CC BY
32УДК 004.056.57
ВЫЯВЛЕНИЕ ПОВЕДЕНЧЕСКИХ ПРИЗНАКОВ РАБОТЫ ВИРУСА-ШИФРОВАЛЬЩИКА НА ОСНОВЕ АНАЛИЗА ИЗМЕНЕНИЙ ЗНАЧЕНИЙ ПАРАМЕТРОВ КОМПЬЮТЕРНОЙ СИСТЕМЫ
Статья поступила в редакцию 04.04.2018, в окончательном варианте — 06.06.2018.
Назаров Антон Вадимович, Астраханский государственный университет, 414056, Российская Федерация, г. Астрахань, ул. Татищева, 20а
студент, e-mail: anton_25.10@mail.ru
Марьенков Александр Николаевич, Астраханский государственный университет, 414056, Российская Федерация, г. Астрахань, ул. Татищева, 20а
кандидат технических наук, доцент, e-mail: marenkovan17@gmail.com
Калиев Артур Борисович, Астраханский государственный университет, 414056, Российская Федерация, г. Астрахань, ул. Татищева, 20а
студент, e-mail: arthur19970824@gmail.com
Обоснованы актуальность и практическая значимость задачи выявления признаков работы вирусов-шифровальщиков в компьютерных системах. Описаны основные этапы заражения компьютерных систем со стороны вирусов-шифровальщиков. Показана низкая эффективность существующих методов поиска вредоносного программного обеспечения в отношении выявления новых версий вирусов-шифровальщиков, которые еще не исследованы, и информация о которых не внесена в базы антивирусных программных средств. Для выявления таких вирусов, которые еще не обнаруживаются существующими антивирусными программными средствами, предложен новый подход. Он основан на эвристическом анализе изменений параметров компьютерной системы в момент осуществления на нее атаки со стороны вирусов-шифровальщиков. Подробно описаны результаты практических экспериментов, заключавшихся в изучении работы вирусов и их влиянии на различные параметры компьютерной системы. Целью экспериментов являлось выявление тех параметров, величины которых значимо изменяются под влиянием работы вирусов-шифровальщиков по сравнению с их значениями при нормальном функционировании компьютерной системы. В частности, были исследованы параметры работы физического и логического дисков, памяти, процессора, общие системные параметры (всего 197 параметров). Статистическая значимость различий для исследованных параметров была оценена с помощью критериев Колмогорова - Смирнова и t-критерия Стьюдента. Обосновано, что те параметры компьютерной системы, значения которых при работе вирусов-шиф-ровальщиков изменяются статистически значимо (по указанным выше критериям), могут быть использованы при мониторинге функционирования компьютерной системы; для выявления признаков начавшегося шифрования жесткого диска такими вирусами, которые не обнаруживаются антивирусными программными средствами; прерывания на ранних этапах процесса заражения компьютерной системы со стороны вирусов-шиф-ровальщиков.
Ключевые слова: компьютерная система, информационная безопасность вредоносные программы, выявление вирусов, вирусы-шифровальщики, поведенческие признаки, эвристический анализ, вычислительные эксперименты, статистическая значимость
Графическая аннотация (Graphical annotation)
DETECTION OF CRYPTOGRAPHIC VIRUSES BEHAVIOR SIGNS IN THE WORK
OF THE COMPUTER SYSTEM
The article was received by editorial board on 04.04.2018, in the final version — 06.06.2018.
