Система управления паролями для зашифрованных файлов и архивов (варианты)

Авторы патента:

G05B19 - Системы программного управления (специальное применение см. в соответствующих подклассах, например A47L 15/46; часы с присоединенными или встроенными приспособлениями, управляющими какими-либо устройствами в течение заданных интервалов времени G04C 23/00; маркировка или считывание носителей записи с цифровой информацией G06K; запоминающие устройства G11; реле времени или переключатели с программным управлением во времени и с автоматическим окончанием работы по завершению программы H01H 43/00)

Полезная модель относится к вычислительной технике и предназначена для обеспечения управления паролями зашифрованных файлов архивов. Технический результат, заключающийся в эффективном противодействии распространению вредоносного программного обеспечения через вычислительные компьютерные сети в зашифрованном виде, достигается за счет поиска паролей к зашифрованным файлам архивов с использованием автоматического поиска пароля в информационных материалах, текстовых файлах, графических изображениях, генерируются варианты написания паролей и «простые» пароли, которые проверяются на соответствующем зашифрованном файле архива. Дополнительно организуется информационный обмен между компьютерами с использованием сервера баз данных паролей, на котором хранят популярные пароли от зашифрованных файлов архивов, внутри которых обнаружены элементы вредоносного программного обеспечения.

Область техники

Данное предложение относится к вычислительной технике, а именно к устройствам управления паролями к зашифрованным архивам данных и файлов. Особое внимание уделяется подозрительным архивам, полученным из непроверенных источников, в которых может распространяться вредоносное программное обеспечение.

Уровень техники

В настоящее время пользователи часто получают вредоносные программы в зашифрованных архивах. Пути распространения этих архивов могут быть различны, если учитывать возможности современных вычислительных сетей. В связи с этим стоит необходимость в предотвращении распространения зашифрованных вредоносных программ внутри архивов.

Сложность состоит в том, что инструкция с паролем сообщается пользователю по тому же каналу (например, зашифрованный архив и инструкция с паролем получены по электронной почте в одном сообщении) или из разных источников (например, инструкция дает ссылку на web-страницу, где отображается картинка с паролем). Такие хитрости предпринимаются злоумышленниками для обхода защитных мер, которые используются на пути через промежуточные узлы от источника распространения зашифрованного архива до целевого компьютера. Сложность выявления спрятанных в зашифрованные архивы вредоносных программ состоит:

- с одной стороны, в ином представлении программы, поскольку шифрование изменяет исходный вид программы, и нет возможности без пароля оценить риски, которые может нести в себе подобный зашифрованный объект;

- с другой стороны, в том, что очевидная для пользователя инструкция с паролем (ключом к получению исходного вида зашифрованных программ в архиве) может быть оставлена без должного внимания со стороны защитных мер системы.

Предлагаемая система является автоматизированным средством объединения усилий с организацией информационного обмена между компьютерами, посредством взаимодействия через сеть. Основной задачей системы является поиск пароля к зашифрованному архиву.

Существуют системы подбора пароля к зашифрованным архивам, если данных о пароле нет. Например, программное обеспечение Passware Kit Enterprise 9.3 от компании «Passware, Inc.» использует набор разных видов атак на зашифрованные файлы, при этом используются несколько видов атак на шифр (в том числе и метод перебора), оптимизировано использование нескольких ядер системного процессора и, при возможности, используются графические процессоры nVidia. Такой вариант не использует возможностей и опыта других компьютерных систем, ведь, возможно, пароль на зашифрованный файл легкодоступен в сети.

Альтернативная система подбора пароля Advanced RAR Password Recovery от компании «ElcomSoft» описывает атаку на шифр по словарю и перебором. Этот метод не использует полученные результаты работы для улучшения словаря. Но такая система не реализует централизованную оптимизацию словаря несколькими компьютерами через вычислительную сеть, ранжирование содержащиеся в словаре ключей по частоте использования. Указанные недостатки исключают получение база данных, позволяющей справляться с задачей поиска пароля меньшими затратами процессорного времени.

Из уровня техники также известны системы распознавания графических символов и букв в текст (OCR). Но эти системы не ставят перед собой задачу по защите компьютерной системы от возможно зашифрованных в архивах вредоносных программ, т.е. не используют распознанный текст как пароль или ключ дешифрования архива.

Анализ предшествующего уровня техники и возможностей, которые появляются при комбинировании их в одной системе, позволяют получить новый результат, а именно систему управления паролями зашифрованных файлов архивов. Результат данной системы, обеспечивается снятием пароля с вредоносного программного обеспечения в файле архива путем детального исследования обстоятельств, сопутствовавших появлению такого файла архива на компьютере или в компьютерной сети. После чего штатные антивирусные средства будут способны предпринять необходимые меры защиты.

Раскрытие полезной модели

Технический результат настоящей полезной модели заключается в эффективном противодействии распространению вредоносного программного обеспечения через вычислительные компьютерные сети в зашифрованном виде. Заявленный технический результат достигается за счет поиска паролей к зашифрованным файлам, полученным из компьютерной сети и в которых содержится вредоносное программное обеспечение.

