная программа?
Первое, что поможет вам определить, является ли тот или иной файл законным процессом Windows или вирусом, это местоположение самого исполняемого файла. Например, такой процесс, как acronis_drive.exe, должен запускаться из C: \ Program Files \ Acronis \ TrueImageHome \ acronis_drive.exe и нигде в другом месте.
Для подтверждения откройте диспетчер задач, выберите «Просмотр» -> «Выбрать столбцы» и выберите «Имя пути к изображению», чтобы добавить столбец местоположения в диспетчер задач. Если вы обнаружите здесь подозрительный каталог, возможно, стоит дополнительно изучить этот процесс.
Еще один инструмент, который иногда может помочь вам обнаружить плохие процессы, - это Microsoft Process Explorer. Запустите программу (не требует установки) и активируйте «Проверить легенды» в разделе «Параметры». Теперь перейдите в View -> Select Columns и добавьте «Verified Signer» в качестве одного из столбцов.
Если статус процесса «Проверенная подписывающая сторона» указан как «Невозможно проверить», вам следует взглянуть на процесс. Не все хорошие процессы Windows имеют метку проверенной подписи, но ни один из плохих.
Наиболее важные факты о acronis_drive.exe:
Если у вас возникли какие-либо трудности с этим исполняемым файлом, перед удалением acronis_drive.exe необходимо определить, заслуживает ли он доверия. Для этого найдите этот процесс в диспетчере задач.
Найдите его местоположение (оно должно быть в C: \ Program Files \ Acronis) и сравните его размер с приведенными выше фактами.
Кроме того, функциональность вируса может сама влиять на удаление acronis_drive.exe. В этом случае вы должны включить Безопасный режим с загрузкой сетевых драйверов - безопасная среда, которая отключает большинство процессов и загружает только самые необходимые службы и драйверы. Когда вы можете запустить программу безопасности и полный анализ системы.
Как работает Sodinokibi?
Мы изучили один экземпляр Sodinokibi в нашей лаборатории. Программа-вымогатель была упакована кастомным упаковщиком. При этом, даже после успешной распаковки в коде не нашлось читаемых строк. Кроме этого ПО не импортирует никаких системных библиотек или API. Поэтому статическим антивирусам, которые используют сигнатуры на основе читаемых строк и таблицы импортируемых API, будет очень непросто обнаружить его.
Названия API и другие параметры были расшифрованы во время работы ПО при помощи алгоритма RC4. Для того, чтобы сделать обнаружения еще более сложным для антивирусов, эта программа-вымогатель совершает операции над строками, используя DJB-хэш, а не сами строки…
Сетевая активность
После завершения процесса шифрования, программа-вымогатель готовит данные для отправки на сервер управления. Данные включают в себя различные поля из конфигурации JSON, системную информацию и ключи шифрования. Подготовленные данные также записываются в реестр под ключом “[HKLM|HKCU]\SOFTWARE\recfg\stat”, прежде чем они будут зашифрованы AES и отправлены на сервер злоумышленника…
Передача данных по сети
Название домена состоит из: sochi-okna23[.]ru + часть адреса 1
- «wp-content»
- «static»
- «content»
- «include»
- «uploads»
- «news»
- «data»
- «admin»
Acronis Dual Protection
Одна из самых интересных фич релиза — репликация бэкапов. Репликация это перенос последней доступной версии данных из бэкапа в облако Acronis. В результате у пользователя появится два бэкапа: один на локальном носителе, таком как, например, внешний диск, а другой — в облаке.
После настройки такого “двойного” бэкап плана копирование данных в облако будет осуществляться автоматически после завершения локальной операции бэкапа. Таким образом, пользователь оказывается защищен и от случайных потерь данных, например, от случайного удаления файлов, ведь у него есть “быстрый” локальный бэкап, и от сбоев или потери оборудования, потому что любые данные он может восстановить из облачного архива.
Схема Acronis Dual Protection имеет множество технических преимуществ перед двумя последовательными обычными бэкапами — на локальный носитель и в облако. Во-первых, на репликацию тратится меньше ресурсов системы, потому что не приходится анализировать данные на диске, считать, что предстоит бэкапить, а что уже есть в архиве. Во-вторых, из-за того, что бэкапы в облако обычно занимают больше времени чем локальные, приложению приходится держать снапшот файловой системы. Это и нагрузка для системы сама по себе, да и некоторые снапшоты могут не доживать до конца операции. В случае с репликой никакие снапшоты не нужны.