Nazarov Anton V., Astrakhan State University, 20а Tatishchev St., Astrakhan, 414056, Russian Federation
student, e-mail: anton_25.10@mail.ru
Marenkov Aleksandr N., Astrakhan State University, 20а Tatishchev St., Astrakhan, 414056, Russian Federation
Cand. Sci. (Engineering), e-mail:marenkovan17@gmail.com
Kaliev Artur B., Astrakhan State University, 20а Tatishchev St., Astrakhan, 414056, Russian Federation
student, e-mail:arthur19970824@gmail.com
The article gives grounds for the urgency and practical significance of the problem of identifying signs of the work of viruses-encoders in computer systems. The authors describe main stages of viruses-cryptographers' infection of a computer system. Existing methods of malicious software search were proven to have low efficiency in terms of detection of new versions of viruses-cryptographers, if they have not yet been studied and information about them is not included in the database of anti-virus software. The authors propose a new approach to detect the cryptographic viruses that cannot be detected by existing anti-viruses yet. Heuristic analysis of changes in the computer system parameters when the attack on it by a virusencoder takes place serves as a basis for the approach. The article gives detailed results of a practical experiment, which consisted in studying the work of virus-encoders and their influence on various parameters of a computer system. The aim of the experiment was to identify the parameters that changes their values significantly under the influence of viruses-encoders compared to their values in the normal operation of the system. In particular, parameters of the physical and logical disks, memory, processor, general system parameters (197 parameters altogether) were studied. The significance of the differences for the studied parameters was estimated using the Kolmogorov-Smirnov test and Student's t-test. The article proves that the parameters of the computer system that have a statistically significant value change (according to the above criteria) in the course of the computer system operation, can be used to monitor the functioning of the computer system; to identify the signs of encryption of the hard disk by the viruses-cryptographers that are not detected by antivirus; to abort the process of infection of the computer system at the early stages.
Keywords: computer system, information security, malicious software, malware detection. cryptographic viruses, behavioral signs, heuristic analysis, simulation experiments, statistical significance
Распространение вредоносного программного обеспечения (ПО), в частности вирусов-шифровальщиков (ВШ), является серьезной угрозой для функционирования компьютерных систем (КС). Вирусы-шифровальщики нанесли вред сотням компаний и десяткам тысяч физических лиц [16]. Несмотря на то, что ВШ известны уже давно [19], их новые модификации зачастую не удаётся обнаружить даже современным антивирусным программным средствам (АВПС), т.к. периодически появляются новые версии ВШ. Чтобы новая версия ВШ (точнее ее сигнатуры) была добавлена в базы «антивирусных средств», ВШ должен быть изучен разработчиками АВПС. Это иногда может занимать довольно длительное время. Кроме того, следует учесть и возможность существования полиморфных вирусов, сигнатуры которых не внесены в базы данных АВПС. Таким образом, недостаточная эффективность и невозможность своевременного реагирования существующих АВПС на угрозы со стороны появляющихся разновидностей ВШ делает актуальной задачу поиска новых подходов к их выявлению.
Общая характеристика предметной области. Вирус-шифровальщик - это вредоносное ПО, которое зашифровывает файлы на компьютере жертвы и требует с нее денежный выкуп за их расшифровку. Можно выделить следующие этапы заражения компьютерной системы ВШ [7, 15]:
• проникновение ВШ на компьютер потенциальной жертвы;
• создание ключа автозагрузки в реестре, удаление теневых копий файлов и точек восстановления системы;
• поиск и шифрование файлов в КС;
• оповещение жертвы о том, что файлы зашифрованы и выдвижение требования о проведении оплаты за их расшифровку.
Современные ВШ имеют эффективные механизмы маскировки в системе [16]. Эксплуатация ВШ уязвимостей нулевого дня (ранее неизвестные уязвимости, против которых разработчиками АВПС ещё не разработаны защитные механизмы) делает задачу обнаружения таких ВШ существующими методами поиска вредоносного ПО практически не реализуемой. Об этом свидетельствует глобальное распространение таких вредоносных ПО, как WannaCry, Petya, BadRabit и т.д. [13, 16].
В связи с этим все большее значение приобретают методы эвристического анализа, позволяющие определять новые, ранее неизвестные вредоносные программы [6, 11, 14, 18].