Улучшенные характеристики обеспечивают средства получения и выявления зашифрованного файла архива, которые предназначены для получения зашифрованного файла архива и формирования управления зашифрованным файлом; модуль сбора информации о зашифрованном файле архива предназначенный для приема управления зашифрованным файлом архива от средств получения и выявления зашифрованного файла составления перечня информации, имеющей отношение к зашифрованному файлу архива; модуль выявления возможных паролей, предназначенный для получения зашифрованного архива с перечнем информации, имеющей отношение к этому файлу, от модуля сбора, поиска в информации, имеющей отношение к зашифрованному файлу архива, обнаруживая ключевые слова, указывающие на присутствие пароля, составления локального парольного словаря из строк символов, которые следуют за найденными ключевыми словами; средства обработки зашифрованных файлов архива, предназначенные для приема заполненного локального парольного словаря и зашифрованного файла архива от модуля выявления возможным паролей, а также для того, чтобы при снятии шифра с применением локального парольного списка произвести попытку снять шифр с зашифрованного файла архива с применением строк символов из локального парольного списка, и в случае неудачи подбора нужной комбинации символов пароля к зашифрованному файлу архива, при этом такая комбинация является действительным паролем зашифрованного архива, кроме того упомянутое средство обработки зашифрованных файлов предназначено для извлечения из файла всех его элементов; средства антивирусной защиты в клиентском компьютере, предназначенные для приема элемента, извлеченных из файла средством обработки зашифрованных файлов архива, а также для выявления вредоносного программного обеспечения и выдачи управляющих команды для блокировки дальнейшего распространения выявленного вредоносного программного обеспечения и зашифрованного файла архива, из которого такое вредоносное программное обеспечение было получено

Система управления паролями зашифрованных файлов архивов содержит:

сервер баз данных паролей, в котором накапливают пароли;

клиентские компьютеры, способные самостоятельно искать пароли к зашифрованным файлам архивов и обмениваться информацией с сервером баз данных паролей;

периферийные устройства, обеспечивающие функционирование компьютерной сети, а также информационный обмен между сетевыми узлами (в том числе сервером баз данных паролей и клиентскими компьютерами).

Сервер баз данных принимает запросы от клиентских компьютеров. Если запрос содержит описание зашифрованного файла архива, то из базы данных выбираются предположительные пароли (кодовые последовательности), подходящие под описание зашифрованного файла архива, и отправляются в ответ запрашивающему клиентскому компьютеру. Другой тип запроса может не содержать описания зашифрованного файла архива. Тогда пароли (кодовые последовательности) отправляются запрашивающему клиентскому узлу последовательно порциями по несколько паролей (например, по 10, 100 и т.д.). При этом первая порция содержит набор наиболее часто используемых паролей, а последующая порция паролей состоит из менее употребительных паролей, которые следуют дальше по списку паролей, отсортированных по частоте использования в сервере баз данных паролей. Следующая порция отправляется запрашивающему клиентскому компьютеру в том случае, если предыдущие порции с паролями не содержали подходящего зашифрованному файлу архива пароля (о чем запрашивающий клиентский компьютер сообщает запросом соответствующего типа).

Другой тип запросов, который обрабатывает сервер баз данных - это запросы, сообщающие удачно подобранные пароли (кодовые последовательности) и параметры соответствующего зашифрованного файла архива на клиентском компьютере. Еще один тип запросов от клиентского компьютера сообщает только пароль (при возможности сопровождаемый пояснениями или комментариями), который удалось обнаружить в локальных или сетевых ресурсах клиентского компьютера. Поиск таких паролей осуществляет соответствующий модуль на клиентском компьютере, его работа детально будет описана при описании функций клиентского компьютера.

Кроме сказанного, сервер баз данных паролей осуществляет анализ частоты использования каждого пароля, актуальность (дату последнего удачного применения пароля), собирает статистику по вредоносному программному обеспечению, которое было зашифровано при помощи этого пароля и другую информацию, которая может быть использована для противодействия распространению зашифрованных вредоносных программ (параметры зашифрованного файла архива, его имя, имена и параметры зашифрованных элементов под шифром и после снятия шифра, ветку алгоритма или способ, который привел к удачной расшифровке).

Также важным элементом сервера баз данных паролей является возможность добавления описательных правил на скриптовом языке опытным экспертом или криптографом. В зависимости от приоритета и сложившейся ситуации одни скрипты могут рекомендовать запрашивающему клиентскому компьютеру немедленно блокировать зашифрованный файл архива, также как классифицировать некий объект или элемент как «подозрительный», или же сообщать, что этот объект или элемент не представляет угроз (как вариант может быть рекомендован некий конкретный вид атаки на шифр с организацией распределенных вычислений по взлому шифра).

Также предусмотрена возможность собирать подозрительные зашифрованные файлы архивов (широко распространенные в компьютерной сети и подбор пароля к которым не удался) и расшифровывать такие файлы, применяя распределенные вычисления.

Клиентскими компьютерами, входящими в систему противодействия распространению вредоносных программ внутри зашифрованных файлов архивов, выполняется поиск пароля (кодовой последовательности) для получения исходного вида зашифрованных элементов и объектов, и последующая их проверка на содержание вредоносного функционала. Способы выявления вредоносного программного обеспечения (сигнатурная проверка, эмуляция, эвристический анализ и пр.) выходят за рамки данной полезной модели и подробно описываться не будут.