Обновлено май 2022 г .:
Мы рекомендуем вам попробовать это новое программное обеспечение, которое исправляет компьютерные ошибки, защищает их от вредоносных программ и оптимизирует производительность вашего ПК. Этот новый инструмент исправляет широкий спектр компьютерных ошибок, защищает от таких вещей, как потеря файлов, вредоносное ПО и сбои оборудования.
(опциональное предложение для Reimage - Cайт | Лицензионное соглашение | Политика конфиденциальности | Удалить)
Иллюстрация шифрования и дешифрования
Чтобы лучше понять, как ключи генерируются и передаются между компьютерами злоумышленника и жертвы, нужно разобраться, как работает алгоритм Diffie Hellman — это несложно сделать по иллюстрации.
Процесс шифрования
Обмен ключами Diffie-Hellman на эллиптических кривых (ECDH)
Подробное описание процесса шифрования в Sodinokibi
Для того, чтобы расшифровать данные, потребуются закрытые ключи злоумышленника. Но они нигде не публикуются, и поэтому восстановить файлы оказывается невозможно.
Процесс дешифрования (секрет злоумышленника — это его закрытый ключ)
Упрощенно процесс дешифрования пользовательских файлов проиллюстрирован ниже.
Загрузите или переустановите acronis_drive.exe
Информация об операционной системе
Ошибки acronis drive.exe могут появляться в любых из нижеперечисленных операционных систем Microsoft Windows:
Acronis True Image — это надежное решение в области защиты данных пользователей. В Acronis True Image 2017 и Acronis True Image 2017 New Generation мы задали очень высокую планку во всем, что касается надежности, простоты и удобства работы. В эти продукты были внедрены резервное копирование и восстановление данных профилей социальной сети Facebook, система проактивной защиты от программ-вымогателей Acronis Active Protection, основанная на технологии Blockchain функция нотаризации данных Acronis Notary и цифровая подпись электронных документов с помощью Acronis ASign. Кроме того, в версию программы для macOS мы добавили поддержку NAS и возможность беспроводного резервного копирования мобильных устройств.
С каждым годом количество угроз продолжает расти, они становятся сложнее и опаснее. Согласно данным Лаборатории Касперского, во втором квартале 2017 года было обнаружено 15663 новых модификаций программ-вымогателей (для сравнения за тот же период 2016 года новых вредоносов было почти на 70% меньше — 9226) и зафиксировано 268284 атак.
Рисунок 1. Количество новых модификаций программ-вымогателей согласно данным Лаборатории Касперского
Две самые масштабные атаки произошли в этом году. Сначала в мае программа-вымогатель WannaCry атаковала телефонные компании, больницы, заводы и сотни других организаций в более чем 100 странах, а затем, в июне, шифровальщик NotPetya заставил тысячи пользователей по всему миру пожалеть об отсутствии резервных копий своих данных.
Рисунок 2. Количество атак программ-вымогателей согласно данным Лаборатории Касперского
Сегодня про эти кибератаки говорят крупнейшие мировые СМИ, поэтому пользователи начинают лучше представлять масштаб угрозы. Согласно данным нашего глобального исследования на тему защиты данных, о программах-вымогателях знают почти 50% респондентов, против 35% в прошлом Исследование прошло в августе этого года, в нем приняли участие пользователи из США, Великобритании, Австралии, Японии, Германии, Франции и Испании.
Однако пока еще низкая осведомленность пользователей и постоянное усложнение кода программ-вымогателей не оставляет сомнений, что количество атак будет расти, а значит и решения по защите данных тоже должны совершенствоваться.
Поэтому одним из основных нововведений Acronis True Image 2018 стала технология Acronis Active Protection 2.0, которая и призвана «отбивать атаки». В основе представленной в начале года технологии Acronis Active Protection лежат поведенческие эвристики, которые помогают выявить подозрительную активность и предотвратить атаки программ-вымогателей. Такой подход к защите прекрасно работал и работает для большинства существующих зловредов, однако, их современные версии настолько продвинуты, что могут «обмануть» систему. Представьте себе вредоносца, который внедряется в MS Word, и, шифруя все документы целиком, оставляет заголовки нетронутыми. В этом случае поведенческая эвристика не относит это процесс к опасному, и зловред успевает «частично зашифровать» почти все файлы до того, как вы успеете что-то предпринять.