В последние годы активно создаются новые методики по выявлению вредоносной активности. Помимо сигнатурного анализа современные методики используют широкий спектр методов анализа КС и ПО в частности. Например, одним из способов определения ВШ является создание системы правил или же «белого списка». В основе такого способа лежит предположение о том, что у исследуемых параметров рабочей станции (ПЭВМ) существуют диапазоны нормальных значений. Соответственно работа по выявлению ВШ может сводиться к созданию списка параметров, по изменениям значений которых можно будет судить о наличии вредоносной активности [5]. Помимо этого, актуальными методиками по данной теме являются системы защиты от ВШ путем учета специфики их работы. В основе таких методик лежит сравнение поведения ВШ и известных видов программ [13], которые являются типичными для ПЭВМ. В современных исследованиях отдельное внимание уделяется также способам маскирования вредоносными программами своей деятельности. Так, например, исследователи в области защиты информации предлагают способ, с помощью которого можно определить наличие шифрования исполняемого файла на основе энтропии [1]. Популярные антивирусные компании представляют в своих разработках такую функцию, как мониторинг подозрительной активности [2]. Монитор активности сканирует соответствующие данные системных событий, такие как создание и модификация файлов, работа системных служб, изменения системного реестра и т.д.
Однако, несмотря на обилие работ, посвящённых данной тематике, проблема обнаружения ВШ в КС остаётся до конца не решенной. Поэтому соответствующие вопросы сохраняют актуальность.
Одним из способов выявления ВШ в момент проведения им атаки на КС может быть анализ параметров работы данной системы. Суть метода заключается в предположении, что в процессе атаки ВШ активно используют ресурсы КС жертвы и могут повлиять на некоторые параметры ее работы. Например, в момент атаки ВШ часто обращается к жесткому диску и к центральному процессору компьютера. Поэтому подобная активность может служить признаком атаки ВШ.
Однако большая нагрузка на центральный процессор и жесткий диск КС еще не является достаточным свидетельством наличия вредоносной активности. Некоторое легитимное ПО также может иметь некоторые признаки, характерные для ВШ, например, работа программ-архиваторов. Таким образом, важно уметь различать работу вредоносного ПО от того ПО, которое выполняет на ПЭВМ полезную работу.
Характеристика проведенных экспериментов. Для этого в данной работе были проведены практические эксперименты, заключавшиеся в исследовании наиболее распространённых ВШ (WannaCry, no more ransom и др.) и определении их влияния на различные параметры КС. Цель опытов заключалась в выявлении тех параметров КС, значения которых значительно изменяются под влиянием работы ВШ по отношению к их значениям при нормальном функционировании системы.
Суть эксперимента. На исследуемой КС устанавливалось специальное ПО, позволяющее отслеживать изменение параметров работы данной системы. Далее производились измерения параметров системы, различных в условиях ее загрузки:
• низкая нагрузка (КС эксплуатировалась в состоянии простоя);
• средняя нагрузка (имитировалась нормальная работа пользователя: запуск офисных программ, работы в Интернете и т.п.);
• высокая нагрузка (выполнение архивации больших объемов данных);
• работа ВШ (непосредственная атака вирусом исследуемой КС).
В экспериментах была использована виртуальная машина VMware Workstation 14 Player, так как она является одной из самых популярных и практичных программ в сфере виртуальных машин. В качестве операционной системы была выбрана Windows 7, признанная одной из наиболее используемых операционных систем в мире и в России. Характеристики рабочей станции, на которой проводился эксперимент, были такие: оперативная память - 2 Гб; объём жесткого диска - 60 Гб; процессор - Intel Core i5-4200U CPU 1.6 GHz 2.30 GHz; разрядность операционной системы - 32; объём буферной памяти: 8192 кб.
В качестве ПО для измерения и сохранения значений параметров работы КС был выбран «Системный монитор», который является стандартным средством анализа производительности системы Windows. Выбор в пользу этой программы был сделан, исходя из соответствия следующим критериям: возможность исследования большого числа параметров (табл. 1), наличие возможности настройки временного интервала фиксации значений параметров, возможности представления отчётов в числовом и графическом видах.
Таблица 1 - Состав параметров компьютерной системы, которые исследовались
Группа параметров Кол-во параметров
Физический диск; 21
Общие системные параметры; 23
Память; 27
Сборщики данных; 25
Процессор. 25
Объект «Задания» 25
Логический диск 21
Процесс 25
Сумма = 197
При проведении экспериментов были исследованы все параметры КС, которые могут отслеживаться ПО «Системный монитор». Для снятия показателей был выбран минимальный временной интервал, равный 1 сек. Длительность каждого эксперимента составляла 30 мин. Этого времени было достаточно, чтобы исследовать работу КС в условиях разной загрузки. Также опытным путем было выяснено, что среднее время заражения используемой в эксперименте КС вирусом-шифровальщиком не превышает 7-8 мин.
Результаты экспериментов и их обсуждение. В ходе экспериментов было проведено всего 50 измерений. В режиме низкой, средней и высокой нагрузки КС запускалась по 10 раз, а в режиме активной работы ВШ - 20 раз. Для проведения экспериментов были выбраны следующие вирусы-шифровальщики: WannaCry; no more ransom; cerber; badrabbit.
Данные ВШ были выбраны исходя из их распространённости, а также возможности получить их образцы для исследования в экспериментальных условиях. В режиме активного шифрования было проведено по 5 измерений для каждого из указанных ВШ (т.е. всего 20 измерений).
После каждого эксперимента были составлены отчёты, наглядно отображающие значения параметров КС во времени. Например, на рисунке 1 в условиях средней загрузки системы представлены графики изменения загруженности процессора, активности жёсткого диска, операций чтения файлов в секунду, а также активности жесткого диска при чтении файлов. На рисунке 2 отображены графики тех же параметров в условиях активной работы ВШ.
23:51:29 Активность жёсткого диска при чтении файлов %
Рисунок 1 - Параметры рабочей станции (ПЭВМ) во время средней нагрузки
Визуальный анализ данных, представленных на графиках (рис. 1 и 2), позволяет судить об очевидных различиях в значениях параметров КС при работе ВШ. Для проверки правильности такого заключения можно рассчитать средние значения параметров, а также математическое ожидание. Значимые различия этих данных (в несколько раз) между значениями параметров во время заражения КС ВШ и во время нормальной работы пользователя подтверждает правильность приведенного выше заключения. Например, различия значений параметра «Расщепление ввода-вывода/сек» (рис. 3) наглядно видны на графиках. Этот параметр практически не изменяется при низкой, средней и высокой нагрузках в КС, однако сильно возрастает во время заражения КС ВШ.
Чтобы формально подтвердить статистическую значимость различий в значениях исследуемых параметров были использованы статистические критерии. Полученные в ходе проведённых измерений выборки значения параметров (при отсутствии и в процессе заражения КС) имеют независимый характер. Основанием является то, что измеряемые параметры в каждом режиме (эксперименте) не влияют друг на друга в ходе проводимых испытаний. Объем выборки в каждом испытании (эксперименте) составляет 1800 значений (фиксация значений каждую секунду на протяжении 30 мин).
Операция чтения файлов в секунду Рисунок 2 - Параметры рабочей станции (ПЭВМ) во время активного заражения КС ВШ
2100:04 23:00:55 23:01:45 23:02:35 23:03:2 5 23:04:15 23:05:05 23:05:55 23:0645 23:07:35 23:08:25
Шифровальщик No more ransom
Рисунок 3 - Показатели параметра «Расщепления ввода-вывода/сек»
Исходя из предположения о нормальности распределения выборки, для подтверждения или опровержения значимости различий в значениях параметров было решено использовать t-критерий Сть-юдента для независимых выборок. Для определения значимости различий необходимо рассмотреть нулевую и альтернативную гипотезы. Нулевой гипотезой (H0), т.е. подлежащей проверке, является предположение о статистической значимости различий между двумя исследуемыми выборками. Альтернативной гипотезой (Hi) является предположение об отсутствии статистической значимости различий между двумя выборками. Данный критерий позволяет проверить нулевую гипотезу.
Принцип выявления значимости различий показан с использованием t-критерия Стьюдента на примере параметров «Текущая длинна очереди физического диска» (рис. 4) и «Количество прерываний/с» (рис. 5). Расчеты значений критериев представлены в таблицах 2 и 3.