Для поиска подходящего пароля на клиентском компьютере присутствует комплекс средств, реализующих алгоритмы поиска паролей:

- в текстовых файлах, расположенных в одном каталоге с зашифрованным файлом архива;

- в графических растровых и векторных изображениях, если графический файл прикреплен к письму;

- в текстах и графических изображениях, расположенным по ссылкам в электронном письме (если это письмо с прикрепленным зашифрованным файлом архива);

- а также в текстах, графических изображениях и ссылках на них, полученных в письмах от того же адресата;

- поиск указаний на возможный пароль, например, по ключевым словам «pswd», «pass», «password», «key» и т.д.;

- генерация простых паролей «qwerty», «123», «abc» и т.п. и производных от этих паролей («qwerty»«QwErTy», «123»«1@3», «abc»«аВс»);

- поиск в реестре ключевых слов, указывающих на присутствие пароля *Pass* и др.;

- поиск возможных паролей на страницах, посещаемых пользователем;

- поиск возможных паролей в системах обмена мгновенными сообщениями (пользователь заранее ставится в известность об активации этой функции и по желанию может отказаться от работы соответствующего модуля);

Краткое описание чертежей

Сопровождающие чертежи включены в описание для пояснения сути и основных принципов работы полезной модели. Нижеследующее описание раскрывает варианты реализации полезной модели со ссылками на позиции следующих чертежей:

Фиг.1 схематически отображает клиентский компьютер.

Фиг.2 отображает общую логику работы системы.

Фиг.3 схематически отображает вариант соединения клиентских компьютеров через средства связи с сервером баз данных паролей.

Подробное описание вариантов осуществления

Для лучшего понимания заявленной полезной модели сначала будут приведены определения тех признаков, которые используются в заявленной полезной модели.

На фиг.1 показана примерная компьютерная система, которая может выступать в роли клиентского компьютера 102. Клиентский компьютер 102 включает в себя один или более процессоров, таких как процессор 101. Процессор 101 соединяется с коммуникационной инфраструктурой 106, такой как шина или сеть.

Клиентский компьютер 102 включает в себя основную память 108, (RAM), и может также включать в себя вторичную память 110. Вторичная память 110 может включать в себя, например, внутренний диск или хранилище данных 112 (например, жесткий или оптический диск) и/или устройство чтения/записи 114 носителя данных 116 (устройство хранения данных на магнитной ленте, оптический привод и т.д.). Съемный запоминающий блок 116 представляет собой магнитную ленту, оптический диск или другие запоминающие носители, считываемые или записываемые с помощью соответствующего устройства чтения/записи 114 носителя данных 116. Как можно видеть, съемный запоминающий блок 116 может включать в себя машиночитаемый запоминающий носитель, имеющий хранимое на нем компьютерное программное обеспечение и/или данные.

В альтернативном варианте осуществления вторичная память 110 включает в себя другие средства для загрузки компьютерных программ или других команд в клиентский компьютер 102. Она включает в себя, например, съемный блок памяти 122 и интерфейс 120. Она может включать в себя съемный чип памяти (такой как EPROM или PROM) и связанный с ним разъем или другие съемные блоки памяти 122 и интерфейсы 120, которые позволяют передавать программное обеспечение и данные со съемных блоков памяти 122 на клиентский компьютер 102.

Клиентский компьютер 102 также включает в себя один или более интерфейсов соединения, таких как сетевой интерфейс 124. Сетевой интерфейс 124 позволяет передавать данные между клиентским компьютером 102 и внешними устройствами. Например, сетевой интерфейс 124 включает в себя модем, сетевой интерфейс (например, карту Ethernet), порт соединения, PCMCIA слот и карту и т.д. Программное обеспечение и данные, передаваемые по сетевому интерфейсу 124, выполняются в форме сигналов 128, электронных, электромагнитных, оптических и других типов, которые могут быть приняты посредством сетевого интерфейса 124. Сигналы 128 выдаются сетевым интерфейсом 124 через канал связи 126. Этот канал 126 передает сигналы 128 и выполняется проводным или кабельным, оптоволоконным, РЧ каналом и другими каналами связи. В варианте осуществления полезной модели сигналы 128 содержат пакеты данных, отправленные процессору 101. Информация, представляющая обрабатываемые пакеты, может отправляться в форме сигналов 128 от процессора 101 через канал связи 126.

Термином «машиночитаемый носитель программ» или «машиночитаемый носитель информации» обычно называют носитель, такой как съемные носители данных 116 и 122, жесткий диск, установленный в виде встроенного жесткого диска 112, и сигналы 128, которые обеспечивают передачу программного обеспечения в клиентский компьютер 102.

Компьютерные программы хранятся в основной памяти 108 и/или вторичной памяти. Компьютерные программы могут быть также получены через сетевой интерфейс 124.

Сервер баз данных паролей - выделенный сервер или система серверов, специализированных высокопроизводительных электронно-вычислительных машин, построенных на мультипроцессорной платформе, предназначенных для высоконагруженных параллельных вычислений, предоставляющих, запущенные на ней сервисы, клиентам сети и управляющая использованием ресурсов разделяемых между сегментами сети. Сервер снабжается производительными контроллерами дисковых массивов (RAID), позволяющими производить, независимые от центральных процессоров, операции с данными. В состав серверной платформы включаются специализированные аппаратные сервисы контроля состояния и диагностики оборудования сервера, а также сервисы дистанционного управления состоянием сервера.