Для того, чтобы противостоять и таким атакам, в Acronis Active Protection 2.0 был внедрен ML(machine learning) Engine, который анализирует работу как зараженных и незараженных программ, формирует на основе их сравнения характерные паттерны и, в случае их последующего обнаружения, останавливает подозрительные процессы.
В Санкт-Петербурге и Москве у нас уже развернуто более 20 физических ферм, а также работает виртуальное облако Microsoft Azure, на котором в автоматическом режиме производится загрузка и анализ процессов в различных ОС и программах в чистом виде и при заражении программами-вымогателями. Алгоритм «учится», чем различаются эти процессы и какие показатели могут сигнализировать о заражении.
Наши внутренние тесты показали, что даже если атака не была зафиксирована на основе поведенческой эвристики, ML Engine Acronis Active Protection 2.0 замечал ее и блокировал. В дополнение к этому, машинное обучение помогло нам найти и сформулировать новые правила для эвристической составляющей. К уже имеющимся правилам «робот» нашел еще 100. Самые внимательные и придирчивые могли уже задаться вопросом: сколько места на жестком диске и в памяти требует такой алгоритм? Ответ вас немного удивит: система занимает менее 14 мб! Если говорить о загрузке памяти, то и тут беспокоиться не о чем: ML Engine работает в фоновом режиме и включается лишь раз в 30 секунд, не занимая много памяти.
Среди других функций, которые мы обновили, можно отметить мастер создания загрузочных носителей. Теперь при создании загрузочного флэш-накопителя или CD/DVD-диска мы используем Windows Recovery Partition. Если раньше для этого нужно было скачивать специальный кит от Microsoft размером в зависимости от сборки от 4 до 6 Гб, то в Acronis True Image 2018 мы решили сделать все немного изящнее, не загружая лишнего. На современных Windows-системах есть Recovery-разделы, с которых мы можем брать собственно этот ADK (комплект средств для развертывания и оценки Windows) и на его основе мы делаем загрузочный носитель, не загружая специальных китов.
Также у нас появилась возможность конвертировать резервные копии в виртуальные диски в формате VHD(x). Этот виртуальный диск можно использовать по-разному: например, в качестве носителя данных (зайти, побраузить папки и файлы, какие-то из них можно восстановить простым копированием, не прибегая к помощи True Image). Можно загрузить как виртуальную машину Hyper-V (начиная с Windows 7, она доступна в PRO версиях), а можно загрузиться нативно как с WRP.
Полезным для наших пользователей станет ещё одно нововведение — система клонирования активных дисков Windows. Клонирование диска поможет, например, при переезде с HDD на SSD или же если есть подозрение, что диск может скоро прийти в негодность. Теперь чтобы скопировать системный диск не нужно перезагружаться – можно «на лету» подключить новое устройство к USB и клонировать на него.
Одним из основных нововведений в UI стал интерфейс анализа данных в бэкапе — это способ визуализировать процесс бэкапа, показать пользователю, что происходит в процессе и какие данные мы сохраняем.
Acronis True Image 2018 показывает статистику по каждому бэкапу: сразу под блоками, где изображено, что и куда бэкапим, выводится диаграмма, показывающая пропорционально сколько в архиве фотографий, сколько видео- и аудиофайлов, документов, сколько места занимают системные файлы (это файлы, находящиеся в системных папках Windows или macOS). Плюс, на вкладке активность показывается вся история операций с бэкапом вроде статусов или ошибок. Все это сделало процесс работы с бэкапами более наглядным и приятным для глаз.
Мы добавили в продукт еще несколько полезных фич. Во-первых, это возможность отложить бэкап, пока ноутбук не подключен к сети. Как известно, резервное копирование — это довольно энергоемкий процесс (много обращений к диску и операций копирования, особенно если бэкап выполняется редко и за раз копируется и передается много данных), и если он начнется, когда заряда батареи уже совсем чуть-чуть, это может сыграть злую шутку. Чтобы этого не произошло, есть возможность запретить приложению начинать любой бэкап пока устройство не подключено к электросети. Второй фичей стал автоматический бэкап мобильных устройств по Wi-Fi сети на NAS. Если телефон находится в той же сети, что и NAS и у них настроен бэкап, то телефон сразу начинает бэкапиться самостоятельно без участия пользователя — даже не нужно подключаться к компьютеру.