П А
А АЛЛАЛ М . А
13:36:05 13:39 00 1 3:42« 13:45:00 13.49«! 13:51:00 13.ЯЮ0 13:57:00 14:0000 14:03.00 14А6"Св
Низкая нагрузка
60
.А
»аде 19:49:20 1932:20 19:55:» 19:58:20 2031:20 2СНИЛ0 20:07:20 20:10:20 20:13:20 гоаелг
Средняя нагрузка
20
1605:21 16:08:30 16:11:30 16:14:30 16:17:30 16:20:30 16:23:30 16:26:30 16:29:30 16:32:30 16:35:27
Высокая нагрузка (Архивация)
Запуск шифровальщика
-Д.-)!
23:00:04 23:00:55 23:01:45 23:02:35 23:03:25 23«: 15 23:05:05 23:05:55 23:06:45 23:07:35 23:06:2 5 23:09:39
Шифровальщик \Л/аппаСгу
Рисунок 4 - Показатели параметра «Текущая длина очереди диска»
Рисунок 5 - Показатели параметра «Количество прерываний/с»
Таблица 2 - Расчёт ^критерия Стьюдента для параметра «Текущая длина очереди диска»
Режим функционирования Значения «^критерия Стьюдента»
Низкий - Шифрование 31,9
Средний - Шифрование 35,8
Высокий - Шифрование 16,8
Таблица 3 - Расчёт ^критерия Стьюдента для параметра «Количество прерываний/с»
Режим функционирования Значения «Л-критерия Стьюдента»
Низкий - Шифрование 29,8
Средний - Шифрование 32,2
Высокий - Шифрование 16,6
Результаты, представленные в таблице 2, наглядно демонстрируют статистические значимые различия между значениями параметров в разных режимах функционирования рабочей станции (ПЭВМ). Исходя из объёма выборки, который составляет 1800 значений, и выбранного уровня значимости 0.05, с помощью таблицы критических значений был получен результат для критического значения Ьтеста Стьюден-та, равный 1.96, а при уровне значимости 0,01 - критическое значение равно 2.58.
С помощью данного критерия было установлено, что значения параметра «Текущая длина очереди диска» в режиме работы ВШ значительно (по уровню значимости 0.01) различаются по сравнению со значениями в других режимах функционирования компьютерной системы.
Однако, поскольку имеющийся объём экспериментальных данных недостаточен для статистически обоснованного вывода о нормальности распределения, было решено провести дополнительную проверку с использованием двухвыборочного критерия Колмогорова - Смирнова. Принцип выявления значимости различий с помощью критерия Колмогорова - Смирнова показан на примере параметра «Средний размер одного обмена с диском (байт/с)» (рис. 6).
Рисунок 6 -Показатели параметра «Средний размер одного обмена с диском (байт/с)»
Значения данного критерия были сравнены при функционировании рабочей станции (ПЭВМ) в условиях высокой вычислительной нагрузки (значение равно «10») и при активной работе ВШ (значение равно 108). Исходя из таблицы критических значений, было определено, что при уровне значимости 0.01 критическое значение для критерия равно 1.63. Таким образом, подтверждается, что значения данных выборок значительно различаются между собой.
Аналогичным образом с помощью статистических критериев были проанализированы другие параметры работы КС из числа исследованных. В результате были выявлены те параметры, в которых показатели измерений по критерию значимости, равному 0.01, при различных режимах функционирования КС отличаются от тех показателей, которые имеют место во время работы ВШ (полный список таких выявленных параметров представлен в таблицах 4, 5).
Таблица 4 - Список параметров, значения которых статистически значимо изменяются по ^критерию Стьюдента при уровне значимости 0.01
Названия параметра Результаты значений ^критерия Стьюдента при сравнении значений параметров в разных режимах функционирования
Низкая загрузка/ шифрование Средняя загрузка/ шифрование Высокая загрузка/ шифрования
Количество обращений к физическому диску (с) 51,1 7,29 25,94
Расщепление ввода-вывода (с) 26,5 15,7 10,2
Обращения чтения с диска (с) 15,2 3,2 7,96
Обращений записи на диск (с) 25 9,49 21,2
Ожидающих документов 22,7 22,7 23
Неудачных фильтраций 12,4 8,1 10,3
Количество изменений документов 33,7 27,2 17,8
Количество удалений документов 45,2 45,3 44
Количество обращений к файлам 33,4 37,2 41,7
Средний размер одного обмена с диском 15 12,4 14,7
Таблица 5 - Список параметров, значения которых отличаются при оценках по критерию Колмогорова -Смирнова_
Результаты значений критерия Колмогорова - Смирнова
Названия параметра при сравнении значений параметров в разных режимах функционирования КС
Низкая загрузка/ шифрование Средняя загрузка/ шифрование Высокая загрузка/ шифрования
Количество обращений к физическому диску (с) 4,01 2,34 1,79
Расщепление ввода-вывода (с) 2,01 2,32 2,55
Обращения чтения с диска (с) 8 2,9 2,65
Обращений записи на диск (с) 11,6 9,49 10,04
Ожидающих документов 18,85 17,7 14,97
Неудачных фильтраций 18,85 16,9 17,4
Количество изменений документов 18,85 18,85 18,85
Количество удалений документов 18,85 18,85 18,85
Количество обращений к файлам 18,54 15,3 14,7
Средний размер одного обмена с диском (байт/с) 13,2 6,45 10,10
Выводы. Таким образом, в статье рассмотрена проблема выявления признаков деятельности ВШ на КС. Представлен подход к выявлению параметров КС, значения которых значительно изменяются под влиянием работы ВШ по сравнению с их значениями при нормальном функционировании КС.
В результате проведенных вычислительных экспериментов было изучено, как изменяются показатели параметров КС (физического и логического дисков, памяти, процессора, общие системные параметры и др.) при различных нагрузках во время работы пользователя, а также под воздействием ВШ в момент заражения.
Статистическими методами была проверена значимость различий между значениями ряда исследованных параметров в различных режимах нагрузки КС и при работе ВШ. По данным проверки статистическая значимость различий между значениями параметров в различных режимах нагрузки и при работе ВШ была выявлена в 10-ти параметрах из рассмотренных 197. Параметры КС, влияние на которых ВШ было подтверждено статистическими критериями, могут быть использованы при мониторинге функционирования системы и поиска признаков начавшегося шифрования.
В целом результаты работы могут быть использованы для создания новых подходов к выявлению еще не изученных версий ВШ в КС на ранних этапах ее заражения и предотвращения зашифровы-вания файлов.
Список литературы
1. Алексеев И. В. Определение наличия зашифрования исполняемого файла на основе анализа энтропии / И. В. Алексеев, В. В. Платонов // Информатика и кибернетика. - Санкт-Петербург : Санкт-Петербургский политехнический университет Петра Великого, 2016. - С. 195-198.
2. Безмалый В. Мониторинг подозрительной активности / В. Безмалый // Windows ITPRO. - 2017. - No. 6. - P. 53.
3. Бондаренко М. Общий ущерб от масштабной атаки Wanna Cry / М. Бондаренко. - Режим доступа: https://www.rbc.ru/society/25/05/2017/592644ee9a79477171fea588, свободный. - Заглавие с экрана. - Яз. рус. (дата обращения: 12.03.2018).
4. Бослаф С. Статистика для : пер. с англ. / С. Бослаф ; пер. П. А. Волкова, И. М. Флямер, М. В. Либерман, А. А. Галицына. - Москва : ДМК Пресс, 2015. - 586 с.
5. Гольчевский Ю. В., Филимонова Н. А Подход к обнаружению вредоносной активности в интернете вещей / Ю. В. Гольчевский , Н. А. Филимонова // Информация и Безопасность. - 2017. - № 3. - C. 464-467.
6. Дёмина Р. Ю. Методика формирования обучающего множества при использовании статических антивирусных методов эвристического анализа / Р. Ю. Дёмина, И. М. Ажмухамедов // Инженерный вестник Дона. - 2015. -№ 3. - С. 74.
7. Дробатун Е. Б. Исследование и анализ кода наиболее популярных программ типа «блокиратор - шифровальщик файлов» / Е. Б. Дробатун // Программные продукты, системы и алгоритмы. - 2016. - № 1. - Режим доступа: http://swsys-web.ru/code-of-popular-malware-analysis.html, свободный. - Заглавие с экрана. - Яз. рус. (дата обращения: 29.03.2018).
8. Иванов A. Kaspersky Security Bulletin 2016 / A. Иванов, Д. Эмм, Ф. Синицын, С. Понтироли. - Режим доступа: https://securelist.ru/kaspersky-security-bulletin-2016-story-of-the-year/29788/, свободный. - Заглавие с экрана. -Яз. рус. (дата обращения: 13.03.2018).
9. Лутовинов В. One-half / В. Лутовинов. - Режим доступа: http://old.ci.ru/inform12_97/onehalf.htm, свободный. - Заглавие с экрана. - Яз. рус. (дата обращения: 29.03.2018).
10. Мамедов О. Шифровальщик Bad Rabbit / О. Мамедов, Ф. Синицын, А. Иванов. - Режим доступа: https://securelist.ru/bad-rabbit-ransomware/87771/, свободный. - Заглавие с экрана. - Яз. рус. (дата обращения: 15.03.2018).
11. Путин Е. О. Классификатор для статического обнаружения компьютерных вирусов, основанных на машинном обучении / Е. О. Путин, А. В. Тимофеев // Information Technologies & Knowledge. - 2014. - No. 2. - P. 103-112.
12. Саркисян Р. Е. Обнаружение вторжений в информационно-вычислительные сети и закон убывающей эффективности / Р. Е. Саркисян, А. Ю. Попов // Зашита информации. Инсайд. - 2009. - № 4. - С. 41-43.
13. Смирнов Д. В. Исследование особенностей поведения вредоносного программного обеспечения класса крипторов-вымогателей / Д. В. Смирнов, И. А. Лубкин // Решетневские чтения. - 2016. - № 2. - С. 271-273,
14. Умницын М. Ю. Отслеживание состояния информационной системы на основе анализа данных о событиях / М. Ю. Умницын, С. В. Михальченко // Прикаспийский журнал: управление и высокие технологии. - 2017. -№ 4. - С.165-173 (http://hi-tech.asu.edu.ru/files/4(40)/165-173.pdf).
15. Цветков В. Я. Эвристический анализ как инструмент информационной безопасности / В. Я. Цветков, С. В. Булгаков // Современные наукоемкие технологии. - 2010. - № 1. - С. 53.
16. Яблоков Д. Ю. Анализ трояна-шифровальщика trojan.encoder.567 / Д. Ю. Яблоков, В. С. Карев, В. Г. Фёдоров // Проблемы экономики и управления в торговле и промышленности. - 2016. - № 1. - С. 93-97.
17. Янчарский П. А. Восстановление файлов после трояна-шифровальщика / П. А. Янчарский. - Режим доступа: https://habrahabr.ru/post/327618/, свободный. - Заглавие с экрана. - Яз. рус. (дата обращения: 30.03.2018).
18. Artes N. O. Protection system of applications on "windows" platform on the basis of activity profile / N. O. Artes, S. M. Elsakov // Journal of computational and engineering mathematics. - 2016. - Vol. 3, no. 3. - P. 3-9.
References
1. Alekseev I. V., Platonov V. V. Opredelenie nalichiya zashifrovaniya ispolnyaemogo fayla na osnove analiza entropii [Determination of availability of executable file encryption based on entropy analysis]. Informatika i kibernetika [Informatics and Cybernetics], Saint Petersburg, Peter the Great St. Petersburg Polytechnic University Publ. House, 2016, pp. 195-198.
2. Bespaly V. Monitoring podozritelnoi aktivnosti [Monitoring suspicious activity]. Windows IT PRO, 2017, no. 6, pp. 53.
3. Bondarenko M. Obshchiy ushcherb ot masshtabnoy ataki WannaCry [The total damage from the large-scale attack WannaCry]. Available at: https://www.rbc.ru/society/25/05/2017/592644ee9a79477171fea588 (accessed: 12.03.2018).
4. Bolaf S. Statistika dlya vsekh [Statistics for all], Moscow, DMK Press Publ., 2015. 586 p.
5. Golchevskiy Yu. V., Filimonova N. A. Podkhod k obnaruzheniyu vredonosnoy aktivnosti v internete veshchey [Approach to detecting malicious activity in the Internet of things]. Informatsiya i bezopasnost [Information and Security], 2017, no. 3, pp. 464-467.