Зашифрованный файл архива представляет интерес для злоумышленника в силу того, что алгоритмы архивирования (сжатия информации без потерь) уменьшают размеры результирующего файла. Более важным аспектом являются используемые в современных архиваторах алгоритмы шифрования при защите архива паролем. Шифрование позволяет изменить представление зловредного программного обеспечения на носителе информации или в оперативной памяти, что делает невозможным отслеживание вредоносного функционала, при передаче таких зашифрованных файлов архивов с вредоносным ПО по компьютерным сетям.

Несколько лет назад правительство США утвердило стандарт DES (Data Encryption Standard), который получил широкое распространение как в государственных учреждениях, так и в банках и других коммерческих организациях. Однако совсем недавно правительство приняло новый стандарт AES, который отличается гораздо более высокой стойкостью. Например, принимая за аксиому, что для взлома DES-пароля потребуется 1 секунда (перебор 2^55 паролей в секунду), то такому же компьютеру потребуется приблизительно 149 триллионов лет для взлома 128-битного AES-пароля.

Один из популярных архиваторов реализует алгоритм шифрования AES. А значит сигнатурные проверки, на которых основываются все антивирусные продукты при поиске компьютерных вирусов, будут бесполезны. Зашифрованный программный код также невозможно проверить на эмуляторе или подвергнуть эвристическому анализу, пока он зашифрован.

При перемещении по сети не зашифрованные данные могут быть проанализированы. Существует ряд устройств сетевой безопасности, противостоящих проникновению из внешней сети нежелательных данных и вредоносных программ. Также, на корпоративные почтовые сервера устанавливают антивирусные средства, основной задачей которых является поиск вредоносных и нежелательных данных и программ в электронной почте. Шифрование содержимого сетевого трафика сводит на нет эффективность перечисленных мер.

Согласно фиг.2 в одном варианте реализации полезной модели клиентский компьютер самостоятельно ведет поиск пароля для зашифрованного файла архива 200. Средства получения и выявления зашифрованного файла архива 210, которые передают управление зашифрованным файлом архива на модуль сбора информации о зашифрованном файле архива 220. На первом этапе модуль сбора информации о зашифрованном файле архива использует локально доступную информацию 201, 202, так или иначе имеющую отношение к зашифрованному файлу архива. Если в одном каталоге с зашифрованным файлом архива находятся другие файлы, то все файлы этого каталога считаются имеющими отношение к этому зашифрованному файлу архива. Если зашифрованный файл архива был получен по электронной почте, то тело электронного письма и все приложенные к письму файлы считаются имеющими отношение к этому зашифрованному файлу архива. Дополнительно, как имеющие отношение к зашифрованному файлу архива, отмечают все письма, полученные из того же источника, с аналогичной темой письма и, возможно, другими характеристиками, по которым можно судить об общем источнике распространения электронного письма с зашифрованным файлом архива.

После этого переходят ко второму этапу поиска данных и информации, имеющей отношение к зашифрованному файлу архива. Все отмеченные на первом этапе данные просматриваются на предмет содержания ссылок на сетевые ресурсы 203 (web-страницы, ftp, р2р сети) и все данные по этим ссылкам также добавляются в список информации, имеющей отношение к зашифрованному файлу архива.

Необязательный этап состоит в отслеживании переписки, которая ведется с использованием служб обмена мгновенными сообщениями 204 (icq, skype, xmpp, jabber, msn, mra, irc и т.п.). При этом при согласии пользователя ведется журнал переписки. И если такой журнал существует, то он также включается в источники информации, имеющие отношение к зашифрованному файлу архива.

Аналогично к источникам, имеющим отношение к зашифрованному файлу архива, может быть отнесен системный реестр операционной системы 205.

На третьем этапе все источники информации, имеющие отношение к зашифрованному файлу архива, проверяются на содержание возможных паролей от зашифрованного файла архива модулем выявления возможных паролей 230. Для этого используются ключевые слова (например, «pass», «password», «pswd», «key» и другие), которые могут указывать на возможный пароль. Также стоит уточнить, что кроме текстовых источников во внимание принимаются и графические файлы, в которых с помощью систем распознавания графических символов и букв в текст (OCR) также отыскивают ключевые слова или сразу комбинацию символов возможного пароля 240. Составляют локальный парольный словарь из тех символов, которые следуют за найденными ключевыми словами, или предшествуют им. Добавляют в локальный парольный словарь простые и известные пароли 240 «111», «qwerty», «abc» и т.п.

Четвертый этап реализован средствами обработки зашифрованных файлов архива для снятия шифра 250 с применением локального парольного списка состоит в использовании локального парольного словаря для генерации вариантов паролей и проверки каждого пароля на зашифрованном файле архива. Если удалось подобрать нужную комбинацию символов для пароля к зашифрованному файлу архива, тогда такая комбинация является действительным паролем зашифрованного архива. Из файла архива извлекаются все его элементы и проверяются известными из уровня техники средствами антивирусной защиты 260. Если, по меньшей мере, один из извлеченных элементов зашифрованного файла архива является, по заключению средств антивирусной защиты, вредоносным программным обеспечением 270, то все дальнейшие действия и операции с таким зашифрованным файлом архива приостанавливаются 280. Создается запись в журнале событий и ставится в известность администратор системы 280. Также при попытке доступа к такому зашифрованному файлу архива кем-либо отвечают сообщением о том, что зашифрованный файл архива заблокирован.

Если расшифрованные элементы не вызывают подозрений, то клиентский компьютер запоминает основные параметры такого зашифрованного файла архива, пароль к нему и ставит отметку о дате проверки 209.

Пятый этап на клиентском компьютере выполняют, если есть связь с сервером баз данных паролей. Клиентский компьютер передает на сервер баз данных паролей параметры и характеристики зашифрованного файла архива и найденный пароль для такого архива 290.

Альтернативный вариант реализации полезной модели предусматривает в первую очередь обнаружение зашифрованного файла архива средствами получения и выявления зашифрованного файла архива 210, отправку модулем сбора информации о зашифрованном файле архива 220 на сервер баз данных паролей 206 параметров и характеристик зашифрованного файла архива 200, которые принимаются средствами приема сервера баз данных паролей и передаются на средства сравнения параметров и характеристик зашифрованных файлов архивов. Средства сравнения параметров и характеристик зашифрованных файлов архивов на сервере баз данных паролей выбирают наиболее подходящий пароль из списка, учитывая полученные от клиентского компьютера через периферийные устройства компьютерной сети характеристики файла архива. Подходящие пароль или список паролей пересылается средствами отправки данных по компьютерной сети от сервера баз данных паролей на средства приема данных клиентского компьютера. Средства приема данных компьютера клиентского компьютера передают пароли в модуль сбора информации о зашифрованном файле архива, который в свою очередь вставляет ссылку на этот список паролей в перечень информации, имеющей отношение к зашифрованному файлу архива. Если список паролей не был получен, то клиентский компьютер самостоятельно ведет поиск пароля для зашифрованного файла архива. На первом этапе для этих целей используется локально доступная информация 201, 202, так или иначе имеющая отношение к зашифрованному файлу архива. Если в одном каталоге с зашифрованным файлом архива находятся другие файлы, то все файлы этого каталога считаются имеющими отношение к этому зашифрованному файлу архива и ссылки на них добавляются в перечень информации, имеющей отношение к зашифрованному файлу архива. Если зашифрованный файл архива был получен по электронной почте, то тело электронного письма и все приложенные к письму файлы считаются имеющими отношение к этому зашифрованному файлу архива. Дополнительно, как имеющие отношение к зашифрованному файлу архива, отмечают все письма, полученные из того же источника, с аналогичной темой письма и, возможно, другими характеристиками, по которым можно судить об общем источнике распространения электронного письма с зашифрованным файлом архива.

После этого модуль сбора информации о зашифрованном файле архива, анализирует и ищет данные и информацию, имеющую отношение к зашифрованному файлу архива. Все отмеченные данные в перечне информации, имеющей отношение к зашифрованному файлу архива, просматриваются на предмет содержания ссылок на сетевые ресурсы 203 (web-страницы, ftp, р2р сети) и все данные по этим ссылкам также добавляются в список информации, имеющей отношение к зашифрованному файлу архива.

Необязательный этап состоит в отслеживании переписки 204, которая ведется с использованием служб обмена мгновенными сообщениями (icq, skype, xmpp, jabber, msn, mra, irc и т.п.). При этом при согласии пользователя ведется журнал переписки. И если такой журнал существует, то он также включается в источники информации, имеющие отношение к зашифрованному файлу архива.

Модуль выявления возможных паролей 230 в информации, имеющей отношение к зашифрованному файлу архива, формирующий локальный парольный список, проверяет источники информации, имеющие отношение к зашифрованному файлу архива, на содержание возможных паролей от зашифрованного файла архива. Для этого используются ключевые слова (например, «pass», «password», «pswd», «key» и другие), которые могут указывать на возможный пароль. Также стоит уточнить, что кроме текстовых источников во внимание принимаются и графические файлы, в которых с помощью систем распознавания графических символов и букв в текст (OCR) также отыскивают ключевые слова или сразу комбинацию символов возможного пароля 240. Модуль выявления возможных паролей в информации, имеющей отношение к зашифрованному файлу архива, составляет локальный парольный словарь из тех символов, которые следуют за найденными ключевыми словами, или предшествуют им. При этом ссылка на локальный парольный список указывает на то, что все пароли из этого списка должны быть включены в локальный парольный словарь. Добавляют в локальный парольный словарь простые и известные пароли «111», «qwerty», «abc» и т.п.

Средства обработки зашифрованных файлов архива для снятия шифра 250, используют локальный парольный словарь для генерации вариантов паролей и проверки каждого пароля на зашифрованном файле архива. Если удалось подобрать нужную комбинацию символов для пароля к зашифрованному файлу архива, тогда такая комбинация является действительным паролем зашифрованного архива. Из файла архива извлекаются все его элементы и проверяются известными из уровня техники антивирусными средствами 260. Если, по меньшей мере, один из извлеченных элементов зашифрованного файла архива является, по заключению антивирусных средств, вредоносным программным обеспечением 270, то все дальнейшие действия и операции с таким зашифрованным файлом архива приостанавливаются 280. Создается запись в журнале событий и ставится в известность администратор системы. Также при попытке доступа к такому зашифрованному файлу архива кем-либо отвечают сообщением о том, что зашифрованный файл архива заблокирован.

Если есть связь с сервером баз данных паролей 206, то клиентский компьютер передает на сервер баз данных паролей параметры и характеристики зашифрованного файла архива 200 и найденный пароль. Если пароль найти не удалось, то в ответ сервер баз данных паролей выбирает из существующего списка паролей те, которые в большей степени подходят по характеристикам зашифрованного файла архива. Выбранные пароли передаются клиентскому компьютеру. Если параметры и характеристики зашифрованного файла архива полностью известны и нет сомнений, в том, что архив содержит вредоносное программное обеспечение, то кроме пароля отсылаются данные с описаниями содержащихся в зашифрованном файле архива вредоносных программ, и рекомендациями по противодействию этим вредоносным программам. Используя полученные пароли и сгенерированные на их основе комбинации символов, проверяются на зашифрованном файле архива. Если удалось подобрать нужную комбинацию символов для пароля к зашифрованному файлу архива, тогда такая комбинация является действительным паролем зашифрованного архива. Из файла архива извлекаются все его элементы и проверяются известными из уровня техники антивирусными средствами. Если, по меньшей мере, один из извлеченных элементов зашифрованного файла архива является, по заключению антивирусных средств, вредоносным программам обеспечением, то файл архива и найденный действительный пароль через сеть пересылаются в сервер баз данных паролей. Все дальнейшие действия и операции с таким зашифрованным файлом архива приостанавливаются. Создается запись в журнале событий и ставится в известность администратор системы. Также при попытке доступа к такому зашифрованному файлу архива кем-либо отвечают сообщением о том, что зашифрованный файл архива заблокирован.

Если описанные этапы не дали результата, и действительный пароль так и не удалось обнаружить, то на сервере баз данных паролей начинают отслеживать по присланным с клиентского компьютера характеристикам зашифрованного файла архива статистику появления похожих архивов на других клиентских компьютерах сети. Если распространение конкретного экземпляра зашифрованного файла архива в сети достигает критической концентрации, сопоставимой с эпидемией компьютерного вируса, то система активирует распределенную вычислительную сеть для поиска действительного пароля для данного конкретного зашифрованного файла архива. Такая распределенная вычислительная сеть состоит из мощных серверных станций, а также в решении распределенной задачи по желанию могут принимать участие клиентские компьютеры (в зависимости от настроек, выставленных администратором клиентского компьютера). После нахождения действительного пароля зашифрованного файла архива из файла архива извлекаются все его элементы и проверяются известными из уровня техники антивирусными средствами. Если, по меньшей мере, один из извлеченных элементов зашифрованного файла архива является, по заключению антивирусных средств, вредоносным программным обеспечением, то об этом оповещаются все клиентские станции, от которых были получены сообщения с описанием характеристик такого зашифрованного файла архива. На клиентских станциях все дальнейшие действия и операции с таким зашифрованным файлом архива приостанавливаются. Создается запись в журнале событий и ставится в известность администратор системы. Также при попытке доступа к такому зашифрованному файлу архива кем-либо отвечают сообщением о том, что зашифрованный файл архива заблокирован.

Для целей оптимизации каждая запись о пароле в сервере баз данных паролей имеет параметр, отражающий актуальность каждого пароля. Если выстроить записи о паролях по этому параметру, то первым в таком списке окажется самый часто употребляемый пароль, т.е. отчеты об успешном расшифровывании с применением которого за последний период времени приходят чаще всего. Соответственно в конце списка окажутся единичные случаи использования пароля, отчет об успешном расшифровывании с применением которого был получен месяц назад или более того. Второй вариант оптимизации базы данных паролей состоит в удалении давно не используемых паролей таким образом, что в базе данных паролей может находиться не более чем N самых популярных паролей, или те пароли, отчет об успешном расшифровывании с применением которых был получен более чем М дней назад, автоматически исключаются из базы данных паролей (где М, N - натуральные числа).

Следует также отметить, что приведенные в описании примеры являются иллюстративными и не предназначены для ограничения объема и сущности заявленной полезной модели, которые установлены в прилагаемой формуле.

1. Система выявления зашифрованного вредоносного программного обеспечения, содержащая средства получения и выявления зашифрованного файла архива, которые предназначены для получения зашифрованного файла архива и формирования управления зашифрованным файлом; модуль сбора информации о зашифрованном файле архива, предназначенный для приема управления зашифрованным файлом архива от средств получения и выявления зашифрованного файла составления перечня информации, имеющей отношение к зашифрованному файлу архива; модуль выявления возможных паролей, предназначенный для получения зашифрованного архива с перечнем информации, имеющей отношение к этому файлу, от модуля сбора, поиска в информации, имеющей отношение к зашифрованному файлу архива, обнаруживая ключевые слова, указывающие на присутствие пароля, составления локального парольного словаря из строк символов, которые следуют за найденными ключевыми словами; средства обработки зашифрованных файлов архива, предназначенные для приема заполненного локального парольного словаря и зашифрованного файла архива от модуля выявления возможным паролей, а также для того, чтобы при снятии шифра с применением локального парольного списка произвести попытку снять шифр с зашифрованного файла архива с применением строк символов из локального парольного списка и в случае неудачи подбора нужной комбинации символов пароля к зашифрованному файлу архива, при этом такая комбинация является действительным паролем зашифрованного архива, кроме того, упомянутое средство обработки зашифрованных файлов предназначено для извлечения из файла всех его элементов; средства антивирусной защиты в клиентском компьютере, предназначенные для приема элементов, извлеченных из файла средством обработки зашифрованных файлов архива, а также для выявления вредоносного программного обеспечения и выдачи управляющих команды для блокировки дальнейшего распространения выявленного вредоносного программного обеспечения и зашифрованного файла архива, из которого такое вредоносное программное обеспечение было получено.