В Acronis True Image 2018 мы расширили поддержку бэкапа соцсетей. К Facebook, который стал поддерживаться с Acronis True Image 2017, мы добавили поддержку Instagram. В сентябре у пользователей по всему миру появится возможность бэкапить все свои фото, видео, информацию/статистику с профиля. К сожалению, из-за технических ограничений самого Instagram, пользователь, не может восстановить все данные, как это реализовано в Facebook, то есть бэкапить больше 150 комментариев под одним постом, зато можно восстановить как отдельные так и все фото профиля одним кликом.
Что можно сказать в итоге: разработка Acronis True Image 2018 стала для нас настоящим вызовом. Мы серьезно расширили его функциональность и добавили востребованные фишки, как в программной части, так и в части UI. У нас есть основание полагать, что True Image 2018 установит новый стандарт для систем умного резервного копирования для домашних пользователей, защиты данных всей семьи и малого бизнеса.
О программе-вымогателе Sodinokibi недавно говорили в новостях, но мало кто погружался в подробности о работе этого вредоносного ПО. Сегодня мы постараемся ближе познакомиться Sodinokibi, рассмотрим принципы работы вымогателя, чтобы обозначить приоритетные векторы защиты информационных систем от новой угрозы.
Авторы текста: Равикант Тивари и Александр Кошелев
Новая система уведомлений и информирования
Помимо общей доработки графического интерфейса, который стал более целостным, мы добавили также панель уведомлений (Notification Center). Она позволяет без лишних переходов получить актуальную информацию о процессах резервного копирования, а также отчеты о срабатывании системы противодействия вредоносному ПО.
Шифрование файлов на локальных жестких дисках и в сетевых папках
Для шифрования пользовательских файлов Sodinokibi использует I/O Completion Ports и запускает несколько потоков шифрования, но не более чем вдвое превышающее количество ядер процессора на машине, ассоциируя эти потоки с специально созданным портом I/O. Эти потоки используют функцию GetQueuedCompletionStatus Win API, чтобы дождаться поступления пакета на порт I/O перед началом шифрования файла.
Как только потоки создаются и переходят в ожидание поступления пакетов I/O, Sodinokibi начинает перебирать файлы пользователя на всех локальных дисках и во всех сетевых папках, исключая CDROM и RAMDISK и назначать их соответствующим I/O completion ports. Для всех файлов, которые не попадают под перечень исключений в названиях папок, файлов и расширениях вызывается функция AddFileToIoCompletionPort и затем PostQueuedCompletionStatus Это передаёт выполнение потоку шифрования, который ждет информации на I/O completion port, чтобы запустить шифрование файлов.
Функция AddFileToIoCompletionPort также генерирует уникальный ключ Salsa20 для каждого файла, который подлежит шифрованию, и передает ключ Salsa20 потоку шифрования вместе с другими метаданными, которые должны быть записаны после шифрования при помощи параметра lpOverlapped функции PostQueuedCompletionStatus Win API.
После обработки файлов в каждом каталоге, кроме являющихся исключением, создается файл с требованием о выкупе. Когда файлы, подлежащие шифрованию, кончаются, потоки переходят в зацикливание и ждут, пока общее количество зашифрованных и переименованных файлов не достигнет общего количества файлов, переданных на I/O completion port.
Наконец, система устанавливает флаг, который отражает, что больше нет файлов для шифрования и посылает несколько пакетов I/O, сигнализирующих о завершении процесса. Благодаря этому достигается прекращение работы дополнительных потоков шифрования, которые находились в ожидании данных.
- "$windows.~bt"
- «intel»
- «program files (x86)»
- «program files»
- «msocache»
- "$recycle.bin"
- "$windows.~ws"
- «tor browser»
- «boot»
- «system volume information»
- «perflogs»
- «google»
- «application data»
- «windows»
- «programdata»
- «windows.old»
- «appdata»
- «mozilla»
- Исключения в файлах
- «bootfont.bin»
- «boot.ini»
- «ntuser.dat»
- «desktop.ini»
- «iconcache.db»
- «ntldr»
- «ntuser.dat.log»
- «thumbs.db»
- «bootsect.bak»
- «ntuser.ini»
- «autorun.inf»
- Исключения в расширениях
- «themepack»
- «ldf»
- «scr»
- «icl»
- «386»
- «cmd»
- «ani»
- «adv»
- «theme»
- «msi»
- «rtp»
- «diagcfg»
- «msstyles»
- «bin»
- «hlp»
- «shs»
- «drv»
- «wpx»
- «deskthemepack»
- «bat»
- «rom»
- «msc»
- «lnk»
- «cab»
- «spl»
- «ps1»
- «msu»
- «ics»
- «key»
- «msp»
- «com»
- «sys»
- «diagpkg»
- «nls»
- «diagcab»
- «ico»
- «lock»
- «ocx»
- «mpa»
- «cur»
- «cpl»
- «mod»
- «hta»
- «exe»
- «icns»
- «prf»
- «dll»
- «nomedia»
- «idx»
После этого поток переименовывает файл, добавляя к названию случайно сгенерированное название. Файлы шифруются алгоритмом Salsa20 при помощи функции EncryptAndWrite.
