Каталог расширений

Популярные теги

3gp       avi       fb2       jpg       mp3       pdf      

Как сделать чтобы mcafee не помещал файл в карантин


Как добавить исключения в McAfee Internet Security

McAfee Internet Security

Пользователи комплексного антивируса McAfee Internet Security могут столкнуться с ложными срабатываниями, наше руководство поможет добавить файлы в исключения и предотвратить в дальнейшем нежелательные удаления.

Добавить файлы в исключения комплексного антивируса McAfee Internet Security довольно просто, следуя нашей небольшой инструкции, вы быстро найдете настройки и исключите необходимые программы или игры.

Совет. Заранее старайтесь убедиться что добавляемый файл приложение или игры безопасен, проверкой онлайн-антивирусом VirusTotal и только после этого исключайте из сканирования.


Как добавить исключения McAfee Internet Security

Откройте McAfee Internet Security, нажмите значок шестеренки, чтобы открыть выпадающее меню и зайдите в "Проверка в реальном времени".

Открыть проверку в реальном времени

Разверните раздел "Исключенные файлы".

Развернуть

Нажмите кнопку "Добавить файл".

Добавить файл


Найдите файл который необходимо добавить в исключения, выделите его и нажмите по кнопке "Отрыть" (или просто кликните мышкой).

Добавление файла в исключения McAfee Internet Security

Вот и все, теперь занесённый в исключения объект проверяться и удалятся не будет.

Исключенные файлы

McAfee как добавить файл в исключения

Самой крупной компанией, которая специализируется на разработках технологий безопасности является McAfee. Она предоставляет службы и варианты решений, которые способны обеспечить безопасность системы и сетей во всем мире. Компания McAfee дает полную защиту частных и корпоративных пользователей от новых вирусов, которые могут нанести вред компьютеру, а также от угроз из Интернет-сети.

Разработки компании способны взаимодействовать между собой. Это дает возможность соединить средства защиты от вирусов и программ-шпионов с функциями управления системой безопасности. Также происходит сбор информации и ее анализ службами антивируса, которые снижают риск получить заражение во время работы во всемирной сети и увеличить уровень безопасности, при этом выполняя все нормативно-правовые требования.

Из положительных моментов можно отметить то, что его можно скачать бесплатно в интернете. Также он обладает отрицательными качествами:

  • маленькая эффективность;
  • очень часто пропускает вирусы;
  • необходимость обновления вручную.

Как добавить файл или папку в исключения McAfee

Многие, кто пользуется антивирусными, не раз сталкивались с такой проблемой, как блокирование процессов, которые программа по ошибке принимает за опасные для компьютера. Разработка компании McAfee позволяет добавлять файлы и папки в исключения.

В принципе, автоматическое блокирование достаточно полезная функция, так как не позволяет проникать в компьютер вирусам и предоставляет защиту от кражи личной информации. Но иногда антивирус от McAfee присваивает безопасным программам статус вредоносных и не позволяет работать с ними.

Ранее, для того чтобы воспользоваться блокированным приложением приходилось постоянно отключать антивирус, что приносило большие неудобства. Компания McAfee разработала список исключений, в который можно помещать нужную папку или файл и спокойно работать с ним. Важно помнить, что добавлять можно только абсолютно безопасные программы, так как антивирус будет их игнорировать при сканировании.

Чтобы занести файлы в список исключения необходимо провести некоторые действия:

  1. Открыть антивирус.
  2. На главной странице нужно нажать на «Защиту от вирусов и шпионских программ».
  3. Далее выбрать «Проверить ПК» — «Выполнение пользовательской проверки». После нужно нажать «Запланированные проверки» — «Запланировать проверку».
  4. Затем следует выбрать пункт «Исключенные файлы и папки».
  5. Здесь предоставляется на выбор «Добавить файл» или «Добавить папку».
  6. Нажав на нужную папку, следует кликнуть по пункту «Открыть».

После этого документ будет добавлен в список исключения.

Восстановление помещенных в карантин элементов

Восстановление помещенных в карантин элементов

Справка McAfee

При помещении элементов в карантин McAfee шифрует их, а затем изолирует в определенной папке, чтобы не позволить этим файлам, программам или файлам cookie нанести вред компьютеру.

Если элемент помещен в карантин по ошибке или выясняется, что он не представляет угрозы для безопасности, его можно удалить из карантина.

Процедура

1 Откройте страницу Помещенные в карантин и надежные элементы.
1 В правом верхнем углу Домашняя страница щелкните Навигация.
2 В области Функции щелкните Помещенные в карантин и надежные элементы.
2 Щелкните Элементы в карантине или Потенциально нежелательные программы в карантине, чтобы просмотреть список помещенных в карантин угроз.
3 В списке выберите элемент, который требуется удалить из карантина, а затем щелкните Восстановить.
Будьте внимательны, выбирая элемент для восстановления. Помещенные в карантин элементы представляют потенциальную угрозу для безопасности компьютера.

McAfee удалил или поместил в карантин файлы, как восстановить?

Антивирус «McAfee» после сканирования устройства на вирусы удалил важные файлы или поместил их в карантинное хранилище? Какими способами можно вернуть утраченные файлы из карантина или восстановить полностью удаленные данные мы расскажем в нашей статье.

Содержание:

  • Восстановление файлов из карантина антивирусной программы компании «McAfee»
  • Восстановление удаленных файлов из резервного архива
  • Восстановление утраченных файлов сторонним программным обеспечением
  • Заключение
  • Введение

    Множество мошенников создают и применяют разнообразные вредоносные программы (вирусы) для скрытого проникновения на компьютерное устройство пользователей с целью похищения, уничтожения или повреждения пользовательских данных, или их использования для причинения вреда.

    Список вредоносных программ необычайно широк и расширяется ежедневно, постоянно пополняясь новыми видами угроз. Поэтому, для защиты пользовательской личной и конфиденциальной информации, ведущими специалистами в области компьютерной безопасности разработано специализированное программное обеспечение, главной целью которого является защита всех видов данных и предотвращение вредоносного проникновения на компьютерные устройства пользователей.

    Однако защитные механизмы антивирусного программного обеспечения могут, при возникновении опасности повреждения данных или вирусной атаки, производить принудительное удаление инфицированных или подозрительных объектов в безопасное хранилище программы для лечения или окончательного удаления, при отсутствии возможности устранения обнаруженной угрозы.

    В результате, довольно часто, может возникнуть ситуация неожиданной утраты пользователями важных файлов, конфиденциальной деловой или личной информации, любительских фото или видео архивов и других данных. Однако вся информация не утеряна и может быть возвращена обратно либо из карантина антивирусной программы, либо при помощи специального программного обеспечения для восстановления данных. Далее в нашей статье мы рассмотрим, где расположено безопасное хранилище антивирусной программы, как извлечь из него требуемые файлы, а также как восстановить удаленные данные, если в карантине их не оказалось.

    Обоснованная необходимость применения антивирусного программного обеспечения

    Все возрастающий объем, окружающей пользователей, информации, необходимость использования одновременно большого количества ресурсов, а также постоянно увеличивающийся массив данных заставляет пользователей хранить всю информацию в электронно-цифровом виде на собственных компьютерных устройствах.

    Преобладающее количество данных пользователей представляют собой совокупность личной и конфиденциальной информации, которой необходимо предоставить соответствующий уровень защищенности и обеспечить безопасный способ ее обработки, передачи и обмена. На достижение общей безопасности компьютерных устройств и важных пользовательских данных направлено действие антивирусного программного обеспечения.

    Разработанные на основе прогрессивных методов идентификации вредоносных вирусных программ, антивирусные приложения обеспечивают комплексную защиту устройств, всей информации и сетевых подключений и узлов от негативного воздействия зловредных программ.