6. Demina R. Yu., Azhmukhamedov I. M. Metodika formirovaniya obuchayushchego mnozhestva pri ispol-zovanii statichkeskih antivirusnykh metodov evristicheskogo analiza [Method of formation of the training set when using the static methods in antivirus heuristics]. Inzhenernyy vestnikDona [Engineering Bulletin of Don], 2015, no. 3, pp. 74.
7. Drobotun Ye. B. Issledovanie i analiz koda naibolee populyarnykh programm tipa "blokirator - shifrovalshchik faylov" [Research and code analysis most popular programs such as "lock - file encryption]. Programmnyeprodukty, sistemy i algoritmy [Software, Systems and Algorithms], 2016, no. 1. Available at: http://swsys-web.ru/code-of-popular-malware-analysis.html (accessed: 29.03.2018).
8. Ivanov A., Emm D., Sinitsyn F., Pontiroli S. Kaspersky Security Bulletin 2016. Available at: https://securelist.ru/kaspersky-security-bulletin-2016-story-of-the-year/29788/ (accessed: 13.03.2018).
9. Lutovinov V. One-half. Available at: http://old.ci.ru/inform12_97/onehalf.htm (accessed: 29.03.2018).
10. Mamedov O., Sinitsyn F., Ivanov A. Shifrovalshchik Bad Rabbit [Cipher Bad Rabbit]. Available at: https://securelist.ru/bad-rabbit-ransomware/87771 (accessed: 15.03.2018).
11. Putin Ye. O., Timofeev A. V. Klassifikator dlya staticheskogo obnaruzheniya kompyuternykh virusov, osno-vannykh na mashinnom obuchenii [Classifier for static detection of computer viruses based on machine learning]. Information Technologies & Knowledge, 2014, no. 2, pp. 103-112.
12. Sarkisyan R. Ye., Popov A. Yu. Obnaruzhenie vtorzheniy v informatsionno-vychislitelnye seti i zakon ubyva-yushchey effektivnosti [Detection of intrusions in information and computer networks and the law of decreasing efficiency]. Zashchita informatsii. Insayd [Information Protection. Inside], 2009, no. 4, pp. 41-43.
13. Smirnov D. V., Lubkin I. A. Issledovanie osobennostey povedeniya vredonosnogo programmnogo obespeche-niya klassa kriptorov-vymogateley [Investigation of behavior peculiarities of malicious software of ransomware class]. Re-shetnevskie chteniya [Reshetnev Readings], 2016, no. 2, pp. 271-273.
14. Umnitsyn M. Yu., Mikhalchenko S. V. Otslezhivanie sostoyaniya informatsionnoy sistemy na osnove analiza dannykh o sobytiyakh [Tracking the status of the information system based on the analysis of event data]. Prikaspiyskiy zhurnal: upravlenie i vysokie tekhnologii [Caspian Journal: Control and High Technologies], 2017, no. 4, pp. 165-173 (http://hi-tech.asu.edu.ru/files/4(40)/165-173.pdf).
15. Tsvetkov V. Ya., Bulgakov S. V. Evristicheskiy analiz kak instrument informatsionnoy bezopasnosti [Heuristic analysis as an information security tool]. Sovremennye naukoemkie tekhnologii [Modern High Technologies], 2010, no. 1, pp. 53.
16. Yablokov D. Yu., Karev V. S., Fedorov V. G. Analiz troyana-shifrovalshchika trojan.encoder.567 [Analysis of the virus of Trojan trojan.encoder.567]. Problemy ekonomiki i upravleniya v torgovle i promyshlennosti [Problems of Economics and Management in Trade and Industry], 2016, no. 1, pp. 93-97,
17. Yancharskiy P. A. Vosstanovlenie faylovposle troyana-shifrovalshchika [Restore files after encryption Trojan]. Available at: https://habrahabr.ru/post/327618 (accessed: 30.03.2018).
18. Artes N. O., Elsakov S. M. Protection system of applications on "windows" platform on the basis of activity profile. Journal of computational and engineering mathematics, 2016, vol. 3, no. 3, pp. 3-9.