Ниже приведен пример вызова функции EncryptingThreadRoutine.
Структура файлов после шифрования
Структура зашифрованного файла
Требование выкупа
В Sodinokibi имеется шаблон для составления требования о выкупе, в котором оставлены места для пользовательских данных. В них происходит автоматическая подстановка имени, user id (uid – описание приведено выше) и ключа. Требование выкупа размещается в каждой директории, не считая исключений.
Могу ли я удалить или удалить acronis_drive.exe?
Не следует удалять безопасный исполняемый файл без уважительной причины, так как это может повлиять на производительность любых связанных программ, использующих этот файл. Не забывайте регулярно обновлять программное обеспечение и программы, чтобы избежать будущих проблем, вызванных поврежденными файлами. Что касается проблем с функциональностью программного обеспечения, проверяйте обновления драйверов и программного обеспечения чаще, чтобы избежать или вообще не возникало таких проблем.
Согласно различным источникам онлайн, 1% людей удаляют этот файл, поэтому он может быть безвредным, но рекомендуется проверить надежность этого исполняемого файла самостоятельно, чтобы определить, является ли он безопасным или вирусом. Лучшая диагностика для этих подозрительных файлов - полный системный анализ с Reimage, Если файл классифицирован как вредоносный, эти приложения также удалят acronis_drive.exe и избавятся от связанных вредоносных программ.
Однако, если это не вирус и вам нужно удалить acronis_drive.exe, вы можете удалить Acronis True Image 2016 со своего компьютера с помощью программы удаления, которая должна находиться по адресу: «C: \ Program Files \ Acronis \ TrueImageHome \ Uninstall. .exe ". Если вы не можете найти программу удаления, вам может потребоваться удалить Acronis True Image 2016, чтобы полностью удалить acronis_drive.exe. Вы можете использовать функцию «Добавить / удалить программу» в Панели управления Windows.
- 1. в Меню Пуск (для Windows 8 щелкните правой кнопкой мыши в нижнем левом углу экрана), нажмите Панель управления, а затем под Программы:
o Windows Vista / 7 / 8.1 / 10: нажмите Удаление программы.
o Windows XP: нажмите Установка и удаление программ.
- 2. Когда вы найдете программу Acronis True Image 2016щелкните по нему, а затем:
o Windows Vista / 7 / 8.1 / 10: нажмите Удалить.
o Windows XP: нажмите Удалить or Изменить / Удалить вкладка (справа от программы).
- 3. Следуйте инструкциям по удалению Acronis True Image 2016.
Наиболее распространенные ошибки acronis_drive.exe, которые могут возникнуть:
• «Ошибка приложения acronis_drive.exe».
• «Ошибка acronis_drive.exe».
• «acronis_drive.exe - столкнулся с проблемой и будет закрыт. Приносим извинения за неудобства».
• «acronis_drive.exe не является допустимым приложением Win32».
• «acronis_drive.exe не запущен».
• «acronis_drive.exe не найден».
• «Не удается найти acronis_drive.exe».
• «Ошибка запуска программы: acronis_drive.exe».
• «Неверный путь к приложению: acronis_drive.exe».
Аккуратный и опрятный компьютер - это один из лучших способов избежать проблем с Acronis True Image 2016. Это означает выполнение сканирования на наличие вредоносных программ, очистку жесткого диска cleanmgr и ПФС / SCANNOWудаление ненужных программ, мониторинг любых автозапускаемых программ (с помощью msconfig) и включение автоматических обновлений Windows. Не забывайте всегда делать регулярные резервные копии или хотя бы определять точки восстановления.
Если у вас возникла более серьезная проблема, постарайтесь запомнить последнее, что вы сделали, или последнее, что вы установили перед проблемой. Использовать resmon Команда для определения процессов, вызывающих вашу проблему. Даже в случае серьезных проблем вместо переустановки Windows вы должны попытаться восстановить вашу установку или, в случае Windows 8, выполнив команду DISM.exe / Online / Очистка-изображение / Восстановить здоровье, Это позволяет восстановить операционную систему без потери данных.