    Действия вирусов могут вызывать разнообразные последствия, начиная от обычных навязчивых, периодически всплывающих, рекламных сообщений до полного обрушения операционной системы компьютерного устройства и выходом его из строя. Многие вирусы удаляют, скрывают или повреждают пользовательскую информацию, воруют личные данные, получают доступ к банковским счетам, используют компьютерное устройство пользователя для массированного взлома сторонних закрытых сетей и многое другое. Такое воздействие может привести к негативным последствиям, потере важных данных и финансовых сбережений, а также повлечь за собой значительные затраты на их устранение.

    Своевременная установка и активация антивирусных приложений позволит практически полностью избежать вреда от вирусных программ и защитить устройство и данные пользователей от порчи и утраты.

    Классификация вредоносных злонамеренных программ

    Современные вирусные программы представлены широким кругом самых разнообразных видов угроз, направленных на исполнение различных вредоносных действий, по отношению к компьютерным устройствам пользователей и хранящейся там информации.

    Разработчики-создатели вирусных программ постоянно ведут мониторинг и осуществляют поиск новых видов уязвимостей операционных систем, отдельных приложений или файловых расширений для создания и внедрения вредоносного кода.

    Количество вредоносных программ велико, но, в основном, их главным и наиболее массовым видом являются компьютерные вирусы. Создание трудностей в работе инфицированного устройства, выход из строя аппаратного обеспечения, блокировка антивирусных программ и системных служб безопасности, установка дополнительных вредоносных приложений, захват управления устройством, кража личных и конфиденциальных данных, вымогательство и шантаж пользователей, осуществление хакерских атак – вот далеко не полный список всех последствий, к которым может привести заражение вирусом.

    Каждая конкретная вредоносная программа построена по собственному алгоритму. Однако принимая во внимание отдельные признаки, например, способ обнаружения уязвимостей приложений и операционной системы, методы инфицирования устройств для осуществления зловредных действий, вирусы можно разделить на следующие типы:

    • Файловые: вирус использует для своего размножения файловую систему, он непосредственно помещен в зараженном файле и инфицирует компьютерное устройство пользователей при обращении;
    • Загрузочные: заражение вредоносной программой происходит при загрузке операционной системы или подключении съемных носителей;
    • Макро вирусы: поражают в основном текстовые и табличные документы, как яркие представители файлов, в которых используются макрокоманды (например, файлы «Microsoft Word» и «Microsoft Excel»), тайно размножаются и могут привести к полной утрате данных;
    • Автозапускающиеся: похожи по своим действиям на загрузочные вирусы, которые самостоятельно активируются и осуществляют заражение системы в автоматическом режиме.

    Большинство злонамеренных программ, независимо от типа, используют определенную технологию вредоносного воздействия, в соответствии с которой можно выделить определенные, наиболее распространенные, виды вирусных программ, основной список которых можно представить следующими представителями:

    Вирус: Яркий первый представитель, послуживший обобщающим термином для всех последующих зловредных программ. Представляет собой вредоносный программный код с функцией самовоспроизведения, главным назначением которого является самовольное несанкционированное внедрение в операционную систему и доступные приложения с последующим созданием собственных копий, тем самым нанося непоправимый вред.

    Червь: Категория саморазмножающихся программ, которые используют для распространения сетевые ресурсы. Черви не могут инфицировать существующие файлы. Они способны проникать в компьютерное устройство отдельным файлом и осуществляют поиск уязвимости существующих сетей для дальнейшего заражения. Черви вычисляют сетевые адреса других компьютеров, а затем рассылают собственные копии на обнаруженные устройства. Дополнительную угрозу создает возможность червей выполнять функцию транспортировки других видов вредоносных программ (например, содержать троянскую программу) с последующим активированием после доставки.

    Троян: Особый вид вирусных программ, которые осуществляют злонамеренные действия и скрывают свою деятельность под видом разрешенного программного обеспечения. Серьезную опасность вызывает способность троянов выдавать себя за полезное приложение, и даже иногда выполнять отдельные полезные действия, которые служат прикрытием для разрушающих действий (например, уничтожение информации, сбоя операционной системы, кражи конфиденциальных данных и т.д.). Трояны не способны самостоятельно распространяться, и попадают в компьютеры пользователей под видом добросовестного программного обеспечения, загруженного пользователями из ненадежных источников, или в сочетании с другими вирусами (например, червями).

    Логическая бомба: Программное приложение, исполнение вредоносного действия которого наступает только при достижении определенного условия или процесса (например, конкретная дата или время, запуск отдельного приложения, открытие специального файла и т.д.). Часто вредоносный код логической бомбы зашифрован и нет возможности его обнаружить ввиду полного отсутствия каких-либо злонамеренных действий. Лишь в момент запуска бомбы защитные механизмы антивирусных приложений могут обнаружить и заблокировать его исполнение.

    Руткит: Опасный вид зловредного программного обеспечение, основная деятельность которого осуществляется на уровне ядра операционной системы. Такая особенность позволяет руткиту скрывать исполнение вредоносного кода от контроля пользователей и доступных защитных антивирусных приложений, отказывая в доступе средствам безопасности или блокируя любые элементы системы защиты.

    Шпионские программы: Разновидность злонамеренного программного обеспечения, осуществляющего тайное слежение и сбор разнообразной информации пользователя с последующей ее передачей злоумышленнику.

    Блокираторы и вымогатели: Отдельный вид зловредных программ, который зашифровывает пользовательские файлы и помещает на рабочий стол компьютера требование с выкупом для получения ключа-дешифратора. Могут поражать как данные пользователя, так и полностью все файлы, включая системные, тем самым блокируя работу устройства. В большинстве случаев оплата выкупа не приводит к восстановлению системы. Существуют разные способы восстановления работоспособности системы и возобновления доступа к зашифрованным файлам, различающиеся в зависимости от вида семейства зловредных программ, объединенных по определенным признакам. Получить более подробное руководство по восстановлению пользовательских данных после заражения вирусом, в том числе после вирусов-вымогателей, можно в нашей статье: «Восстановление файлов зараженных вирусом». Или ознакомиться с возможными способами борьбы и восстановления информации после проникновения вирусов-блокираторов и шифрования данных можно на нашем видеоканале в обзоре: «Нужен Ransomware дешифратор? Вирус Petya зашифровал файлы? Как восстановить зашифрованные файлы».

    Инструмент удаленного администрирования «Бэкдор»: Опасное вредоносное приложение, которое открывает удаленный доступ к компьютеру и позволяет получить полный контроль над устройством. В зависимости от особенностей конкретного приложения, злоумышленник может выполнять разнообразные действия, полностью контролируя деятельность компьютера и управляя им без согласия владельца.

    Также присутствует ряд других вредоносных программ, способных выполнять зловредные действия и влиять на функционирование компьютерного устройства или совершать злонамеренные действия по отношению к информации пользователей. Например, объединять инфицированные компьютеры в единую сеть для осуществления удаленных массированных сетевых атак, красть учетные данные и пароли, распространять спам, выполнять загрузку вредоносного программного обеспечения на компьютер пользователей через уязвимости веб-браузеров и многое другое.

    На нашем видеоканале в представленном видеосюжете «Как удалить вирусы и рекламу в браузерах Chrome, Firefox, Opera, Яндекс, Edge и Explorer» рассмотрены различные способы избавления от вирусов в популярных веб-браузерах ).

    Вредоносное программное обеспечение своими действиями способно нанести непоправимый вред и представляет серьезную опасность. Поэтому, поддержка надлежащего уровня безопасности компьютерного устройства и, расположенных на нем, данных приобретает важное значение, и требует от пользователей исполнения определенных действий, главным из которых является использование современного антивирусного программного обеспечения от доверенного производителя.

    Одним из лидеров, в списке компаний-разработчиков антивирусных средств комплексной защиты устройств и данных пользователей, является компания «McAfee». Далее мы рассмотрим основные варианты предложений антивирусной защиты, доступные для установки от данного разработчика.

    Компания «McAfee» и обзор предлагаемых антивирусных решений

    Стремительное развитие информационных технологий и значительный рост общего массива данных вынуждает пользователей уделять особое внимание безопасности компьютерных систем и сетевых соединений от нежелательного воздействия разнообразных зловредных угроз. На обеспечение комплексных защитных мероприятий по предотвращению возможного проникновению вредоносного программного обеспечения на компьютерные устройства пользователей, поддержку безопасного функционирования системы, обработку и хранение информации направлено действие антивирусных защитных инструментов.

    Большинство антивирусных механизмов имеют достаточно высокие показатели по уровню обнаружения и предотвращения разнообразных видов вирусных угроз. Но существует список прогрессивных разработчиков, задающих стандарты критериев безопасности, на которые ориентируется большинство обычных антивирусных компаний. Одним из таких создателей, обладающим универсальными комплексными решениями в области информационной и аппаратной безопасности, по праву считается компания «McAfee».

    Основной слоган компании концентрирует общую направленность всех усилий антивирусных механизмов на обеспечение киберзащиты на всем пути от устройств к облаку, и представлении решений, которые стоят на страже конфиденциальной информации и охраняют личную сферу пользователей.

    Располагаясь среди лидеров компаний в сфере обеспечения высочайшего уровня антивирусной безопасности, компания «McAfee» имеет в своем списке продвинутые защитные решения, рассчитанные на ежедневное бесперебойное использование отдельными конечными потребителями, коммерческими малыми и крупными предприятиями, огромными корпорациями и государственными структурами. Уникальная технология, реализуемая в продуктах компании, включает, в обязательном порядке, интеллектуальную функцию прогнозирования, позволяющую предугадывать и отражать атаки вредоносных вирусных программ.

    Защитные решения для предприятий

    Для коммерческих организаций разнообразных форм собственности и масштаба, компания «McAfee» предлагает интегрированные универсальные защитные механизмы, деятельность которых направлена на комплексное обеспечение безопасности информационной, аппаратной и сетевых сред от, практически любых видов, существующих угроз.

    Продукты для бизнеса имеют широкий набор защитных инструментов, основной вид деятельности которых можно классифицировать по следующим параметрам:

    Защита и шифрование данных: Продукты «McAfee» призваны отслеживать и контролировать использование массива разнообразных конфиденциальных данных, а также гарантировать многоуровневую защиту информации на всех этапах, независимо от ее месторасположения. Варианты решений представлены следующими продуктами:

    • «McAfee Complete Data Protection – Advanced»;
    • «McAfee Complete Data Protection»;
    • «McAfee Total Protection for Data Loss Prevention»;
    • «McAfee MVISION Cloud».

    Каждый из представленных продуктов рассчитан на достижение конкретного результата в определенной области, обладает уникальными свойствами и дополняется отдельными новыми функциями.

    Защита баз данных: Антивирусное программное обеспечение нацелено на организацию комплексной защиты критически важных баз данных от разнообразных внешних и внутренних угроз (включая вложенные угрозы самих баз данных), и осуществляет исполнение защитных процедур автономно в режиме реального времени без отключения баз или внесений каких-либо изменений.

    Средство защиты представлено универсальными решениями обеспечения уровня защищенности в физических, виртуальных и облачных средах, и содержит как отдельный элемент контроля над безопасностью, так и единый объединяющий комплекс, выраженный в следующих продуктах:

    • «McAfee Vulnerability Manager for Databases»;
    • «McAfee Data Center Security Suite for Databases».

    Защита конечных точек: Новейшие разработки видов централизованных решений для защиты конечных точек от современных сложных атак позволяют задействовать, автоматизировать и координировать средства защиты для мгновенного обнаружения и устранения злонамеренных угроз. Решения обеспечивают комплексный уровень безопасности систем под управлением «Windows» и «Linux», персональных компьютеров «Mac» и мобильных устройств на базе «Android» и «iOS». Антивирусное обеспечение широкого диапазона действия представлено следующими продуктами:

    • «McAfee MVISION Endpoint»;
    • «McAfee MVISION Mobile»;
    • «McAfee Endpoint Security»;
    • «McAfee MVISION EDR»;
    • «McAfee Embedded Control».

    Защита сетей: Защитное антивирусное решение для обнаружения и блокирования вредоносного программного обеспечения, отражения сложных целевых вирусных сетевых атак успешно обеспечивает защиту от новых, неизвестных ранее, видов угроз благодаря применению многоуровневых без сигнатурных технологий, системы предотвращения вторжений в сеть и передовых средств обнаружения угроз посредством изолированной безопасной среды.

    Инструменты сетевой защиты представлены следующими средствами:

    • «McAfee Network Security Platform»;
    • «McAfee Virtual Network Security Platform»;
    • «McAfee Advanced Threat Defense».

    Аналитика в области информационной безопасности: Аналитические решения «McAfee», основанные на сочетании технологии изолированной среды, интеллектуального анализа кода, расширенного метода машинного обучения, позволяют упреждать возникновение или мгновенно принимать меры по эффективному противодействию угрозам.

    Аналитические продукты анализа разновидностей вирусов, оказывающие неоценимую помощь в обеспечении безопасности, предупреждении о зловредных действиях и обнаружении сложных трудноуловимых угроз, доступны в таких решениях:

    • «McAfee Investigator»;
    • «McAfee Behavioral Analytics»;
    • «Безопасность устройств методом машинного обучения»;
    • «Управление информацией о безопасности и событиями безопасности (SIEM)»;
    • «McAfee Active Response».

    Управление безопасностью: Комплексный централизованный подход к управлению информационной защитой организации, обеспечивающий взаимодействие любых средств защиты, и осуществление автоматической координации совместных действий для оптимизации управления и эффективной безопасности всех контрольных точек.

    Продукты для управления безопасностью:

    • «McAfee ePolicy Orchestrator»;
    • «McAfee MVISION ePO»;
    • «McAfee Threat Intelligence Exchange»;
    • «OpenDXL».

    Защита серверов: Комплекты серверной безопасности «McAfee» обеспечивают эффективную и непрерывную защиту информации и устройств хранения данных независимо от среды расположения: физической, виртуальной, локальной или облачной. Планомерное распределение рабочих нагрузок, сводящее к минимуму воздействие на процессоры, противодействуют любым видам угроз без снижения общей производительности и уровня быстродействия систем.

    Антивирусное программное обеспечение защиты серверов «McAfee» включает следующие предложения:

    • «McAfee Cloud Workload Security»;
    • «McAfee Application Control»;
    • «McAfee Change Control»;
    • «McAfee Host Intrusion Prevention for Server»;
    • «McAfee MOVE AntiVirus»;
    • «McAfee VirusScan Enterprise for Storage».

    Веб-защита: Защитные решения, направленные на обеспечение безопасности каждого устройства от любых видов сетевых угроз, обеспечивают безопасное подключение к «Интернету», независимо от его месторасположения, выполняют фильтрацию данных, производят анализ и предотвращают заражение и утечку информации при подозрительном воздействии.

    Продукты для веб-защиты содержат несколько вариантов развертывания и представлены готовыми решениями:

    • «McAfee Web Protection»;
    • «McAfee Web Gateway»;
    • «McAfee Web Gateway Cloud Service».

    Антивирусное обеспечение для частных пользователей

    Для индивидуальных пользователей компания «McAfee» выполняет обеспечение безопасности любых личных устройств: мобильные телефоны, планшеты, домашние стационарные персональные компьютеры, ноутбуки и другие устройства. Защитные антивирусные продукты «McAfee» осуществляют комплексную защиту от вирусов и вредоносных программ, поддерживают сетевую безопасность и исключают проникновение зловредных приложений, кражу личных данных и другие виды злонамеренных действий.

    Продукты для частных пользователей имеют как четкое разграничение и осуществляют защитную деятельность в соответствующем диапазоне, разнящемся в зависимости от потребностей потребителей, так и содержат вариант, сочетающий все элементы механизмов безопасности в одном предложении, предлагающем абсолютное антивирусное решение:

    • «McAfee Mobile Security для Android»;
    • «McAfee Mobile Security для iPhone и iPad»;
    • «McAfee WebAdvisor»;
    • «McAfee Small Business Security»;
    • «McAfee LiveSafe»;
    • «McAfee Total Protection».

    Объединяющими факторами всех защитных решений от компании «McAfee» выступают высокая степень надежности антивирусных продуктов, широкий диапазон возможностей по обнаружению и предотвращению вредоносного воздействия и мгновенное противодействие любым потенциальным угрозам. Решения по безопасности «McAfee» удостоены многих отраслевых наград и получили признание ведущих компаний мира по результатам тестовых проверок эффективности защитных действий.

    Восстановление файлов из карантина антивирусной программы компании «McAfee»

    Современные создатели вредоносного программного обеспечения регулярно исследуют новейшие достижения в области антивирусной безопасности и усовершенствуют зловредные приложение на поиск новых уязвимостей и лазеек для несанкционированного доступа к информации пользователей. И часто скрывают действия вирусных программ за деятельностью стандартных легальных приложений или прячут вирусы в теле обычных файлов.

    Приложения по безопасности «McAfee» содержат программные защитные инструменты, деятельность которых направлена на диагностику, обнаружение и блокирование возможных вирусных угроз. Во время защитных действий, антивирусная программа сравнивает деятельность приложений и процесс исполнения отдельных файлов с известными угрозами, и может удалить или переместить в защищенное хранилище (карантин) инфицированный файл, при обнаружении потенциальной угрозы, полностью блокируя его дальнейшее использование. Основанием для решения о помещении подозрительного файла в карантин выступает эвристическая проверка. Благодаря ей, происходит поиск потенциальных угроз путем оценки стандартов поведения. И при наличии соответствующих признаков (например, способности самокопирования, скрытности, возможности перезаписи поверх других файлов) принимается обоснованное решение об изоляции такого объекта.

    Но иногда некоторые элементы, которые были определены как небезопасные, могут быть помещены в карантин по ошибке. В таком случае, их необходимо вернуть, чтобы в дальнейшем иметь возможность выполнять с ними разнообразные действия или использовать по прямому назначению.

    Откройте установленный антивирусный продукт компании «McAfee» на вашем устройстве, воспользовавшись любым удобным способом. Например, нажмите на «Панели задач» в нижнем правом углу рабочего стола в области уведомлений правой кнопкой мыши на иконку антивирусной программы, и во всплывающем контекстном меню выберите раздел «Открыть McAfee Total Protection».

    В нашем примере мы рассмотрим программное обеспечение «McAfee Total Protection», но алгоритм восстановления файлов из карантина одинаково подходит для всех продуктов компании.

    В главном окне программы нажмите на кнопку «Навигация», представленную в виде шестеренки, и откройте вложенное меню. Затем, в списке возможных действий, выберите в разделе «Параметры» пункт «Элементы на карантине».

    В новом окне «Защита от вирусов и шпионских программ» откройте вложенный раздел «Элементы в карантине» для поиска заблокированных файлов.

    В открывшейся таблице раздела выберите необходимые файлы, отмечая каждый файл или нажав кнопку «Выбрать все», а затем нажмите кнопку «Восстановить». Данное действие отменит карантин для отмеченных элементов и восстановит их в исходное расположение.

    Примечание: Не восстанавливайте элементы из защищенного хранилища, если не уверены в их абсолютной безопасности, ведь такие действия могут привести к заражению системы и утрате всей информации.

    Если важные файлы в карантине не обнаружены, то для их восстановления необходимо воспользоваться сторонним программным обеспечением для восстановления удаленных файлов, о котором мы расскажем в заключительном разделе.

    Восстановление удаленных файлов из резервного архива

    Одним из важных элементов обеспечения безопасности компьютерных устройств и сохранности пользовательских данных является функция резервного копирования, благодаря которой создается архив копий важных файлов по выбору пользователя. И в случае критической ситуации, когда по причине вредоносного воздействия вирусных программ важные файлы утеряны, испорчены или удалены, пользователи смогут обратиться к ранее созданному архиву и вернуть последнюю сохраненную версию искомых файлов.

    В операционной системе «Windows» реализована функция резервного копирования, и при соответствующей настройке, пользователи могут обезопасить себя от непредвиденной потери и создать архив данных, используя стандартные инструменты.

    Однако для создания и хранения архивов резервных копий требуется наличие большого объема свободного дискового пространства, которого часто бывает недостаточно по причине резкого увеличения массива разнообразной информации, которую пользователи создают, хранят и используют для собственных нужд. Поэтому часто пользователи ограничиваются созданием резервных копий важных системных файлов, от которых напрямую зависит функционирование компьютерного устройства.

    Также пользовательские устройства могут подвергнуться вирусной атаке в межинтервальный период до установленного времени создания резервной копии данных. Либо вирус может уничтожить или повредить уже созданный архив, что приведет к потере важной информации.

    Поэтому всегда важно иметь универсальное профессиональное программное обеспечение для восстановления данных, используя которое можно гарантированно вернуть утраченные файлы.

    Восстановление утраченных файлов сторонним программным обеспечением

    Восстановить удаленные файлы после защитных действий антивирусной программы не всегда удается стандартными методами. Карантин программы может быть пуст и не содержать искомых файлов, а резервная копия может быть повреждена или отсутствовать. В таком случае всегда можно воспользоваться помощью специальных программ для восстановления удаленных файлов сторонних производителей.

    Принцип действия таких программ основывается на глубоком поиске и сигнатурном анализе начала и окончания каждого файла, восстановления его структуры и предъявления пользователям для ознакомления и сохранения. Большинство программ обладают средними показателями по успешному проценту восстановленных файлов, или предлагают ограниченный набор функциональных возможностей, который не может, в полной мере, восстановить нужную информацию.

    Однако на рынке разработчиков программного обеспечения для восстановления файлов представлен ряд признанных компаний, лидирующее положение в списке которых, по результатам независимых тестов от доверенных специализированных компаний и множественным отзывам конечных пользователей, занимает компания «Hetman Software» и ее флагманский продукт «Hetman Partition Recovery».

    Программа сочетает в себе лучшие наработки компании в области поиска, идентификации и восстановления данных удаленных, утерянных, поврежденных или недоступных по различным причинам. Благодаря встроенным инновационным алгоритмам, восстановление любой информации происходит быстро и практически в полном объеме. В большинстве случаев, программа незаменима при восстановлении файлов после:

    Удаления – независимо от выбранного способа удаления (обычного или безвозвратного), использования специальных программ для очистки, удаления по ошибке с любых видов устройств.

    Форматирования – возвращает данные после форматирования раздела или целого диска стандартными инструментами операционной системы «Windows» или сторонними приложениями, изменения файловой системы, повреждения или отсутствия файловых таблиц.

    Системного сбоя – восстановление информации после аппаратных или системных неполадок, краха операционной системы и программных ошибок прошивок.

    Повреждения жесткого диска – возвращает информацию после физической неисправности устройств, в случае отсутствия доступа к ним, нечитаемых и испорченных дисков.

    Отдельно стоит выделить важную особенность «Hetman Partition Recovery», позволяющую программе успешно восстанавливать удаленные, утерянные, поврежденные и недоступные файлы после воздействия вирусов. Реализация множества нежелательных сценариев, например, уничтожение информации, удаление антивирусной программой по причине заражения или возможной угрозе, блокирование или ограничение доступа, изменение или повреждение файлов – не создаст программе дополнительных проблем для поиска и возврата пользовательских данных с любых видов носителей.

    Загрузите актуальную версию установочного файла программы с официального сайта компании «Hetman Software» и запустите его исполнение. Мастер установки поможет за несколько простых шагов выбрать оптимальные настройки программы и подготовить ее для дальнейшего использования. По окончанию установки, запустите «Hetman Partition Recovery». Программа произведет первичный анализ системы, выполнит поиск всех подключенных устройств и подготовит для последующего сканирования, отобразив их в главном окне программы.

    Выберите необходимое устройство или отдельный раздел и дважды щелкните его левой кнопкой мыши. Интегрированный мастер восстановления файлов предложит пользователям определиться с типом анализа, который необходимо задействовать для поиска утраченных данных. На выбор доступно два варианта, каждый из которых может быть применен при определенных обстоятельствах. Для поиска недавно удаленных файлов помощник предложит выбрать «Быстрое сканирование». Для глубокого изучения поверхности жесткого диска, устранения последствий негативного вирусного воздействия и восстановления всей доступной информации пользователям стоит остановить свой выбор на опции «Полный анализ». Внутренне устройство программы максимально похоже на интерфейс проводника файлов «Windows», что существенно облегчает использование программы и повышает ее доступность. После выбора типа анализа, установите индикатор (точку) напротив соответствующей ячейки и нажмите кнопку «Далее» для запуска процесса.

    Анализ дискового пространства и поиск удаленных файлов будет отображен в строке состояния с указанием ориентировочного времени его окончания. Весь процесс может занять разное время, напрямую зависящее от объема накопителя, количества информации, степени ее повреждения, возможностей аппаратного оборудования и ряда других причин.

    Завершив анализ, «Hetman Partition Recovery» отобразит все обнаруженные файлы в главном окне, и предоставит возможность пользователям ознакомиться с их содержимым. В окне «Предварительный просмотр» можно просмотреть или прослушать каждый файл, а затем выбрать все необходимые файлы для последующего сохранения, поместив их в раздел «Список восстановления» простым перетаскиванием. По завершению, на ленте главного меню, нажмите на кнопку «Восстановить» для запуска процесса сохранения.

    Пользователям будет необходимо указать несколько дополнительных параметров, одним из которых является метод сохранения файлов. Автоматический помощник предложит на выбор четыре, предустановленных в программе, метода:

    • «Сохранение на жесткий диск» – подразумевает запись отмеченных файлов на любой внутренний или внешний носитель информации;
    • «Запись на CD/DVD» – позволит записать файлы на оптический диск;
    • «Создать виртуальный образ ISO»;
    • «Выгрузить по FTP» – благодаря интегрированному клиенту сохранить файлы в сети «Интернет».

    Выбрав приемлемый метод сохранения файлов, установите индикатор (точку) напротив соответствующей ячейки, и нажмите кнопку «Далее» для продолжения.

    Затем необходимо будет указать путь для сохранения файлов и несколько отдельных параметров, которые разнятся в зависимости от, выбранного пользователем, метода сохранения. Теперь нажмите кнопку «Восстановить» и завершите процесс восстановления файлов.

    Все файлы, ранее отмеченные пользователем, будут сохранены и доступны для дальнейшего использования в указанной директории.

    Более подробно ознакомиться с возможностями программы «Hetman Partition Recovery» и вариантами ее использования можно на нашем видеоканале в руководстве пользователя: «Восстановление удаленных файлов в 2019 программой Hetman Partition Recovery».

    Заключение

    Стремительно развивающиеся информационные и компьютерные технологии позволяют существенно расширить объем информации, постоянно используемой пользователями для своих собственных нужд и ведения профессиональной деятельности. Массовый перевод информационных ресурсов самого разного назначения в электронно-цифровой режим и последующее хранение информации на различных носителях данных позволяют получать к ней доступ с любого компьютерного устройства.

    Для безопасного хранения, обработки и обмена всех данных, защиты от различных видов угроз и злонамеренного воздействия обязательно использование антивирусного программного обеспечения. Любые потенциально опасные или подозрительные действия вредоносных программ будут блокироваться, а зараженные объекты подвергнуться принудительному удалению.

    Однако часто, стремясь полностью обезопасить работу компьютерных устройств и обеспечить полную защиту данных, антивирусные программы могут удалять чистые и здоровые объекты, действие которых вызвало обоснованное подозрение защитного инструмента.

    Для таких случаев, а также для контроля зараженных объектов, в антивирусных программах присутствует защищенное хранилище. И если пользователи уверены и безопасности размещенных там подозрительных элементов, они смогут восстановить их из карантина, используя простой порядок действий.

    Если карантин антивируса оказался пуст или искомые файлы в нем отсутствуют, то можно воспользоваться резервной копией файлов, предварительно созданной при помощи внутренних инструментов операционной системы.

    Но когда такой копии нет, или резервный архив данных поврежден вирусным воздействием, или по другой причине, то всегда пользователи смогут восстановить удаленные данные профессиональным программным обеспечением «Hetman Partition Recovery» практически в полном объеме.

    Если у вас возникли вопросы, как восстановить файлы, которые антивирусная программа «McAfee» удалила или поместила в карантин, то пишите нам в комментариях. Мы их обязательно просмотрим и постараемся предоставить полный ответ.

    Управление помещенными в карантин и надежными элементами

    Управление помещенными в карантин и надежными элементами

    Справка McAfee

    Когда в ходе проверки обнаруживается элемент, который может представлять угрозу для безопасности, появляется запрос о том, какое действие необходимо предпринять: удалить элемент, поместить в карантин или пометить его как надежный. При помещении элементов в карантин McAfee шифрует их, а затем изолирует в определенной папке, чтобы не позволить этим файлам, программам или файлам cookie нанести вред компьютеру. McAfee создает список помещенных в карантин и надежных элементов, в котором можно просмотреть подробные сведения. Просматривайте эти списки, чтобы удалить ненужные элементы, отправить подозрительные элементы в McAfee для анализа или восстановить безопасные элементы.

    Задания

    Просмотр помещенных в карантин и надежных элементов
    Можно просматривать информацию о помещенных в карантин элементах, включая состояние, имя файла, название угрозы, число затрагиваемых элементов, дату отправки в McAfee для анализа. Имея эту информацию, можно определить оптимальный способ устранения существующих угроз и тех, что будут выявляться при последующих проверках.
    Удаление помещенных в карантин элементов
    При помещении элементов в карантин McAfee шифрует их, а затем изолирует в определенной папке, чтобы не позволить этим файлам, программам или файлам cookie нанести вред компьютеру.
    Удаление элементов из списка надежных
    Когда пользователь доверяет элементу, он добавляется в список надежных и не обнаруживается при последующих проверках независимо от того, что он собой представляет и какие угрозы может содержать.
    Восстановление помещенных в карантин элементов
    При помещении элементов в карантин McAfee шифрует их, а затем изолирует в определенной папке, чтобы не позволить этим файлам, программам или файлам cookie нанести вред компьютеру.
    Отправка помещенных в карантин элементов в McAfee
    При помещении элементов в карантин McAfee шифрует их, а затем изолирует в определенной папке, чтобы не позволить этим файлам, программам или файлам cookie нанести вред компьютеру.

    Как в McAfee добавить файл в исключения

    Многие пользователи антивирусов сталкиваются с таким неудобством как неоправданная блокировка процессов, которые программа ошибочно распознает как вредоносные. В антивирусе McAfee существует возможность добавления файлов и папок в исключения.


    В целом опция блокировки очень полезна, ведь таким образом ПК пользователя оберегается от заражения вредоносными программами и от кражи личной и конфиденциальной информации. Но бывает, что McAfee считает различные программы, например, torrent-клиенты, вредоносными, в связи с чем блокирует их работу.

    Каждый раз отключать антивирус – не решение проблемы, гораздо удобнее добавить необходимый файл в список исключения и наслаждаться комфортной работой. Однако стоит помнить, что добавлять нужно только те файлы, в которых вы уверены целиком и полностью, ведь антивирус будет считать их на 100% безопасными, а значит, при сканировании и анализе будет обходить их стороной.

    Инструкция в McAfee как добавить файл в исключения

    Итак, порядок действий таков:

    1. Откройте антивирус McAfee.
    2. На домашней странице программы выберите пункт «Защита от вирусов и шпионских программ».
    3. Нажмите «Проверить ПК» и выберите «Выполнение пользовательской проверки». Это исключит элемент из пользовательской проверки (процесса, активируемого пользователем).
      Нажмите «Запланированные проверки» и выберите «Запланировать проверку». Это исключит элемент из запланированной проверки (процесса, запускаемого антивирусом самостоятельно).
    4. Выберите «Исключенные файлы и папки».
    5. Выберите «Добавить файл», если из проверки хотите исключить, например, программу.
      Выберите «Добавить папку», если из проверки хотите исключить несколько файлов, объединенных в одну папку.
    6. Выберите файл или папку, которую хотите исключить и нажмите «Открыть».

    На этом все. Файл или папка были добавлены в белый список.

    stacie / / Антивирусы

    Что делает McAfee Quarantine? | Small Business

    Антивирусное программное обеспечение McAfee включает функцию карантина. Если при сканировании обнаруживается файл, который кажется зараженным вирусом, вредоносной программой или электронным письмом, которое выглядит как спам, эта функция изолирует его. Затем вы можете выбрать, как управлять файлом, но пока вы этого не сделаете, он не сможет нанести вред вашей системе, поскольку он изолирован в защищенной области. Это защищает сети, особенно если у вас много входящих писем и несколько пользователей загружают файлы.

    Обзор

    Ни один антивирусный пакет не является точным на 100 процентов. Системы не могут идентифицировать каждый файл как заслуживающий доверия или ненадежный; они часто просто отмечают возможные проблемы. Они могут неплохо находить эти проблемы, но создатели нежелательного контента также неплохо их скрывают. Вирусы и вредоносные программы часто используют имена файлов, напоминающие доверенные системные компоненты, но удаление подозрительного электронного письма может быть неудобным, а удаление основного компонента программы может полностью отключить программу.Чтобы избежать этих проблем, карантин изолирует подозрительные файлы для защиты вашей системы до тех пор, пока вы не решите, можно ли им доверять или нет.

    Как работает карантин

    Файл, помещенный в карантин, не удаляется, что означает, что вы можете восстановить резервную копию позже, если это необходимо. Вместо этого файл изолирован в специальной области на вашем компьютере или в сети, которая управляется вашим антивирусным программным обеспечением. Он зашифрован в этом безопасном месте, чтобы гарантировать, что он не может причинить вред или заразить другие области вашей системы.Затем вы или ваш системный администратор можете решить, безопасно это или нет, и предпринять соответствующие действия.

    Функции McAfee Quarantine

    В McAfee есть различные способы работы с файлом, помещенным в карантин. Если вы знаете, что это подозрительно, вы можете удалить его и навсегда удалить из своей системы. Если вы считаете, что антивирусная программа допустила ошибку и файл заслуживает доверия, вы можете восстановить его и переместить из карантина. В некоторых случаях вам может быть предложено очистить файл перед восстановлением.Если вы не уверены в файле, вы можете отправить его в лабораторию McAfee Labs для оценки.

    Настройка функций карантина

    Вы можете обнаружить, что элементы управления карантином McAfee требуют настройки, когда вы начнете использовать программное обеспечение. Например, он может быть чрезмерно чувствительным и по ошибке помещать в карантин важные электронные письма и файлы или не блокировать потенциально опасные элементы. Для решения этих проблем системный администратор может создавать белые и черные списки в сети, а пользователи также могут создавать свои собственные списки.

    Ссылки

    Писатель Биография

    Кэрол Финч пишет статьи о технологиях, карьере, бизнесе и финансах с 2000 года, используя свой опыт в продажах, маркетинге и технологическом консалтинге. У нее есть степень бакалавра в области современных языков, сертификат Chartered Institute of Marketing, а также неофициальный статус компьютерного и игрового компьютерщика со своими многострадальными друзьями и семьей.

    .

    Вы проверили свой карантин ?!

    Экономичный способ обнаружения целевых атак на вашем предприятии

    Хотя легко попасть в ловушку множества новых захватывающих стратегий защиты, недавно мы обнаружили интересный подход к обнаружению целевых атак и связанных с ними субъектов. Удивительно, но большая часть решения уже существует на большинстве предприятий: проверенная платформа безопасности конечных точек.В этом случае мы использовали нашу собственную McAfee Endpoint Security (ENS). Наряду с ENS мы использовали GetQuarantine, бесплатный инструмент от McAfee, и стороннюю службу анализа угроз.

    Проблема

    Начнем с рабочего определения целевой атаки:

    Целевая атака - это угроза, при которой злоумышленник активно преследует и компрометирует конкретную цель. Для достижения цели противник может адаптировать и улучшить свои атаки, чтобы противостоять защите жертвы и упорствовать в ней в течение длительного периода времени.

    Что здесь говорится? Во-первых, цель противника - взломать конкретную цель, а не только произвольную цель. Во-вторых, противник достаточно опытен, чтобы знать, как работает защита, и достаточно изобретателен, чтобы активно адаптироваться и улучшать свою атаку, чтобы преодолевать защиту. В-третьих, противник достаточно решителен, чтобы преследовать цель, возможно, в течение неопределенного периода времени.

    В совокупности вышеуказанные характеристики бросают вызов большинству оборонных технологий. Почему так? Потому что эти характеристики противоречат предположениям, на которых основаны эти технологии.

    По сути, большинство защитных технологий основано на сигнатурах, где сигнатуры создаются либо человеком-аналитиком, либо машиной, либо с использованием экземпляров известного вредоносного поведения. Стоимость создания подписей высока и окупается за счет использования той же подписи для защиты от той же атаки в другом месте.

    Двадцать лет назад, когда существовало всего несколько тысяч примеров вредоносного программного обеспечения, было относительно легко найти источник, преступников и причину создания и выпуска вредоносного файла или приложения.Исследователи безопасности вручную анализировали бы каждый образец, тщательно определяли сходство с ранее известными образцами с помощью чистой памяти и присваивали каждому образцу уникальное имя. Этот метод работал хорошо, потому что атаки тогда были оппортунистическими и были нацелены на максимально возможное распространение. Это означало, что антивирусные компании могли обнаруживать атаку в одном месте, извлекать соответствующие сигнатуры обнаружения и отправлять обновления сигнатур в свою базу установки.

    Теперь компании по анализу угроз безопасности получают сотни тысяч новых образцов вредоносных программ каждый день.Просто не хватает времени или ресурсов для анализа каждой вредоносной программы, чтобы ответить, кто, что, когда и почему? Лучшее, что может сделать любое антивирусное программное обеспечение, - это разделить файл всего на две группы: хорошие или плохие. Исследователи не могут вручную просматривать каждый образец и обрабатывать их с той же детализацией, что и раньше. Что еще хуже, сегодня атаки являются целевыми. Злоумышленники создают разовые варианты, нацеленные на конкретное предприятие. Это делает практически невозможным объединение атак на предприятиях, чтобы понять злоумышленника.

    И в этом кроется важная проблема. Так же, как количество и изощренность атак экспоненциально росли, цель отслеживания, кто стоит за атакой, и выявления связей между различными образцами вредоносного ПО и их авторами, а также намерения, стоящего за атакой, была утрачена.

    Почему это должно иметь значение? В отсутствие информации о том, кто пытается взломать организацию, защитники остаются в неведении. Они принимают решения по обеспечению безопасности на основе нарушений, которые происходят где-то еще, с использованием аналитики угроз, которая чаще всего не имеет отношения к делу, а когда актуальна, скорее всего, устарела.

    Решение

    Анализ целевых кампаний показывает, что программы, являющиеся частью атаки, обычно имеют несколько схожих характеристик. Во-первых, вредоносное ПО или механизм атаки ориентированы на одно предприятие или, самое большее, на один сектор, а во-вторых, вредоносная программа демонстрирует эволюционные характеристики, при которых субъект неоднократно раскрывает различные ее варианты. Предлагаемое нами решение фокусируется на этих характеристиках и пытается выявить целевые кампании, обнаруживая двоичную семантику между вредоносными программами, обнаруженными в клиентских средах, и известными целевыми кампаниями.

    Наша стратегия решения:

    Endpoint-security обнаруживает образец вредоносного ПО. Он сравнивается с образцом известной целевой атаки. Если сходство велико, это явный признак того, что образец, обнаруженный ENS, является частью этой целевой атаки, а субъект угрозы тот же.

    Стратегия реализована в трех стандартных блоках: сборщик образцов, хранилище образцов и анализ целевых атак с использованием стороннего приложения для анализа угроз.

    Сборщик проб (GetQuarantine)

    Сбор образцов выполняется с использованием проприетарного лицензированного бесплатного программного обеспечения McAfee GetQuarantine.GetQuarantine - это развертываемый инструмент McAfee e-Policy Orchestrator (ePO), который может работать на всех конечных точках, защищенных McAfee ENS. GetQuarantine запускается как запланированная задача развертывания продукта ePO. ENS очищает или удаляет элементы, которые определены как угрозы, и сохраняет копии в неисполняемом формате в папку карантина. Инструмент GetQuarantine при запуске по расписанию проверяет папку карантина и загружает элементы в серверную часть McAfee, если элементы еще не были загружены во время предыдущих запусков инструмента.

    Образец хранилища (McAfee Workflow & AWS)

    Серверная часть рабочего процесса McAfee получает образцы отправленных материалов из GetQuarantine и сохраняет их в корзине S3.Образцы разделяются по предприятиям и доступны для дальнейшего анализа. Сторонние аналитические приложения, такие как MAGIC, можно запускать на образцах для извлечения информации о целевых атаках. Услуги аналитики доступны клиентам McAfee, участвующим в сторонней аналитической программе. Для клиентов, которые не участвуют в сторонней программе аналитики, обработка выборки заканчивается на внутреннем уровне McAfee, и в конечном итоге образец удаляется без дальнейшего анализа.

    Анализ целевых атак

    Для нашей пилотной реализации мы использовали сервисы Cythereal MAGIC.Серверная часть McAfee отправляет образцы в MAGIC для анализа бинарного сходства. Клиенты могут проверять аналитические отчеты на веб-сайте Cythereal. Cythereal является партнером McAfee Security Innovation Alliance (SIA).

    Cythereal MAGIC ™ (геномная корреляция вредоносных программ) - это веб-сервис, рекламируемый как «BinDiff on Steroids». Система выполняет анализ семантического подобия программ с использованием передовых методов анализа программ на уровне инструкций ассемблера. Семантика программы дает более значимое понимание, чем структурные или поведенческие характеристики.MAGIC может найти сходство между образцами, отправленными с помощью GetQuarantine, а также найти варианты этих образцов в базе данных MAGIC. Он может предоставлять оповещения об обнаружении кампаний и может генерировать правила YARA, которые можно использовать для поиска в других сервисах, например VirusTotal.

    Сначала мы попробовали внутренний анализ, управляемый человеком, с использованием инструментов с открытым исходным кодом, таких как SSDEEP, SDHASH, TLSH и т. Д., Чтобы подтвердить концепцию выявления целевых атак с использованием бинарного сходства образцов, найденных в карантине.Хотя нам удалось доказать эту концепцию с помощью этих инструментов с открытым исходным кодом, они оказались не очень эффективными, особенно с полиморфными вариантами, поэтому мы исследовали сторонние варианты и идентифицировали Cythereal MAGIC ™.

    Архитектура

    На рисунке 1 показана общая архитектура нашей системы:

    [Рисунок 1: McAfee ENS обнаруживает подозрительный образец, изучая его поведение или другими способами, а затем перемещает файл образца в папку карантина.Запланированное выполнение GetQuarantine Tool, настроенного в ePO как запланированная задача, отправляет образец в серверную часть McAfee. Стороннее аналитическое приложение периодически получает образцы из серверной части McAfee для дальнейшего анализа.]

    Пример использования

    В качестве примера мы использовали образцы из кампании McAfee Discovery, Oceansalt. Мы проверили способность решения группировать образцы по семантическому сходству, а также проверили способность решения определять новые варианты образцов Oceansalt.

    Иллюстрация способности решения группировать вредоносные программы из карантина

    McAfee Endpoint Security (ENS) обнаружил два образца Oceansalt (перечисленные в таблице 1). GetQuarantine отправил эти образцы в серверную часть McAfee. Анализ целевых атак этих файлов показал семантическое сходство 95,1%. Сравнение их графов потока управления на рис. 2 подтверждает высокий показатель семантического сходства.

    [Таблица 1: образцы морской соли, полученные от центра безопасности McAfee ™ в июне-июле 2018 года.]

    [Рисунок 2: График контрольной последовательности образцов океанской соли из таблицы 1]

    Иллюстрация способности решения связывать новые варианты из дикой природы с известной целевой атакой

    Наконец, мы подошли к варианту использования, который послужил мотивацией для этого исследования. Вредоносное ПО, принадлежащее целевой атаке, идентифицируется по его хэш-файлам. Однако злоумышленники используют полиморфизм и другие обфускации для создания новых вариантов. Хотя McAfee ENS может блокировать такие варианты, он может не связывать их с исходной атакой.Заполнить этот пробел может аналитика целевых атак.

    Чтобы проверить способность решения обнаруживать такие целевые атаки, мы загрузили образец Oceansalt (MD5: 531DEE019792A089A4589C2CCE3DAC95 [VT]) в MAGIC и идентифицировали его как APT. Затем мы загрузили большое количество (тысячи) образцов вредоносного ПО через GetQuarantine. Как мы и предполагали, аналитика целевых атак отправила предупреждение об обнаружении разновидностей Oceansalt (рисунок 3).

    [Рисунок 3: Оповещение об обнаружении варианта Oceansalt в карантине]

    Оповещение

    MAGIC было вызвано тем, что он обнаружил два варианта Oceansalt из дикой природы, о которых ранее не сообщалось ни McAfee SOC, ни какой-либо другой глобальной разведкой угроз.

    [Таблица 2: Два новых варианта образцов океанской соли, найденные с использованием семантического сходства]

    Попробовать карантин

    Мы протестировали решение на основе GetQuarantine в нашей лаборатории и обнаружили обнадеживающие результаты. Если вы хотите опробовать это решение, выполните следующие действия вместе с McAfee Endpoint Security (ENS):

    • Загрузите бета-версию GetQuarantine, проприетарного бесплатного программного обеспечения с лицензией.
    • Разверните его с помощью экосистемы ePO.
    • При успешной отправке образца в серверную часть McAfee получите электронное письмо с подтверждением.

    Чтобы получить результаты анализа из стороннего аналитического приложения, выполните следующие действия:

    • Посетите Cythereal MAGIC ™.
    • Панель управления MAGIC содержит графики с подробностями о различных текущих кампаниях.
    • После выбора кампании на графике отображается таблица со всеми связанными вредоносными программами, из которой покупатель может загрузить образцы и правила YARA.
    • Каждый раз, когда MAGIC обнаруживает целевую атаку, он отправляет электронное письмо с предупреждением на зарегистрированный адрес электронной почты клиента вместе с дополнительными сведениями об угрозах, такими как информация о группе угроз, сторонние исследования группы и связанные с ней IoC. Клиенты также могут увидеть список предупреждений на сайте MAGIC.

    Сводка

    Как видно из этого упражнения, традиционному антивирусному ПО еще есть что предложить, и он может играть важную роль в общей стратегии безопасности против целевых атак.Мы можем усилить сигналы, исходящие от обнаружения антивирусных программ, с помощью таких инструментов, как GetQuarantine, и путем анализа карантинных артефактов для обнаружения целевых атак. Мы можем применять поэтапный подход к решению задач целевых атак.

    .

    Как использовать Stinger | Бесплатные инструменты McAfee

    McAfee Stinger - это отдельная утилита, используемая для обнаружения и удаления определенных вирусов. Это не замена полной антивирусной защиты, а специализированный инструмент, помогающий администраторам и пользователям при работе с зараженной системой. Stinger использует технологию сканирования нового поколения, включая сканирование руткитов и оптимизацию производительности сканирования. Он обнаруживает и удаляет угрозы, указанные в параметре «Список угроз» в параметрах меню «Дополнительно» в приложении Stinger.

    McAfee Stinger теперь обнаруживает и удаляет GameOver Zeus и CryptoLocker. Учить больше.