2. Система по п.1, в которой перечень информации, имеющей отношение к зашифрованному файлу архива, включает файлы, находящиеся в одном каталоге с зашифрованным файлом архива.

3. Система по п.1, в которой перечень информации, имеющей отношение к зашифрованному файлу архива, включает тело электронного письма и все приложенные к письму файлы, если зашифрованный файл архива был получен по электронной почте.

4. Система по п.3, в которой перечень информации, имеющей отношение к зашифрованному файлу архива, включает все письма, полученные из того же источника, с аналогичной темой письма и другими характеристиками, по которым можно судить об общем источнике распространения электронного письма с зашифрованным файлом архива.

5. Система по п.1, в которой упомянутый модуль выявления возможных паролей предназначен также для обнаружения ключевых слов путем поиска среди и внутри текстовых файлов.

6. Система по п.1, в которой упомянутый модуль выявления возможных паролей предназначен также для обнаружения ключевых слов путем поиска среди и внутри графических изображений с использованием распознавания графических символов и букв в текст (OCR).

7. Система по п.1, в которой упомянутый модуль выявления возможных паролей предназначен также для дополнения локального парольного словаря строками символов, предшествующих обнаруженному ключевому слову.

8. Система по п.1, в которой упомянутый модуль выявления возможных паролей предназначен также для дополнения локального парольного словаря простыми и известными паролями.

9. Система по п.1, в которой средства обработки зашифрованных файлов архива для снятия шифра с применением пароля предназначены также для генерации вариантов паролей из локального парольного списка, которые добавляются в локальных парольный список.

10. Система по п.1, в которой упомянутое средство антивирусной защиты предназначено также для активации оповещения администратора системы по управляющим командам для блокировки дальнейшего распространения выявленного вредоносного программного обеспечения и зашифрованного файла архива.

11. Система по п.1, в которой упомянутое средство антивирусной защиты предназначено также для создания записи в журнале событий по управляющим командам для блокировки дальнейшего распространения выявленного вредоносного программного обеспечения и зашифрованного файла архива.

12. Система по п.1, в которой упомянутое средство антивирусной защиты предназначено также для выдачи сообщения о блокировке зашифрованного файла архива при попытке доступа к такому зашифрованному файлу архива кем-либо по управляющим команда для блокировки дальнейшего распространения выявленного вредоносного программного обеспечения и зашифрованного файла.

13. Система по п.1, в которой перечень информации, имеющей отношение к зашифрованному файлу архива, содержит журнал переписки служб обмена мгновенными сообщениями, если пользователь разрешил создание такого журнала и использование как источника информации, имеющего отношение к зашифрованному файлу архива.

14. Система по п.1, в которой перечень информации, имеющей отношение к зашифрованному файлу архива, включает системный реестр операционной системы.

15. Система по п.1, которая представляет собой клиентский компьютер.

16. Система по п.1, которая представляет собой средства периферийного устройства, предназначенные для параллельного осуществления информационного обмена между сетевыми узлами.

17. Система по п.1, в которой средства антивирусной защиты в клиентском компьютере предназначены также для передачи на сервер баз данных паролей, параметров и характеристик зашифрованного файла архива и результатов подбора комбинации символов пароля, при этом такая передача осуществляется после выявления вредоносного программного обеспечения.

18. Система выявления зашифрованного вредоносного программного обеспечения, содержащая по меньшей мере один клиентский компьютер, содержащий средства получения и выявления зашифрованного файла архива, предназначенные для формирования управления зашифрованным файлом архива; модуль сбора информации о зашифрованном файле архива, предназначенный для получения управления зашифрованным файлом архива, составления перечня информации, имеющей отношение к зашифрованному файлу архива, и осуществления связи с сервером баз данных паролей посредством периферийных устройств, обеспечивающих функционирование компьютерной сети; модуль выявления возможных паролей в информации, имеющей отношение к зашифрованному файлу архива, предназначенный для получения зашифрованного файла архива с перечнем информации, имеющей отношение к этому файлу, от модуля сбора, а также для формирования локального парольного словаря, и осуществления связи с сервером баз данных паролей посредством периферийных устройств, обеспечивающих функционирование компьютерной сети; средства обработки зашифрованных файлов архива, предназначенные для приема заполненного локального парольного словаря и зашифрованного файла архива от модуля выявления возможным паролей, а также для снятия шифра с применением сформированного локального парольного словаря; средства антивирусной защиты клиентского компьютера, предназначенные для выдачи управляющих команд по сигналу, полученному от средства обработки, для блокировки дальнейшего распространения выявленного вредоносного программного обеспечения и осуществления связи с сервером баз данных паролей посредством периферийных устройств, обеспечивающих функционирование компьютерной сети; при этом упомянутый сервер баз данных паролей предназначен для взаимодействия посредством упомянутых периферийных устройств с, по меньшей мере, одним клиентским компьютером; при этом сервер базы данных имеет средства обработки запросов на выдачу паролей из базы данных паролей клиентскому компьютеру, при этом указанные запросы содержат информацию о параметрах и характеристиках зашифрованного файла архива; кроме того, упомянутый сервер базы данных содержит базу данных паролей и описаний соответствующих каждому паролю зашифрованных файлов архивов, а также средства выдачи паролей из базы данных паролей с учетом параметров и характеристик зашифрованного файла архива, и/или управляющих команд блокировки для средств антивирусной защиты в клиентском компьютере, средства обработки запросов и средства выдачи паролей для связи с клиентским компьютером используют периферийные сетевые устройства; периферийные сетевые устройства, предназначенные для обеспечения функционирования компьютерной сети.

19. Система по п.18, в которой модуль сбора информации о зашифрованном файле архива, составляющий перечень информации, имеющей отношение к зашифрованному файлу архива, осуществляет запрос пароля в сервере баз данных паролей и сообщает в запросе параметры и характеристики зашифрованного файла архива.

20. Система по п.19, в которой сервер баз данных паролей предназначен для выборки в базе данных паролей с учетом характеристик и параметров зашифрованного архива, и если все параметры и характеристики указывают на один единственный пароль или список паролей, а также для ответа на запрос, сообщая эти пароли.

21. Система по п.20, в которой модуль сбора информации о зашифрованном файле архива предназначен также для оставления в перечне информации, имеющей отношение к зашифрованному файлу архива, ссылку на полученные в запросе пароля при получении паролей в ответ на свой запрос.

22. Система по п.18, в которой перечень информации, имеющей отношение к зашифрованному файлу архива, включает файлы, находящиеся в одном каталоге с зашифрованным файлом архива.

23. Система по п.18, в которой перечень информации, имеющей отношение к зашифрованному файлу архива, включает тело электронного письма и все приложенные к письму файлы, если зашифрованный файл архива был получен по электронной почте.

24. Система по п.23, в которой перечень информации, имеющей отношение к зашифрованному файлу архива, включает все письма, полученные из того же источника, с аналогичной темой письма и, возможно, другими характеристиками, по которым можно судить об общем источнике распространения электронного письма с зашифрованным файлом архива.

25. Система по п.18, в которой локальный парольный словарь дополняется простыми и известными паролями.

26. Система по п.18, в которой средства обработки зашифрованных файлов архива предназначены также для генерации вариантов паролей из локального парольного списка с целью снятия шифра с применением пароля, а также для добавления вариантов паролей в локальный парольный список.

27. Система по п.18, в которой антивирусные средства защиты предназначены также для оповещения администратора системы по получении управляющих команд для блокировки дальнейшего распространения выявленного вредоносного программного обеспечения и зашифрованного файла архива.

28. Система по п.18, в которой средства антивирусной защиты предназначены также для создания записи в журнале событий по получении управляющих команд для блокировки дальнейшего распространения выявленного вредоносного программного обеспечения и зашифрованного файла архива.

29. Система по п.18, в которой средства антивирусной защиты предназначены для выдачи сообщения о блокировке зашифрованного файла архива при попытке доступа к такому зашифрованному файлу архива кем-либо по получении этими средствами антивирусной защиты управляющих команд, для блокировки дальнейшего распространения выявленного вредоносного программного обеспечения и зашифрованного файла архива.

30. Система по п.18, в которой перечень информации, имеющей отношение к зашифрованному файлу архива, содержит журнал переписки служб обмена мгновенными сообщениями, если пользователь разрешил создание такого журнала и использование как источника информации, имеющего отношение к зашифрованному файлу архива.

31. Система по п.18, в которой перечень информации, имеющей отношение к зашифрованному файлу архива, включает системный реестр операционной системы.

32. Система по п.18, в которой средства антивирусной защиты предназначены для передачи на сервер баз данных паролей параметры и характеристики зашифрованного файла архива, а также результатов подбора комбинации символов пароля после выявления вредоносного программного обеспечения.

Градирня (варианты) // 114766

Башенная "мокрая" градирня, объединенная с дымовой трубой // 114079

Система защиты от утечек информации // 111325

Полезная модель относится к средствам вычислительной техники и может быть использовано для предотвращения утечек информации через Интернет, электронную почту, сменные носители, компакт-диски, Bluetooth, инфракрасный порт и принтер

Аптечка для индивидуальной защиты от клеща // 126595

Локальная компьютерная сеть с комплексной защитой объектов информатизации // 76512

Съемный носитель информации // 102139

Устройство защиты вычислительных сетей и систем от компьютерных атак // 113041

Устройство для медицинской диагностики // 51848

Устройство выявления уязвимостей в беспроводных сетях типа wi-fi // 124102

Полезная модель относится к беспроводным технологиям, а более конкретно к выявлению уязвимостей в беспроводных сетях типа Wi-Fi Техническим результатом, на достижение которого направлена полезная модель, является расширение функциональных возможностей за счет выявления уязвимостей протоколов аутентификации Wi-Fi сетей

Устройство для обработки аналоговых изображений и хранения и выдачи потребителю оцифрованных изображений // 120802

Электронный sms-диспетчер // 103030