Чтобы помочь вам проанализировать процесс acronis_drive.exe на вашем компьютере, вам могут пригодиться следующие программы: Менеджер задач безопасности отображает все запущенные задачи Windows, включая встроенные скрытые процессы, такие как мониторинг клавиатуры и браузера или записи автозапуска. Единый рейтинг риска безопасности указывает на вероятность того, что это шпионское ПО, вредоносное ПО или потенциальный троянский конь. Это антивирус обнаруживает и удаляет со своего жесткого диска шпионское и рекламное ПО, трояны, кейлоггеры, вредоносное ПО и трекеры.
Заключение
Мы рекомендуем использовать продвинутые средства защиты от программ-вымогателей и своевременно обновлять антивирусные системы. Все продукты Acronis содержат улучшенную защиту от вымогателей и могут защитить вас от подобной атаки, минимизируя риск потерять данные.
Средства киберзащиты содержатся в персональном решении Acronis True Image 2019, а также в бизнес-системах Acronis Backup, которые сопровождаются anti-malware модулем на базе искусственного интеллекта, который называется Acronis Active Protection. Благодаря этому обе системы способны защитить пользователей от Sodinokibi.
Вышла новая версия Acronis True Image — системы защиты данных для персональных пользователей. И мы хотим рассказать о том, чем True Image 2020 отличается от True Image 2019. Всех, кому интересно, милости просим под кат.
Acronis True Image — это решение для защиты данных, ориентированное на персональных пользователей. В состав True Image входит система резервного копирования и аварийного восстановления, средства верификации аутентичности данных, а также инструменты защиты от вредоносного ПО. Каждый год мы представляем новую версию True Image в конце августа, и в этом году в ней появился целый ряд дополнительных возможностей, которые повышают производительность решения. Отдельные фишки оценят пользователи мобильных устройств и компьютеров Mac.
Появившийся на полках магазинов Acronis True Image 2020 вышел в свет с более чем 100 улучшениями, которые касаются самых различных частей системы защиты. Некоторые из них являются небольшими фиксами или оптимизациями, но в нашем посте мы остановимся только на самых важных и интересных обновлениях, которые могут изменить к лучшему жизнь пользователей нашего продукта.
Что мы знаем о Sodinokibi?
Sodinokibi использует уязвимость Oracle WebLogic (CVE-2019-2725), чтобы получить доступ к компьютеру жертвы. Попав в систему, вредоносное ПО старается запустить себя с расширенными правами, чтобы получить доступ ко всем файлам и ресурсам ПК без ограничения…
Sodinokibi старается не заражать компьютеры в Иране, России и других странах бывшего СССР.
Программа-вымогатель использует для шифрования пользовательских файлов алгоритмы AES и Salsa20. AES применяется для шифрования сессионных ключей, а также данных при отправке на сервер управления.
Пользовательские файлы шифруются при помощи Salsa20.
Для генерации и распространения ключей Sodinokibi использует алгоритм Diffie-Hellman на эллиптических кривых.
Попав на машину, вирус моментально удаляет все файлы из папки резервного копирования.
На данный момент вымогатели просят 0.32806964 BTC (≈ $2 500) за восстановление доступа к зашифрованным файлам. При этом, если выкуп не будет уплачен в течение 4 дней, вымогатели обещают удвоить сумму…
Инициализация
Sodinokibi начинает работу с создания динамической таблицы импорта. Первым делом программа убеждается в том, что она является единственной копией в системе методом проверки мьютексов. После проверки она расшифровывает при помощи RC4 конфигурацию JSON, которая хранится в файле программы и проверяет булево значение ключа “exp”. Если его значение равно “true”, Sodinokibi старается запустить эксплойт. В нашем сэмпле так и было, поэтому он исполнял функцию эксплуатации уязвимостей
Расшифрованная конфигурация JSON
Snippet 1
Перечень уязвимостей, которые устраняет патч KB4457138:
Патч KB4457138 исправляет уязвимости:
Если в системе не обнаруживается уязвимость, и процесс продолжает работать на правах обычного пользователя, будет использована команда RUNAS, чтобы запустить другой инстанс, но уже с административными правами, а текущий, работающий с ограниченными привелегиями — завершить. Полный псевдокод приведен на скриншоте ниже.
