«Лаборатория Касперского» выпускает Kaspersky KryptoStorage и Kaspersky Password Manager. Kaspersky KryptoStorage от и до

  1. Демагогии много не будет так как статья и так довольно большая получиться! Давайте разберемся что можно сделать если ваш компьютер заражен шифратором: Для начала надо узнать что за шифровальщик сделал это плохое дело с вашими файлами. Ниже в конце статьи есть ссылки на Сервисы которые дадут всю информацию по вашему зло вреду который орудует у вас на компьютере. Если название вашего зло вреда совпало с названиями в этой статье то это пол беды и так читаем далее что нам предлагает Kaspersky в борьбе с вымогателями шифраторами. Честно сказать довольно сильные это вирусы у вас действительно проблемы. Вывести эту гадость с вашего компьютера можно, это не проблема а вот вернуть файлы это вопрос:
  2. Перечисляю название вымогателей и в конце вы выкладываю имя программы которая возможно вам поможет:

    3. Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl илиTrojan-Ransom.Win32.CryptXXX версии 1 и 2.

    Какие названия у ваших файлов станут после шифрования:

  3. При заражении Trojan-Ransom.Win32.Rannoh имена и расширения locked- . .
  4. При заражении Trojan-Ransom.Win32.Cryakl в конец файлов добавляется {CRYPTENDBLACKDC}.
  5. Trojan-Ransom.Win32.AutoIt расширение изменяется по шаблону@_.
  6. Например, _.RZWDTDIC.
  7. При заражении Trojan-Ransom.Win32.CryptXXX изменяется по шаблону.crypt.
  8. Проверяем для достоверности сервисом который выложу в конце статьи и если все совпадается то скачиваем утилиту:
  9. .с оф., сайта Kaspersky
    10. .
  10. .с облако проверенно Kaspersky
  11. После нажатия на кнопку начать проверку откроется окно в котором вам надо показать зашифрованный файл.
  12. Далее программа сама все сделает. Если сделает!))) Но не будем о плохом все будет хорошо!

    13. XoristDecryptor

  13. Предназначена для борьбы с вирусами шифраторами: Trojan-Ransom.Win32.Xorist, Trojan-Ransom.MSIL.Vandev
  14. Распознать шифратора можно по следующим шагам: Выдает окно что типо того как ниже:
  15. На диске C:/ делает файлы с названием "Прочти Меня - как расшифровать файлы". Открыв такой файл, в нем будет содержание на подобии как на картинке ниже.
  16. Так же в папке Windows присутствует файл с именем CryptLogFile.txt. В нем записывается все что было зашифровано.

  17. Расшифровка файлов

  18. с оф., сайта Kaspersky
  19. с облако проверенно Kaspersky
  20. Запускаем и показываем зашифрованный файл и ждем пока утилита пробует расшифровать файл.
  21. Если утилита XoristDecryptor не определит файл, предложит отправить на почту . В Лаборатории Касперского изучат файл, обновят антивирусную базу XoristDecryptor. Что при повторном лечении есть вариант вернуть ваши файлы.

    Следующая утилита называется RectorDecryptor

  22. Как и выше изложенные она от компании Kaspersky и служит для расшифровки файлов зараженных вымогателем шифровальщиком: Trojan-Ransom.Win32.Rector
    23. Какие файлы шифрует:
  23. jpg, .doc, .pdf, .rar.
  24. Название файлов после шифрования:
  25. vscrypt, .infected, .bloc, .korrektor
  26. Подпись автора в виде ††KOPPEKTOP†† и связь с ним можно держать:
  27. ICQ: 557973252 или 481095
  28. В некоторых случаях злоумышленник просит оставить сообщение в гостевой книге одного из своих сайтов которые не работают или работают в нужное ему время:
  29. https://trojan....sooot.cn/
  30. https://malware....66ghz.com/
  31. Так же банер на рабочем столе вида ниже говорит о том что ваши файлы зашифрованы этим шифратором:
  32. Как попробовать вернуть ваши файлы:
  33. Скачиваете утилиту от Kaspersky под названием
  34. с оф., сайта Kaspersky
  35. с облако проверенно Kaspersky
  36. Как и во все других выше утилитах от Kaspersky. Скачанную утилиту запускаете и нажав на кнопку Начать проверку в от к рывшемся окне указываете зашифрованный файл.
  37. Отчет о проделанной работе как и в примерах выше с программами вы можете найти по адресу: C:\RectorDecryptor.2.3.7.0_10.05.2010_15.45.43_log.txt Время и дата приблизительная, у вас будет ваша.

    38. Утилита RakhniDecryptor

  38. Для борьбы с шифровальщиками от компании Kaspersky:
  39. Trojan-Ransom.Win32.Rakhni, Trojan-Ransom.Win32.Autoit, Trojan-Ransom.Win32.Agent.iih, Trojan-Ransom.Win32.Aura, Trojan-Ransom.AndroidOS.Pletor, Trojan-Ransom.Win32.Rotor, Trojan-Ransom.Win32.Lamer, Trojan-Ransom.MSIL.Lortok, Trojan-Ransom.Win32.Cryptokluchen, Trojan-Ransom.Win32.Democry,Trojan-Ransom.Win32.Bitman версии 3 и 4,Trojan-Ransom.Win32.Libra,Trojan-Ransom.MSIL.Lobzik и Trojan-Ransom.Win32.Chimera

Шифрующие вирусы-вымогатели в последнее время стали одной из главных угроз и мы ежедневно узнаем о новых атаках, новых вирусах-вымогателях или их версиях и, к сожалению, о жертвах, с которых киберпреступники требуют выкуп за возвращение доступа к зашифованным данным. Поэтому Kaspersky Lab в компоненту System Watcher (Мониторинг активности) новейших продуктов включила особую подсистему борьбы с шифрующими вредоносными программами Kaspersky Cryptomalware Countermeasures Subsystem. Благодаря набору уникальных технологий, в Латвии и в мире среди пользователей новейших продуктов Kaspersky , которые корректно использовали предоставленные продуктами возможности, практически нет пострадавших от атак шифрующих вирусов-вымогателей! И это не магия и не заговор, как иногда говорят даже специалисты, видя, как в отличии от пользователей других антивирусов поклонники продуктов Kaspersky остаются невредимыми в атаках шифрующих вирусов-вымогателей. Это просто изобретенные и реализованные разработчиками Kaspersky Lab технологии!