    Как использовать Stinger?

    1. Загрузите последнюю версию Stinger.
    2. При появлении запроса выберите сохранение файла в удобном месте на жестком диске, например в папке на рабочем столе.
    3. Когда загрузка будет завершена, перейдите к папке, содержащей загруженный файл Stinger, и запустите его.

    4. Отобразится интерфейс Stinger.

    5. По умолчанию Stinger сканирует запущенные процессы, загруженные модули, реестр, WMI и местоположения каталогов, которые, как известно, используются вредоносными программами на компьютере, чтобы сократить время сканирования. При необходимости щелкните ссылку «Настроить мое сканирование», чтобы добавить в сканирование дополнительные диски / каталоги.
    6. Stinger имеет возможность сканировать цели руткитов, что по умолчанию отключено.
    7. Нажмите кнопку Сканировать , чтобы начать сканирование указанных дисков / каталогов.
    8. По умолчанию Stinger восстанавливает все найденные зараженные файлы.
    9. Stinger использует репутацию файлов GTI и по умолчанию запускает сетевую эвристику на среднем уровне. Если вы выбрали «Высокий» или «Очень высокий», McAfee Labs рекомендует установить для действия «При обнаружении угрозы» значение «Отчет» только для первого сканирования.

      Чтобы узнать больше о репутации файлов GTI, см. Следующие статьи базы знаний

      КБ 53735 - Часто задаваемые вопросы по репутации файлов глобальной аналитики угроз

      КБ 60224 - Как проверить правильность установки репутации файлов GTI

      КБ 65525 - Идентификация общего обнаруженное вредоносное ПО (обнаружение Global Threat Intelligence)

    Часто задаваемые вопросы

    Q: Я знаю, что у меня есть вирус, но Stinger его не обнаружил.Почему это?
    A: Stinger не заменяет полноценный антивирусный сканер. Он предназначен только для обнаружения и удаления определенных угроз.

    Q: Стингер обнаружил вирус, который не смог исправить. Почему это?
    A: Это, скорее всего, связано с тем, что функция восстановления системы Windows блокирует зараженный файл. Пользователи Windows / XP / Vista / 7 должны отключить восстановление системы перед сканированием.

    Q: Где сохраняется журнал сканирования и как его просмотреть?
    A: По умолчанию файл журнала сохраняется откуда Stinger.exe запускается. В Stinger перейдите на вкладку журнала, и журналы отобразятся в виде списка с отметкой времени, щелчок по имени файла журнала открывает файл в формате HTML.

    Q: Где хранятся файлы карантина?
    A: Файлы карантина хранятся в папке C: \ Quarantine \ Stinger.

    Q: Для чего используется параметр «Список угроз» в расширенном меню?
    A: Список угроз содержит список вредоносных программ, которые Stinger настроен на обнаружение.Этот список не содержит результатов сканирования.

    Q: Доступны ли какие-либо параметры командной строки при запуске Stinger?
    A: Да, параметры командной строки отображаются при переходе в меню справки в Stinger.

    Q: Я запустил Stinger и теперь у меня есть файл Stinger.opt, что это?
    A: При запуске Stinger создает файл Stinger.opt, в котором сохраняется текущая конфигурация Stinger. Когда вы в следующий раз запустите Stinger, ваша предыдущая конфигурация будет использоваться до тех пор, пока Stinger.opt файл находится в том же каталоге, что и Stinger.

    Q: Stinger обновил компоненты VirusScan. Это ожидаемое поведение?
    A: Когда в настройках Stinger выбран параметр сканирования руткитов, файлы VSCore (mfehidk.sys & mferkdet.sys) на конечной точке McAfee будут обновлены до 15.x. Эти файлы устанавливаются только в том случае, если они новее, чем те, что есть в системе, и необходимы для поиска руткитов сегодняшнего поколения. Если в Stinger отключена опция сканирования руткитов - обновление VSCore не произойдет.

    Q: Выполняет ли Stinger сканирование руткитов при развертывании через ePO?
    A: Мы отключили сканирование руткитов в пакете Stinger-ePO, чтобы ограничить автоматическое обновление компонентов VSCore, когда администратор развертывает Stinger на тысячах компьютеров. Чтобы включить сканирование руткитов в режиме ePO, используйте следующие параметры при проверке пакета Stinger в ePO:

    --reportpath =% temp% --rootkit

    Для получения подробных инструкций, пожалуйста, обратитесь к KB 77981

    Q: Какие версии Windows поддерживает Stinger?
    A: Windows XP SP2, 2003 SP2, Vista SP1, 2008, 7, 8, 10, 2012, 2016, RS1, RS2, RS3, RS4, RS5, 19h2, 19h3.Кроме того, Stinger требует, чтобы на компьютере был установлен Internet Explorer 8 или выше.

    Q: Какие требования предъявляются к Stinger для работы в среде Win PE?
    A: При создании пользовательского образа Windows PE добавьте поддержку компонентов HTML-приложения, используя инструкции, приведенные в этом пошаговом руководстве.

    Q: Как я могу получить поддержку по Stinger?
    A: Stinger не поддерживается. McAfee Labs не дает никаких гарантий относительно этого продукта.

    Q: Как мне добавить в Stinger собственные детекции?
    A: Stinger имеет параметр, при котором пользователь может ввести до 1000 хешей MD5 в качестве настраиваемого черного списка. Во время сканирования системы, если какие-либо файлы соответствуют пользовательским хешам из черного списка - файлы будут обнаружены и удалены. Эта функция предназначена для помощи опытным пользователям, которые изолировали образцы вредоносных программ, для которых еще не доступно обнаружение в файлах DAT или репутации файлов GTI. Чтобы воспользоваться этой функцией:

    1. В интерфейсе Stinger перейдите на вкладку Advanced -> Blacklist.
    2. Введите хэши MD5 для обнаружения либо с помощью кнопки «Ввести хэш», либо с помощью кнопки «Загрузить список хешей», чтобы указать на текстовый файл, содержащий хеши MD5, который будет включен в сканирование. SHA1, SHA 256 или другие типы хэшей не поддерживаются.
    3. Во время сканирования файлы, соответствующие хэшу, будут иметь имя обнаружения Stinger! <Первые 12 символов MD5 обнаруженного файла>. К обнаруженному файлу применяется полное восстановление данных.
    4. Файлы с цифровой подписью с использованием действующего сертификата или хэши, которые уже помечены как чистые в GTI File Reputation, не будут обнаружены как часть настраиваемого черного списка.Это функция безопасности, предотвращающая случайное удаление файлов пользователями.

    Q: Как можно запустить Stinger без установленного компонента Real Protect?
    A: Пакет Stinger-ePO не выполняет Real Protect. Чтобы запустить Stinger без установки Real Protect, запустите Stinger.exe --ePO

    .

    % PDF-1.5 % 187 0 объект > endobj xref 187 35 0000000016 00000 н. 0000001864 00000 н. 0000002009 00000 н. 0000002045 00000 н. 0000002421 00000 н. 0000002535 00000 н. 0000002712 00000 н. 0000002749 00000 н. 0000003285 00000 н. 0000003839 00000 н. 0000004112 00000 н. 0000014603 00000 п. 0000017252 00000 п. 0000028212 00000 п. 0000028466 00000 п. 0000035247 00000 п. 0000035507 00000 п. 0000044822 00000 н. 0000045088 00000 п. 0000045587 00000 п. 0000046141 00000 п. 0000046257 00000 п. 0000046332 00000 п. 0000046757 00000 п. 0000047395 00000 п. 0000047818 00000 п. 0000048228 00000 н. 0000048567 00000 п. 0000048875 00000 п. 0000049252 00000 п. 0000049649 00000 п. 0000057601 00000 п. 0000057640 00000 п. 0000063089 00000 п. 0000000996 00000 н. трейлер ] / Назад 299323 >> startxref 0 %% EOF 221 0 объект > поток hb``b`) e`g`` @

    .

    Смотрите также