После того, как Sodinokibi успешно запускается в режиме администратора, ПО проводит дополнительную предварительную проверку и уточняет значение ключа “bro” в конфигурации JSON и выясняет страну нахождения. Оно не будет пытаться заразить компьютеры из следующих стран, если таковые параметры местоположения были выставлены в настройках компьютера.
Уточнение языковых ID
- Румыния, Россия, Украина, Беларусь, Эстония, Латвия, Литва, Таджикистан, Иран, Армения, Азербайджан, Грузия, Казахстан, Кыргызстан, Туркменистан, Узбекистан, Татарстан
После прохождения проверки вредоносное ПО прекращает процесс mysql.exe (если он был запущен), чтобы получить доступ к файлам MySQL и зашифровать их. После этого вымогатель удаляет теневые копии Windows при помощи vssadmin, а также отключает систему восстановления Windows Recovery при помощи bcdedit:
vssadmin.exe Delete Shadows /All /Quiet & bcedit /set
recoveryenabled No & bcedit /set bootstatuspolice ignorealfailures
Перед тем, как зашифровать файлы пользователя Sodinokibi проводит поиск по всем файловым системам, включая сетевые папки, чтобы обнаружить каталоги с названием “backup”, и безвозвратно удаляет их. Интересно, что перед удалением самого каталога, зловред сначала заменяет контент во всех таких папках случайным набором байтов, чтобы сделать восстановление невозможным в принципе. К счастью, файлы Acronis Backup нельзя удалить так просто, потому что они защищаются на уровне ядра, специально, чтобы не допустить подобных действий со стороны программ-вымогателей.
Улучшенная защита для MAC
В новой версии Acronis True Image 2020 предусмотрены дополнительные возможности для компьютеров Apple. Так, теперь инструментарий позволяет восстановить раздел APFS на новой машине полностью. Но самое главное, что Acronis теперь поддерживает Apple Power Nap. Этот режим “полусна” для Mac подразумевает совмещение энергоэкономии и эффективности — то есть компьютер уходит в сон, но в то же время продолжает выполнять такие процессы, как доставка почты, обновление ленты новостей… а теперь также и выполнение резервного копирования, если процесс запланирован расписанием.
Улучшенное архивирование и дедупликация
Сами механизмы архивирования были улучшены и доработаны, включая функции дедупликации. Пользователи могут заметить это по уменьшенному времени, за которое происходит создание резервной копии, а также за счет сокращения размера самих архивов. Кроме этого улучшенная архитектура позволяет без лишних затрат ресурсов просматривать содержимое как локального архива, так и облачной копии, вплоть до выгрузки отдельных файлов по требованию.
Последнее тестирование улучшенного архиватора показало значительный рост производительности. Так, время создания инкрементальной версии локального бэкапа на диске сократилось на 45%, а время инкремента облачного бекапа — на 80% по сравнению с предыдущей версией продукта Acronis True Image 2019.
Генерация ключей
Sodinokibi использует протокол генерации и обмена ключами Diffie–Hellman на эллиптических кривых (ECDH). Выработанные сеансовые ключи используются в алгоритмах симметричного шифрования.При этом шифрование разных типов данных происходит разными методами — AES и Salsa20.
AES используется для шифрования закрытого ключа из пары из закрытого и открытого ключа, которые генерируются локально на пользовательской машине. Также им шифруются данные при передаче по сети. Salsa20 используется для шифрования пользовательских файлов.
Sodinokibi содержит два разных открытых ключа, один из которых является частью конфигурации JSON, а второй — встроен в бинарный файл. Эти открытые ключи будут использованы для шифрования созданного на машине закрытого ключа. Конкретные этапы генерации ключей и шифрования выглядят следующим образом:
Шаг 1. Генерация сессионной пары из закрытого (секретного, случайного числа) и открытого ключа на локальной машине.
Генерация локальных закрытого и открытого ключей
Шифрование закрытого ключа из Шага 1 происходит при помощи открытого ключа из конфигурации JSON
Шаг 2. Генерация еще одной пары закрытого и открытого ключей.
Шаг 3. Используя закрытый ключ из Шага 2 и открытый ключ (значение pk key) из JSON генерируется общий ключ, а посе его хеширования получается симметричный ключ.
Генерация симметричного ключа при помощи общего ключа
Шаг 4. Генерация 16-битного IV ( инициализационнного вектора).
Шаг 5. Шифрование закрытого ключа, сгенерированного на Шаге 1, при помощи AES с ключом и IV, которые получились в ходе Шагов 3 и 4.