В какие продукты влючены System Watcher и Kaspersky Cryptomalware Countermeasures Subsystem?

Особые технологии для борьбы с шифрующими вирусами-вымогателями включены в текущие версии следующих ниже перечисленных продуктов для операционной системы Windows или их компонет для Windows.

Продукты для малого бизнеса:
Продукты корпоративной защиты:

* Всем продуктам доступно 30-дневное бесплатное полнофукциональное испробование с местной техническо поддержкой. Для испробования и установить, а .

Как работает System Watcher и Kaspersky Cryptomalware Countermeasures Subsystem?

Kaspersky Lab ежедневно в среднем обрабатывает 315 000 новых образцов вредоносного ПО. При таком большом наплыве новых вредоносных программ антивирусным компаниям очень часто приходится защищать пользователей от атак вредоносных программ, которые им еще неизвестны. По аналогии с реальным миром это было бы также, как идентифицировать преступника до того, как получены его отпечатки пальцев, фотография и другие данные. Как это сделать? Наблюдая и анализируя поведение. Именно этим и занимается встроенная в новейшие продукты Kaspersky Lab непрерывно наблюдающая за компьютерной системой компонента под названием System Watcher (Мониторинг активности).

System Watcher наблюдает происходящие в системе процессы и детектирует вредоносные действия, используя сигнатуры последовательностей поведения Behaviour Stream Signatures (BSS) и позволяя таким образом определить и остановить работу совсем новых и неизвестных вредоносных программ по их поведению. Но это не все. Пока становится ясным, что какая-нибудь программа является вредоносной, она может успеть кое-что сделать. Поэтому еще одной особенностью System Watcher является способность откатывать обратно изменения в системе сделанные вредоносной программой.

Для того, чтобы откатывать обратно изменения сделанные новой шифрующей вредоносной программой, специалисты Kaspersky Lab добавили к компоненте System Watcher подсистему борьбы с шифрующими вирусами Kaspersky Cryptomalware Countermeasures Subsystem, которая создает резервные копии файлам, если их открывает подозрительная программа, и в последствии при необходимости восстанавливает их с сохраненных копий. Таким образом, даже если шифрующий вирус является новым, то есть у антивируса нет его "отпечатков пальцев", и он неидентифицируется другими механизмами, System Watcher детектирует его по поведению и, используя уже упомянутую подсистему, возвращает компьютерную систему с состояние, какое было до атаки вредоносной программы.

Распознавание неизвестной шифрующей вредоносной программы по поведению, остановку ее работы и откат изменений произведенных ею (замену зашифрованных файлов нешифрованными копиями) можно увидеть в демонастрационном видео ниже.



Тут необходимо пояснить, что каждому конкретному пользователю ситуации, когда необходимо задействование Kaspersky Cryptomalware Countermeasures Subsystem, могут произойти крайне редко, так как информация о каждом инциденте с неизвестной вредоносной программой за считанные доли секунды попадает в облако Kaspersky Security Network и другие пользователи решений Kaspersky с этого момента уже защищены против новой угрозы системой раннего детектирования. Это означает, что любая дальнейшая попытка инфицирования компьютеров пользователей Kaspersky будет блокирована уже ранней сигнатурой. Именно действием таких уникальных механизмов объясняется факт, что в Латвии практически не было пострадавших среди пользователей новейших продуктов Kaspersky, так как это работает как глобальная иммунная система для всех 400 миллионов пользователей Kaspersky во всем мире!

Дополнительную информацию о System Watcher и Kaspersky Cryptomalware Countermeasures Subsystem на английском языке можно найти в документах в формате PDF:

Что еще небходимо знать о System Watcher и Kaspersky Cryptomalware Countermeasures Subsystem?

System Watcher и вместе с ним автоматически Kaspersky Cryptomalware Countermeasures Subsystem в соответсвии с началными установками производителя включены по умолчанию. Пользователю после инсталляции продуктов нет необходимости производить какие либо дополнительные действия для использование выше описанных технологий.

Особо надо отметить, что System Watcher не входит в состав продукта Kaspersky Anti-Virus for Windows Workstation 6.0 (выпущен в 2007 году), кторый еще иногда используется. Пользователи этого продукта призываются к использованию бесплатного перехода на более новый Kaspersky Endpoint Security for Windows. Легальные пользователи могут загружать и устанавливать новейшие версии продуктов бесплатно, к примеру, с раздела " " этого сайта.

«Лаборатория Касперского» выпускает Kaspersky KryptoStorage и Kaspersky Password Manager

«Лаборатория Касперского», ведущий производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама, сообщает о выпуске продукта для шифрования данных Kaspersky KryptoStorage (KKS) и решения для защищенного хранения паролей Kaspersky Password Manager (KPM).


Kaspersky KryptoStorage

В последнее время все большее распространение получают угрозы, связанные с кражей конфиденциальных данных пользователей. Шифрование самых важных пользовательских данных позволяет создать дополнительный барьер для хакерской атаки, проведенной, в том числе, и с использованием различного вредоносного ПО.

Kaspersky KryptoStorage предназначен для криптографической защиты данных, обеспечивая их конфиденциальность путем шифрования, а также гарантированного удаления указанных пользователем данных. В системе KKS реализована криптозащита каталогов, виртуальных дисков и логических разделов жестких дисков. Шифрование и расшифровка происходят в фоновом режиме, не препятствуя работе пользователя.

В зависимости от задач, пользователь может зашифровать как целый раздел, так и отдельные папки. При выполнении операций чтения информация автоматически расшифровывается, операций записи – зашифровывается. Стоит отметить, что защищенные KKS данные можно прочесть лишь с помощью пароля, устанавливаемого при первичном шифровании.

Криптозащита в решении Kaspersky KryptoStorage реализована на основе стойкого алгоритма симметричного шифрования AES-128. Секретный ключ создается путем криптографического преобразования пароля, вводимого пользователем. Стойкость решения дополнительно усилена специальным алгоритмом, препятствующим атакам методом полного перебора, делая их неэффективными даже на самых быстродействующих компьютерах.

Зашифрованные с помощью Kaspersky KryptoStorage файл-контейнеры можно отсылать по электронной почте, а также сохранять на внутренних и внешних, локальных и сетевых носителях – то есть на любых цифровых накопителях, включая магнитные и оптические диски, а также флеш-карты. На все защищенные данные можно установить как одинаковый пароль, так и уникальный для каждого защищенного объекта. Кроме криптозащиты решение Kaspersky KryptoStorage способно гарантированно удалять данные с любых цифровых носителей, что позволяет предотвращать утечки информации, в том числе, с утерянных или выброшенных устройств памяти.


Kaspersky Password Manager

Надежно хранить коды доступа к важной информации поможет Kaspersky Password Manager. Решение полностью автоматизирует ввод паролей и других данных на веб-страницах, избавляя пользователя от необходимости создавать и запоминать пароли. Продукт обеспечивает безопасность кодов, которые защищают доступ к веб-страницам и приложениям Windows, сохраняя их в специальной базе данных (в свою очередь защищенной с помощью мастер-пароля).

Помимо хранения, KPM может самостоятельно генерировать стойкие пароли длиной до 99 символов, что обеспечивает создание сложных и уникальных паролей. Решение имеет наглядный индикатор стойкости пароля, следуя которому пользователь сможет надежно защитить базу данных своих паролей. Кроме того, при введении мастер-пароля в целях защиты от клавиатурных шпионов можно использовать виртуальную клавиатуру.

Доступ к Kaspersky Password Manager удобен для пользователя, поскольку продукт глубоко интегрирован с другими прикладными программами. Его функциональность доступна не только через панель задач операционной системы, но и через кнопку в графическом интерфейсе приложений Windows. Пароли, хранящиеся в браузерах в незащищенном виде, могут быть импортированы в защищенное хранилище решения автоматически.

Kaspersky Password Manager способен работать с USB-носителей, без необходимости предварительной установки. Кроме того, решение имеет антифишинговый функционал, определяющий подозрительные сайты и сообщающий о них пользователю.

Персональные продукты «Лаборатории Касперского» и новые решения «Лаборатории Касперского» отлично дополняют друг друга, рекомендованная стоимость бессрочной лицензии на каждый продукт составляет 288 грн. Купить новые продукты «Лаборатории Касперского» можно через онлайн-магазин на официальном

22.04.2013 Владимир Безмалый

В криптографии шифрование представляет собой процесс кодирования информации таким способом, при котором только авторизованные пользователи могут прочесть данные. В схеме шифрования информацию или «простой текст» защищают с помощью алгоритма шифрования, превращая ее в нечитабельный «шифрованный текст». Это обычно делается за счет применения ключа шифрования, который определяет, как должны быть закодированы данные

Неавторизованные пользователи могут увидеть шифрованный текст, но не смогут прочесть исходные данные. Авторизованные пользователи могут декодировать шифрованный текст, используя алгоритм дешифрования, который обычно требует секретного ключа расшифровки, доступ к которому есть только у них. Схема шифрования, как правило, нуждается в алгоритме генерации ключей, чтобы создавать ключи произвольного вида.

Полное шифрование диска Full Disk Encryption (FDE) является одним из наиболее эффективных способов защиты данных, хранимых на ноутбуках, от кражи или утери вместе с устройством. Что бы ни произошло с устройством, механизм FDE позволяет гарантировать, что вся хранящаяся на нем информация недоступна тому, в чьи руки попало данное устройство.

При использовании FDE шифруются все данные на жестком диске. По сути, шифруется каждый сектор. При этом получить доступ может только авторизованный пользователь, знающий пароль. Кроме того, данная технология может применяться для съемных носителей, таких как USB-диски. Давайте рассмотрим работу системы шифрования на примере продукта «Kaspersky Security для бизнеса».

Как работает FDE

FDE используется до загрузки системы. Это означает, что применяемая технология начинает свою работу сразу же после нажатия кнопки питания на устройстве. Шифрование диска может быть запущено либо непосредственно на компьютере пользователя, либо централизованно с помощью модуля Security Center. При этом программа шифрует все выбранные диски и устанавливает модуль авторизации в среде загрузки. При включении компьютера операционная система начинает загружаться в зашифрованной окружающей среде (рисунок 1). Шифрование незначительно замедляет производительность системы, что характерно для всех реализаций программного обеспечения шифрования от любых поставщиков. Все операции шифрования (дешифрования) происходят незаметно для пользователя, независимо от используемого им программного обеспечения. При этом зашифровывается весь жесткий диск (файл подкачки, файл гибернации, временные файлы, тоже часто содержащие важные данные). А в случае, если пользователь потеряет пароль к шифрованному жесткому диску, информация может быть расшифрована с помощью секретного ключа, известного только администратору продукта. Функция FDE включена в поставку Kaspersky Endpoint Security. Администраторы безопасности могут централизованно управлять данным комплексом с помощью Security Center.

Рисунок 1. Схема работы FDE

Преимущества FDE

Принудительное шифрование конфиденциальных данных. Конечный пользователь не имеет возможности перенастроить механизм шифрования. FDE предотвращает несанкционированный доступ к данным с помощью механизма аутентификации (имя/пароль). При вводе правильного сочетания имя/пароль система извлекает ключ, необходимый для расшифровки файлов на жестком диске. Фактически это добавляет дополнительный уровень безопасности, поскольку зашифрованные данные будут бесполезны для злоумышленника после уничтожения криптографического ключа.

Централизованное управление ключами. Все ключи шифрования хранятся в Security Center и доступны только администратору безопасности.

Централизованное управление шифрованием. Управление ключами расшифровки, контроль доступа для мобильных устройств, отчетность и восстановление утраченных паролей доступны только администратору безопасности и лишь при работе Security Center.

Простота и гибкость. С точки зрения конечного пользователя шифрование осуществляется абсолютно прозрачно. После успешной авторизации процесс шифрования/дешифрования происходит незаметно и не влияет на работу пользователя.

Централизованное восстановление данных. В случае утери пароля или повреждения носителей данные могут быть восстановлены и расшифрованы с помощью специальной централизованно управляемой процедуры аварийного восстановления.

Недостатки технологии FDE

Следует учесть, что FDE шифрует только информацию, хранящуюся на зашифрованном носителе, следовательно, если вы передаете ее по электронной почте или копируете на другой носитель, вы копируете ее в открытом виде.

Ключ дешифрования должен быть доступен до того, как вы получите в интерфейсе запрос пароля для доступа к системе. Следовательно, если ваш жесткий диск поврежден, то может быть очень сложно восстановить данные, даже используя специальное программное обеспечение.

Вы можете задействовать FDE для шифрования дисков SSD, однако при этом следует учесть, что вы теряете в скорости – одном из основных преимуществ использования SSD.

Самый большой недостаток, на мой взгляд, - поддержка только парольной аутентификации. Смарт-карты, биометрия, токены на сегодня не поддерживаются.

Как работает FDE

Каждый жесткий диск на конечном устройстве использует два ключа. Первый ключ служит для шифрования/дешифрования данных на жестком диске, Disk Encryption Key (DEK). Второй ключ предназначен для шифрования DEK и других уязвимых данных - Disk Master Key (DMK). У DMK для загрузочного диска есть особое назначение - это шифрование/дешифрование DMK для всех других жестких дисков и пользовательских политик. Такой ключ называется ключом шифрования конечного устройства End-Point Key (EPK), и для загрузочного диска верно равенство

«EPK»=»Boot Disk DMK».

Конечное устройство хранит все уязвимые данные (метаданные) в специальном хранилище метаданных, к которому можно получить доступ и от лица пользователя перед начальной загрузкой, и из режима ядра. Чтобы проверить целостность метаданных и подлинность, с использованием DMK в качестве ключа вычисляется специальный маркер Authentication Tag (согласно спецификации CMAC NIST-SP-800-38B).

Шифрование загрузочного диска

В зависимости от типа носителей - загрузочный диск, диск данных или съемный диск, - у метаданных есть свой физический формат развертывания. У загрузочного диска с установленным FDE есть собственная запись загрузки Custom MBR. Эта запись Custom MBR не зашифрована и содержит таблицу со следующими важными параметрами: GUID диска и адресом (число секторов) расположения компонентов предзагрузки Pre-Boot Components. Другие дисковые данные зашифрованы на уровне сектора алгоритмом AES-XTS с ключом 256 разрядов, кроме двух областей (рисунок 2):

  • область Pre-Boot Components содержит исполняемые компоненты (среда PBE, обработчик INT13, первоначальная запись MBR) и адрес блока метаданных Endpoint Metadata Storage;
  • область Endpoint Metadata Storage содержит все метаданные (уязвимая информация) конечного устройства, используемые для аутентификации и авторизации.
Рисунок 2. Механизм шифрования загрузочного жесткого диска

Оба хранилища, Pre-Boot Components и Endpoint Metadata Storage, могут быть расположены в середине диска, среди секторов с зашифрованными данными.

Область Endpoint Metadata Storage содержит два основных раздела (рисунок 3):

  • раздел Endpoint Metadata содержит информацию, связанную со всем конечным устройством (политики паролей и настройки конечного устройства) и соответствующую информацию загрузочного диска (зашифрованный DEK и Metadata Authentication Tag);
  • раздел Users Metadata содержит информацию, связанную с пользователями - пользовательские данные аутентификации, зашифрованный DMK, пользовательские политики и так далее.
Рисунок 3. Структура Endpoint Metadata Storage

Раздел Endpoint Metadata состоит из одного непрерывного блока, содержащего вспомогательную информацию (версия метаданных, сигнатура, размер этого блока, размер пользовательского раздела, количество пользователей, параметров шифрования и аутентификации), зашифрованный с помощью DMK DEК (алгоритм CBC AES, ключ 256 разрядов), Authentication Tag всего хранилища Endpoint Metadata Storage, зашифрованный ключом DMK (AES-CMAC, ключ 256 бит) и настройки конечной точки, как то политики паролей и открытый ключ Security Center.

Пользовательский раздел метаданных содержит один или более блоков пользовательских метаданных. Каждый пользовательский блок метаданных - непрерывный блок, содержащий следующие разделы.

  1. Вспомогательная информация (подпись, размер всего пользовательского блока, состояние записи, размер подблока аутентификации и количество записей аутентификации, размер подблока данных).
  2. Идентификатор пользователя (User ID) - хешированное пользовательское имя для регистрации в системе (алгоритм SHA1).
  3. Блок User Authentication Data содержит одну или более записей аутентификации: Password Based Authentication хранит информацию, требуемую для аутентификации пользователя паролем. Запись Token Based Authentication хранит информацию, требуемую для аутентификации пользователя с помощью токена безопасности. Эта запись содержит ID токена и DMK, зашифрованного открытым ключом токена. Запись Certificate Based Authentication хранит информацию, необходимую для аутентификации пользователя сертификатом. Эта запись содержит ID сертификата, ключевые параметры, закрытый ключ сертификата пользователя, зашифрованного паролем, DMK, зашифрованный открытым ключом сертификата пользователя.
  4. Блок User Data, зашифрованный DMK (CBC AES, ключ 256 бит), содержит пользовательские политики с информацией об учетной записи пользователя и имя пользователя.

Таким образом, у каждого пользователя могут быть один или несколько различных типов аутентификаторов одновременно.

У других дисков и съемных дисков с установленным FDE также есть запись Custom MBR (в незашифрованной форме), но немного другого типа. Эта Custom MBR содержит GUID диска, и блок Device Metadata Storage, содержащий данные аутентификации и зашифрованные ключи (DMK и DEK). Другие данные на этих типах носителей зашифрованы полностью (AES-XTS, ключ 256 бит), см. рисунок 4.

Область Device Metadata Storage включает два основных раздела.

  1. Раздел Device Metadata содержит информацию, связанную с текущим устройством, такую как данные идентификации, зашифрованный DEK и Metadata Authentication Tag.
  2. Раздел Device Unlocking Metadata содержит информацию, связанную с двумя способами разблокирования: базовый пароль (для автономного устройства) и пароль автоматической разблокировки (для вторичного диска, установленного в конечной системе), и пользовательские данные аутентификации и зашифрованный DMK.

Раздел Device Metadata состоит из одного непрерывного блока, содержащего вспомогательную информацию (версия метаданных, подписи, размер этого блока, параметров шифрования и аутентификации), зашифрованный с помощью DMK DEK (CBC AES, ключ 256 разрядов) и authentication Tag всего Device Metadata Storage, зашифрованный ключом DMK (AES-CMAC, ключ 256 бит).

Во время запуска шифрования на конечном устройстве создаются метаданные ко всем зашифрованным жестким дискам и учетным записям пользователей.

Загрузка на компьютере с зашифрованным загрузочным диском

Если на хосте зашифрован загрузочный диск, то перед загрузкой операционной системы пользователю необходимо пройти аутентификацию в агенте предзагрузки Preboot agent. На основании имени и пароля, введенного пользователем, выполняется подключение всех зашифрованных по FDE устройств, шифрование которых выполнялось на данном хосте. Если к хосту было подключено зашифрованное по FDE устройство, шифрование которого выполнялось на другом хосте, то доступ к такому устройству будет предоставлен только после загрузки операционной системы и старта продукта.

Предоставление доступа к содержимому зашифрованного диска

Продукт предоставляет доступ к содержимому зашифрованного объекта любому пользователю, успешно авторизовавшемуся в операционной системе. Для этого при первом обращении пользователя к зашифрованному диску на данном компьютере продукт получает ключи для доступа из самого зашифрованного диска. Продукт извлекает из зашифрованного объекта криптоконтейнер и с помощью службы шифрования SC получает из него все необходимые ключи. После успешного получения ключа продукт сохраняет его локально для данного пользователя (за исключением некоторых системных пользователей). При повторном обращении пользователя к зашифрованному объекту продукт использует ключ, сохраненный локально для данного пользователя. В случае нескольких одновременных пользовательских сессий доступ к зашифрованным объектам получают все пользователи, если доступ был предоставлен хотя бы одному из них. В отсутствие продукта доступ к зашифрованным файлам на съемном устройстве может быть предоставлен специальным агентом Portable Mode. Этот агент устанавливается продуктом на устройство в процессе применения соответствующей политики и позволяет получить доступ к зашифрованным файлам после успешного ввода пользователем пароля.

Шифрование на уровне файла

Шифрование уровня файла File Level Encryption (FLE) включает шифрование данных в определенных файлах и папках на данном устройстве (рисунок 5). Это делает выбранную информацию недоступной для несанкционированных средств просмотра, независимо от того, где они хранятся. FLE позволяет системным администраторам автоматически шифровать файлы, основанные на атрибутах, таких как расположение и тип файла.
Рисунок 5. Схема работы FLE

В отличие от полного шифрования диска FDE, где шифруется весь раздел или диск, FLE не шифрует всю информацию о жестком диске или переносном устройстве хранения данных, как это делается с помощью FDE. Администраторы могут выбирать, какие данные должны быть зашифрованы (или не зашифрованы), используя правила, которые могут быть реализованы через удобный пользовательский интерфейс программного обеспечения. Правила шифрования могут быть созданы таким образом, чтобы можно было решить, что должно быть зашифровано, например можно создать списки файлов, чтобы зашифровать по их имени, расширению или по каталогу. Можно указать файлы на сменных носителях или автоматически шифровать файлы, созданные или измененные любым заданным приложением.

Хост, на котором выполняется первое обращение пользователя к зашифрованному объекту, должен находиться под управлением того же сервера Security Center, что и хост, на котором выполнялось шифрование этого объекта. В противном случае служба шифрования Security Center не сможет распаковать криптоконтейнер, и продукт, соответственно, не получит ключи для доступа к зашифрованному объекту.

Если по каким-либо причинам доступ в локальное хранилище ключей на хосте был утерян (локальное хранилище повреждено, пароль пользователя сброшен администратором), то при повторном обращении пользователя к зашифрованному объекту продукт будет пытаться получить ключи из зашифрованного объекта.



Umnik_ADS 18 января 2010 в 13:51

Kaspersky KryptoStorage от и до

  • Информационная безопасность

В декабре 2009 года "Лаборатория Касперского" объявила о выпуске коммерческого релиза программы Kaspersky KryptoStorage. Эта программа создавалась на базе InfoWatch CryptoStorage и адаптирована для использования на домашних ПК. В этой статье я попытаюсь выйти за рамки обычного обзора и максимально полно описать программу, предупредить о подводных камнях, дать общие советы по ее использованию. Kaspersky KryptoStorage нужен для:

  • защиты конфиденциальной информации от сторонних лиц;
  • предотвращения утечки данных при сохранении операционной системой служебной информации на диске (например, дампов памяти);
  • удаления данных без возможности восстановления.
Как это работает, в общих чертах? Для защиты информации применяется механизм прозрачного шифрования. То есть все данные, хранящиеся в защищенном объекте исключительно в зашифрованном виде. Когда эти данные нужны, они расшифровываются в оперативной памяти, а при записи в защищенный объект снова зашифровываются. В качестве алгоритма шифрования используется алгоритм AES с ключом 128 бит . Что подразумевается под защищенным объектом?
  • Защищенная папка . Это создаваемая программой специальная папка в файловой системе NTFS. При ее подключении работать с ней можно как с обычной папкой, с некоторыми оговорками.
  • Защищенный контейнер . Это создаваемый программой специальный файл. При подключении контейнера работать с ним можно как логическим диском. Этот файл можно скопировать на flash, записать на CD/DVD, отправить по электронной почте, выложить на фалообменнике и использовать на любом ПК, где установлена программа и известен пароль для подключения контейнера.
  • Защищенный раздел (диск) . Это существующий раздел диска или диск, преобразованный (зашифрованный) программой. После подключения защищенного раздела/диска средствами Kaspersky KryptoStorage, появляется возможность работы с ним как с обычным разделом/диском. Также возможно шифрование системных и/или загрузочных разделов и устройств класса Mass Storage (Flash-накопители, USB-устройства хранения и пр.).

Установка Kaspersky KryptoStorage

Перед установкой программы нужно убедиться, что платформа, на которой будет работать программа, отвечает требованиям.

Аппаратные требования:

  • процессор Intel Celeron 1 ГГц и выше или аналогичный
  • 256 МБ свободной оперативной памяти
  • 10 МБ свободного дискового пространства для установки приложения
Программные требования:
  • операционная система Windows 2000 SP4 (со всеми обновлениям)...
  • … либо Windows XP SP2...
  • … либо Windows 2003 Server...
  • … либо Windows Vista SP1...
  • … либо Windows 7
Разрядность (x86/x64) значения не имеет.

Запускаем установщик программы. Процесс установки не отличается от установки любой другой программы, пользователь проходит те же этапы принятия лицензионного соглашения, выбора места установки (по умолчанию предлагается %ProgramFiles%\Kaspersky Lab\KryptoStorage\), завершения работы мастера установки. По окончанию предлагается перезагрузить компьютер и после перезагрузки приложение полностью готово к работе. Важно! В процессе перезагрузки крайне не рекомендуется выключать компьютер. Это может стать причиной сбоя и возникновению ошибки при каждой последующей перезагрузке! Если по каким-то причинам сбой все-таки произошел, то нужно воспользоваться опцией загрузки последней удачной конфигурации и переустановить приложение.

Начнем работу с программой. Вот как выглядит главное окно:

Группа Шифрование данных . В этой группе находятся три кнопки, с помощью которых можно создать защищенную папку , защищенный контейнер , или зашифровать диск (раздел диска) . Сделаем это!

Шифрование папки в Kaspersky KryptoStorage

Создадим защищенную папку . Кликаем на нужной кнопке. Появляется окно, где нужно указать папку (диск), где будет располагаться защищенная папка , название для защищенной папки , пароль и подсказку пароля. По умолчанию предлагается создать "Новая защищённая папка" в "Мои документы" текущего пользователя.

По нажатию на OK папка создается. Что нужно знать о защищенной папке ?
  • Все файлы и папки, находящиеся внутри защищенной, также являются зашифрованными и защищенными. То есть если скопировать в защищенную папку файл, который лежит вне ее, то копия будет защищена.
  • Выполнение любых действий над защищаемой папкой (копирование, перемещение, удаление, переименование, архивирование, запись, чтение) и ее содержимым возможно только при подключении этой папки.
  • Доступ к защищенной папке по сети запрещен, однако подключенная папка доступна всем пользователям и программам, которые могут работать с компьютером локально от имени подключившегося. Например, с подключенной папкой можно работать через RDP .
  • Если файл скопирован из защищенной папки вовне, то копия становится не защищенной. При этом защита исходного файла сохраняется.
  • Программа не позволяет выполнять с защищенными папками и их содержимым перечисленные действия:
    • удаление в корзину
    • перемещение в рамках одного тома файлов и папок, содержащих файлы. При попытке перемещения в месте назначения будет создана пустая папка, с тем же именем, что и исходная
      • Однако, некоторые файловые менеджеры (например, Total Commander) при перемещении делает сначала копию объекта, а затем удаление исходного. В таком случае перемещение пройдет успешно.
  • В рамках одного тома можно перемещать незащищенные папки, содержащие в себе защищенные, в иные незащищенные папки без ограничений. Подключение защищенной папки при этом не требуется, а защита сохраняется. Иными словами есть обычная папка "А", содержащая в себе защищенную папку "Б" и есть обычная папка "В". Перемещение "А" в "В" пройдет без каких-либо ограничений. Подключения "Б" не требуется, а защита будет сохранена.
  • Незащищенную папку со вложенными защищенными папками можно переместить в корзину, если вложенные защищенные папки подключены. Перемещенную в корзину папку можно удалить и восстановить. При восстановлении защищенные папки будут подключены.
    • Некоторые файловые менеджеры (например, Total Commander) не могут переместить такую папку в корзину.
  • Работа с защищенной папкой возможна, если включена подсистема Защищенные папки . Статус можно посмотреть в главном окне в блоке Подсистемы KryptoStorage .
  • Создание защищенной папки возможно только на тех носителях, которые не защищены от записи.
  • Пользователь должен иметь права на создание папки.
  • Защищенная папка может быть создана только на файловой системе NTFS.
  • Длина полного имени папки не должна превышать 255 символов.
  • Защищенную папку невозможно создать внутри другой защищенной папки .
  • Защищенную папку невозможно создать внутри папки, защищенной EFS .
  • Защищенная папка может быть создана на жестком диске, съемном носителе, а также на защищенном программой диске или в зашифрованном контейнере (когда диск или контейнер подключены).
  • Пароль может быть не более восьми символов .
Есть альтернативный способ создания зашифрованной папки .

То есть в свободном месте (не на папке, не на файле) кликаем правой кнопкой мыши, Создать - Папка Kaspersky KryptoStorage .
  • пароль не должен быть менее шести символов (максимум, напоминаю, восемь)
  • в пароль могут входить цифры, латинские буквы, пробелы и специальные символы
  • желательно, чтобы пароль состоял из и цифр, и букв (в верхнем и нижнем регистре), и спец. символов.
В качестве не стоит использовать:
  • общеупотребительные слова и устойчивые сочетания
  • набор символов, представляющих собой комбинации клавиш, расположенных подряд на клавиатуре (qwertyui, 12345678, qazxswed и т.п.)
  • персональные данные (имена, фамилии, даты рождений, номера паспорта, страхования и т.п.)
  • пароли от других программ и сервисов (почты, форумов и т.п.)
Если пароль не отвечает требованиям стойкости, программа сообщит об этом.

Итак, папка создана. Попробуем защитить фотографии, роль которых будут играть обои рабочего стола.
Видео-ролик №1
Поясню то, что происходило в ролике.

  1. Скопировал объекты, которые нужно защитить, в буфер обмена (перемещение, как я описывал выше, не возможно)
  2. Подключил защищенную папку
    • Для демонстрации подсказки ввел неверные данные. Как видно, подсказка отвечает двум главным требованиям: она понятна мне, она ничего не говорит другим
  3. Вставил файлы в защищенную папку
  4. Демонтировал защищенную папку
  5. Запустил безвозвратное удаление исходных файлов
Также на ролике было видно, как можно изменить пароль для защищенной папки и как ее можно удалить без возможности восстановления.

Создание защищенного контейнера в Kaspersky KryptoStorage

Что нужно знать о защищенном контейнере ?
  • Устройство, на котором создается контейнер (файл контейнера) не должно быть защищено от записи.
  • Контейнер нельзя создать на CD/DVD, но его можно туда записать как файл, когда он будет уже создан.
  • Пользователь, создающий контейнер, должен иметь права на создания файлов.
  • Работа с контейнером возможна, только если в системе установлена программа Kaspersky KryptoStorage и запущена подсистема Защищенные контейнеры .
  • Контейнер может быть создан на жестком диске, на flash, внутри другого контейнера (когда он подключен), внутри защищенной папки (когда она подключена), внутри защищенного диска (когда он подключен), а также скопирован во все эти места.
  • Ограничение на размер контейнера накладываются лишь самой файловой системой:
    • для FAT16 - 2 ГБ
    • для FAT32 - 4 ГБ
    • для exFAT - 256 ТБ
    • для NTFS - 16 ТБ
  • Создать контейнер можно, также как и защищенную папку двумя способами:
    • из окна программы
    • из контекстного меню
  • По умолчанию контейнерам предлагается присвоить расширение.kde. Это расширение ассоциируется в системе с программой еще на этапе установки. Если использовать это расширение, то монтировать контейнер можно будет двойным кликом мыши или из контекстного меню. Если использовать другое расширение, то монтировать контейнер можно будет только из контекстного меню файла контейнера (пункт Kaspersky KryptoStorage - Подключить контейнер).
  • Функции автоматического размонтирования нет.
  • Подключенный контейнер можно расшарить (более того, система будет помнить шаринг, если для монтирования используется одна и та же буква). Соответственно возможен следующий сценарий: пользователь входит в систему, подключает контейнер и выходит из нее, а контейнер остается расшареным и доступным по сети.
  • Т.к. контейнер представляет собой обычный файл, то защитить от удаления его можно поместив в защищенную папку или на защищенный диск .
Перейдем к работе. Создадим защищенный контейнер из контекстного меню. Окно создания защищенного контейнера очень похоже на окно создания защищенной папки , единственное отличие в том, что при создании контейнера нужно указать его размер в мегабайтах. Соответственно, в контейнер нельзя будет поместить данных больше, чем будет задано в этом окне.

После создания контейнера программа предложит его отформатировать. Без форматирования в контейнер нельзя будет ничего записать. Если отказаться форматировать на этом этапе, то запрос будет появляться каждый раз после монтирования и при обращении к подмонтированному диску из Проводника (попытаться его открыть).
При форматировании нужно иметь в виду:

  • если выбрать быстрый режим форматирования и файловую систему FAT16/FAT32/exFAT, то файл контейнера будет иметь минимальный возможный размер и увеличиваться до заданного при создании по мере наполнения. Это позволят экономить пространство там, где располагается файл контейнера.
  • При выборе файловой системы NTFS файл контейнера сразу будет иметь заданный размер
  • при полном форматировании, не зависимо от файловой системы, файл контейнера сразу будет иметь заданный при создании размер
Следующим этапом будет выбор точки и режима подключения.

Подключается контейнер как диск (жесткий или сменный) и потому ему нужно присвоить букву. В выпадающем меню "Логический диск" будут перечислены все свободные буквы дисков. Режим подключения будет недоступен до тех пор, пока контейнер не отформатирован.
Режимы подключения контейнера:
  • только для чтения. В этом режиме в подмонтированный контейнер нельзя будет ничего записать и из него ничего нельзя будет удалить
    • флажок устанавливается автоматически и не может быть снят, если файл контейнера имеет атрибут "Только чтение"
    • В MS Windows 2000 невозможна работа в режиме "Только для чтения" с контейнерами, отформатированными в NTFS
  • подключить как съемный диск. Если флажок стоит, то диск подключается как съемный. Если флажок снят, то диск подключается как фиксированный (жесткий диск).
    • В MS Windows Vista контейнер может быть подключен только как съемный диск
Работа с подключенным отформатированным контейнером не отличается от работы с обычным съемным/фиксированным диском. Его также можно форматировать, изменять метку и т.п.
Демонстрация работы с защищенным контейнером :
Видео-ролик №2
Обратите внимание, что на демонтирование нужно некоторое время. Впрочем, перезагружать или выключать компьютер при смонтированных контейнерах можно; после загрузки ОС они будут демонтированы.

Шифрование диска в Kaspersky KryptoStorage

Что нужно знать о шифровании диска?
  • Если защита ставится на раздел, являющийся загрузочным/системным, то авторизоваться для доступа к нему нужно будет до загрузки операционной системы.
  • Если системный и загрузочный разделы находятся на разных логических дисках и оба защищены, то нужно подключать каждый из этих разделов.
  • Установка защиты на системный раздел жесткого диска обеспечивает защиту файла дампа памяти (crash dump), а также содержимого оперативной памяти при переходе в спящий (hibernate) режим.
  • Работа с защищенным диском или съемным носителем возможна, если на компьютере с установленной системой запущена подсистема Защищенные диски .
  • Если на компьютере размещен защищенный системный и/или загрузочный раздел жесткого диска, то конфигуратор системы не позволяет отключить подсистему Защищенные диски . В этом случае в главном окне программы в разделе Подсистемы KryptoStorage блок Защищенные диски недоступен для внесения изменений.
  • Не рекомендуется использовать на компьютерах с несколькими операционными системами и при этом защищать разделы дисков, необходимые для загрузки установленных операционных систем.
  • Данные обо всех защищенных логических разделах физического носителя (физического жесткого диска, Flash -накопителя, и т.д.), находятся в корневом каталоге первого логического раздела физического носителя в файле iwcs.bin. В случае форматирования раздела, содержащего файл iwcs.bin , или в случае удаления, замещения, или повреждения данного файла доступ ко всем защищенным логическим разделам физического носителя может быть утрачен.
Ограничения на защиту логических разделов жесткого диска и съемных носителей:
  • Установка защиты на логические разделы жестких дисков и съемных носителей возможна, если соответствующее устройство имеет размер сектора 512 байт (стандартный размер сектора для большинства устройств подобного типа).
  • Установка защиты на динамические разделы не поддерживается.
  • Защита может быть установлена только на локальные диски. Защита сетевых дисков не поддерживается.
  • На одном физическом диске не может быть одновременно запущена установка/удаление/переустановка защиты для нескольких логических разделов. С логическими разделами разных дисков можно работать одновременно.
  • Защита логического раздела жесткого диска, на котором установлена система , допускается только при условии, что этот раздел является системным и/или загрузочным.
  • Установка защиты допускается при условии, что на защищаемый раздел разрешена запись.
  • Начать установку защиты на съемный диск можно только при условии, что файлы на съемном диске не используются никакими программами. В процессе установки защиты возможно использование файлов на съемном диске.
  • В Kaspersky KryptoStorage не поддерживается защита CD/DVD -дисков.
  • Изменение размеров логических разделов жесткого диска (ровно как и их деление, слияние) может привести к потере данных. Если эти изменения необходимы, то снимите защиту разделов перед началом работ.
Установка защиты логического раздела или съемного носителя. В процессе установки защиты можно продолжать работу с устройством, т.к. процесс проходит в фоновом режиме. Процесс можно прервать, затем либо продолжить, либо отказаться от защиты объекта. Переход ОС в ждущий или спящий режим автоматически прерывает установку защиты. После загрузки ОС установку можно продолжить, можно от нее отказаться.
Имеется два способа установки защиты:
  1. Из главного окна программы, кнопка Зашифровать диск .
  2. Из контекстного меню объекта, пункт Kaspersky KryptoStorage - Установить защиту на диск.
В окне "Шифрование диска" нужно указать желаемый диск (если использовался первый метод), пароль и подсказку. По нажатию на OK запускается процесс установки защиты. Процесс можно контролировать визуально:

При успешном окончании пользователь получает уведомление.

Пока защита не будет установлена, можно нажать на кнопку "Стоп". Тогда появится окно авторизации (где нужно ввести пароль доступа к объекту). Следующим окном будет сообщение об успешном прерывании установки защиты.

В случае прерывания установки защиты (вручную, либо система ушла в ждущий/спящий режим, либо компьютер был обесточен), объект остается частично зашифрованным, но считается защищенным. Потому работа с этим объектом возможна только при его подключении и вводе пароля. Конечно, если защита не была установлена до конца, то часть информации остается не зашифрованной. В возникшей ситуации можно либо возобновить установку защиты, либо отменить ее установку.

Для возобновления установки защиты нужно подключить объект (если он был отключен) и в его контекстном меню выбрать Kaspersky KryptoStorage - Продолжить установку защиты на диск . Процесс установки защиты будет продолжен.

Чтобы отменить установку защиты объекта, нужно в контекстном меню объекта выбрать Kaspersky KryptoStorage - Отмена установки защиты диска . Для выполнения операции потребуется авторизация.

Для работы с защищенным объектом его нужно будет сначала подключить. Для этого в контекстном меню объекта нужно выбрать пункт Kaspersky KryptoStorage - Подключить диск . Процедура требует прохождения авторизации. По окончанию работ с объектом рекомендуется отключать его, т.к. подключенный объект - это не защищенный объект. Для этого в контекстном меню нужно выбрать пункт Kaspersky KryptoStorage - Отключить диск . Объекты также будут отключены, если ОС перезагружалась.

Загрузка с системного и/или загрузочного диска, защищенного возможна только после прохождения авторизации. Запрос авторизации появится в процессе загрузки ПК до загрузки ОС:

После успешной авторизации ОС будет загружена. Если ошибиться при вводе пароля, то появится сообщение о некорректном пароле и предложение нажать любую клавишу. Если при установке защиты была задана подсказка, она будет отображена:

Можно повторить попытку ввода. Если подсказка не была задана, то для повторения процедуры авторизации нужно будет перезагрузить компьютер, используя сочетания Ctrl+Alt+Del.

Чтобы снять защиту с объекта, нужно в его контекстном меню выбрать пункт Kaspersky KryptoStorage - Снять защиту с диска . Процедура требует авторизации, а объект должен быть предварительно подключен. Процесс снятия защиты, как и установки защиты, может быть прерван и возобновлен. Алгоритм работ также схож с алгоритмами для установки защиты.

Настройки Kaspersky KryptoStorage

Вернемся к главному окну. Под блоком Шифрование данных находится блок Подсистемы . Каждая из подсистем обеспечивает защиту объектов определенного типа: дисков, контейнеров, папок. Если подсистема какого-то типа объекта остановлена, то пропадает возможность работы с этим типом объекта. Статус подсистемы (работает или выключена) указан во втором столбце блока. Третий столбец позволяет этот статус менять. Чтобы остановить подсистему работы с защищенными папками , нужно снять флажок "Автозапуск" у этой подсистемы и перезагрузить компьютер. Для запуска подсистемы этот флажок нужно поставить и также перезагрузить компьютер.

В блоке Настройки подключения объектов находится всего одна настройка, которая отвечает за автооткрытие подключенных объектов в Проводнике. Можно либо отключить открытие объектов разом, сняв флажок Открывать объекты при помощи проводника в новом окне после подключения , либо включить для всех разом. Настроить автооткрытие защищенной папки и одновременно запрет автооткрытия для защищенного контейнера невозможно.

Кнопка открывает окно управления лицензиями:

Лицензия может быть в виде кода активации, может быть файлом. Файл лицензии создается автоматически при активации кодом. Лицензия является бессрочной для работы программы. Срок действия означает, что не будет оказываться поддержка пользователя, но функционал сохраняется.

Кнопка нужна, чтобы освободить пространство на жестком диске, логическом разделе, flash и пр., когда доступ к ним утрачен. Для выполнения операций требуются права локального Администратора. Такая ситуация может возникнуть, если:

  • утеряны ключи доступа к защищенному разделу, поэтому подключить его или снять защиту невозможно
  • защищенный раздел был отформатирован после удаления с запущенной подсистемой Защищенные диски . После переустановки программы с запущенной по умолчанию подсистемой Защищенные диски доступ к отформатированному объекту становится невозможным
  • был изменен размер защищенного раздела. В результате возникло рассогласование между учитываемым размером и реально существующим размером защищенного раздела. Для корректного изменения размера необходимо сначала снять защиту с объекта, изменить размер, а затем установить защиту вновь
Перед началом работы нужно:
  1. завершить все операции, связанные с установкой, переустановкой и удалением защиты на всех разделах физического диска или съемного носителя
  2. отключить защищенные разделы физического диска, информацию о которых нужно удалить из
Если при восстановлении выбрать защищенный раздел, то расшифровывание данных с этого раздела будет невозможно.

Чтобы сделать доступным пространство на диске, занимаемое защищенным разделом нужно:

  1. В главном окне нажать кнопку
  2. В окне "Восстановление дисков" указать защищенный раздел, сведения о котором нужно удалить с диска
  3. В контекстном меню раздела выбрать Удалить информацию о шифрованной области
  4. В окне с предупреждением о потере зашифрованной информации нажать "Да".

На этом считаю свою статью законченной и с радостью почитаю ваши комментарии. Дополнительно сообщаю, что включен в состав Kaspersky PURE , коммерческий релиз которого не за горами.

Для написания статьи активно использовалась