Шаг 6. Вычисление CRC32 для зашифрованного закрытого ключа, который получился на шаге 5.
Шаг 7. Добавление IV и CRC32 в конец буфера, содержащего зашифрованный закрытый ключ из Шага 5.
Шаг 8. Сохранение буфера в сопоставленный файл со смещением (пометка “sk_key” ).
Шифрование закрытого ключа из Шага 1 при помощи открытых ключей злоумышленника
Шифрование закрытого ключа из Шага 1 при помощи открытого ключа, содержащегося в бинарном файле.
Шаг 9. Повторение шагов со 2 по 7 с использованием другого открытого ключа, который был встроен в бинарный файл на Шаге 3.
Шаг 10. Сохранение буфера в сопоставленный файл со смещением в памяти (отметка “0_key”)
sk_key, 0_key и pk_key записываются в реестр соответствующим образом, в зависимости от полученных программой прав доступа…
HKLM\SOFTWARE\recfg\sk_key или HKCU\SOFTWARE\recfg\sk_key
HKLM\SOFTWARE\recfg\0_key или HKCU\SOFTWARE\recfg\0_key
HKLM\SOFTWARE\recfg\pk_key или HKCU\SOFTWARE\recfg\pk_key
Зашифрованный секретный ключ в реестре
Генерация ключей для отдельных файлов с Salsa20
Шаг 11. Генерация новой пары из открытого и закрытого ключа.
Шаг 12. Генерация общего ключа с использованием открытого ключа сессии, созданного на Шаге 2, и хэширования для получения очередного симметричного ключа, необходимого для генерации ключей в Salsa20.
Шаг 13. Установка ключа 256-бит (32 байт) в Salsa20
Шаг 15. Генерация ключа Salsa20
Шаг 16. Использование Salsa20 key_state для шифрования пользовательских файлов при помощи Salsa20.
Генерация ключей Salsa20 для каждого файла
Повторение Шагов 11 — 16 для каждого шифруемого файла.
Расширенное противодействие Ransomware
Кстати, в новой панели уведомлений присутствует информация и о работе Active Protection — системы защиты от программ-вымогателей. Теперь в уведомлениях отображается также информация о том, какие процессы были заблокированы и почему (это пригодится разработчикам, чтобы понять, почему их ПО ошибочно блокируется), а также причины наблюдения за отдельными процессами.
Сама система Active Protection стала более “чувствительной”. За счет постоянного обучения ИИ, мы значительно снизили количество ложных срабатываний, а также увеличили эффективность работы движка. Были внесены и отдельные доработки, увеличена устойчивость системных процессов Acronis к попыткам шифровальщиков блокировать их работу
Дешифрование
Для этой программы-вымогателя нет бесплатного способа расшифровать данные, и единственная возможность восстановить данные — использовать сервис дешифрования, предоставленный злоумышленником. Перейти на него следуя инструкциям, приведенным в требовании о выкупе…
Оптимизация работы для портативных устройств
Поскольку большая часть потребителей устанавливает Acronis True Image не только на стационарные, но и на портативные устройства, мы сделали ряд улучшений работы системы защиты данных на ноутбуках.
Раньше вы могли просто отключить резервное копирование при работе от батареи, и поэтому пользователям приходилось выбирать между временем автономной работы ноутбука и сохранностью данных. Теперь в меню настройки имеется “ползунок”, который можно установить на определенном уровне заряда батареи, когда вы уже не хотите тратить ресурсы на ресурсоемкие процессы копирования и архивирования, отдавая предпочтение максимально долгой мобильной работе.
Другой аспект — выбор сети для бэкапа в облако. Если для стационарных ПК все понятно и загрузка происходит через домашний или офисный интернет-канал, то мобильные устройства подключаются к самым разным беспроводным сетям. Новая версия Acronis True Image 2020 позволяет настроить сети, в которых можно передавать данные резервной копии. Как правило, для этого используется домашняя и офисная сети. Такой подход позволяет избежать заведомо обреченных на провал попыток резервного копирования в облако на “слабом”, а также на платном Wi-Fi, например, еси вы подключились к сети в кафе или аэропорту. С точки зрения защиты канала для передачи информации в облако Acronis в любом случае используется шифрование, но некоторые пользователи все равно боялись передачи данных в открытых сетях. Для них возможность ограничить перечень используемых Wi-Fi подключений также оказалась востребованной.
Читайте также: