Антивирус – не панацея. Даже обладатели премиум-версий могут оказаться жертвами вирусов, лишиться данных, денег и нервов. Рассказываем, почему антивирусное ПО не всегда выручает и что делать, чтобы не стать жертвой.
Сначала вирус, потом антивирус
Антивирусы появились в ответ на создание вирусов. В целом так происходит и по сей день: сначала вирусописатель создаёт трояна, червя и им подобных. И только потом запись о нём добавляется в базу, разрабатывается лекарство, обновление безопасности для операционной системы и т.п.
Это сигнатурный метод обнаружения – вирус определяется по сигнатуре (описанию) из базы.
Есть, конечно, такая штука, как эвристический анализ, который использует большинство продвинутых антивирусов. В процессе анализа антивирус контролирует все действия, которые выполняет «подопытная» программа. Если обнаруживается подозрительная активность (действия, которые характерны для вирусов), программа блокируется.
Проактивная (поведенческая, превентивная) защита как раз работает на базе эвристического анализа. Она содержит базу данных наборов правил, которые описывают поведение каждой программы: что она должна делать, а что не должна.
При эвристическом анализе и проактивной защите антивирус не сравнивает код с образцом, а исследует поведение программы.
Такой подход позволяет, с одной стороны, снизить нагрузку на ресурсы устройства (потому что проверяется не всё подряд, а только активные программы), с другой – распознать вирусы, которых ещё нет в базе.
А ещё есть веб-защита, блокировка динамического содержимого в браузерах, анализ куков, виртуализация браузера, антифишинг и другие плюшки…
Проблема в том, что на каждую гайку найдётся болт с левой резьбой. Вирусописатели тоже не лыком шиты. Разрабатывая вирусы, они тестируют их на свежих версиях антивирусов, проверяют в сервисе VirusTotal и всячески минимизируют шансы обнаружить своё детище. И маскируются они, надо сказать, здорово, раз вирусы до сих пор повсюду.
WannaCry показал, насколько мы защищены
Атака WannaCry, о которой стало известно 12 мая 2017 года, показала реальную ситуацию с кибербезопасностью в мире. Компьютеры в больницах, школах, полиции, государственных учреждениях, не говоря уже о домашних ПК, блокировались в 99 странах мира. По данным Avast, за первые 24 часа атаки было заражено 100 тыс. компьютеров.
#wcry #WannaCry #WannaCrypt0r #ransomware hitting 100k Avast detections in less than 24 hours. 57% in Russia. Patch your systems!
— Jakub Kroustek (@JakubKroustek) 13 мая 2017 г.
Эксперты заявили: в заражении виноваты сами пользователи. О вирусе стало известно в феврале, в марте Microsoft выпустила обновление, которое не давало заразиться WannaCry. Кто не обновился, получил требование выкупа – 300-600 долларов в биткоинах.
Компьютеры заражались, если пользователи переходили по вредоносной ссылке из e-mail.
Атаку остановили совершенно случайно. Вирус обращался к домену iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, и как только автор твиттера @MalwareTechBlog зарегистрировал его на себя, вирус не смог больше работать. Но через время пошла вторая волна атаки – вирус перестал зависеть от сайта.
Помог ли антивирус? Нет, не помог.
Следующей бомбой стал вирус Petya/NotPetya. С 27 июня он наследил в 64 странах. Виноватым назначили софт M.E.Doc. Отключалось всё: банки, кафе, отделения служб доставки, магазины… Заражение также происходило через электронную почту – при открытии вложения из письма.
Помог антивирус? И снова нет. Хотя штатный Windows Defender был способен распознать угрозу, как утверждает Microsoft.
Вирусы, которые прячутся в картинках
В августе 2017 года по сети стал распространяться троян SyncCrypt, который прятался в легитимных изображениях. Он запросто обходил антивирусы, а затем вымогал у пользователей деньги (429 долларов) за возвращение доступа к данным.
Вредонос рассылали в спам-письмах с WSF-вложениями, замаскированными под судебный приказ. После открытия вложения встроенный JScript якобы загружал с внешнего сайта несколько изображений. В них содержались компоненты SyncCrypt, помещенные в ZIP-файл.
Заражение происходило после того, как JScript разархивировал файлы sync.exe, readme.png и readme.html (названия могли отличаться). Но если бы пользователь напрямую перешел по URL и открыл изображения, то увидел бы просто обложку альбома «& They Have Escaped the Weight of Darkness» исландского певца Олафура Арнальдса.
Фактически Windows выполняет незапланированное задание – Sync. Исполняемый файл после запуска начинал сканировать компьютер, шифрует файлы с помощью AES-алгоритма и встроенного публичного ключа RSA-4096 и менял расширения на .kk. Важные системны папки (windows, program files (x86), program files, programdata, winnt, system volume information, desktop\readme, $recycle.bin) вирус почему-то пропускал.
По данным ViruseTotal, только один из 58 антивирусов смог обнаружить вирус. Но ваш ли? Вопрос риторический.
Майнеры и антивирусы
Майнер – это программное обеспечение, которое использует ресурсы вашего компьютера или смартфона для майнинга криптовалют. Обычно майнеры создаются на основе легального кода сервиса Coinhive. Они встраиваются в сайты, и пока вы сидите на них, майнят монеты для хакеров. Либо устанавливаются на ваше устройство.
Майнеры не крадут ваши личные данные и не шифруют ваш жесткий диск, чтобы затем вымогать деньги за расшифровку. Но они используют ваши вычислительные мощности, замедляют работу вашего устройства, приводят к его износу. Воруют ваше время, наконец!
Майнинг сам по себе является стандартным процессом.
Перебор значений – это не попытка украсть ваши данные, отследить нажатия клавиш, модифицировать либо стереть файлы, отредактировать содержимое загрузочного сектора и т.п. Из-за этого антивирусам довольно сложно обнаруживать майнеры.
На сайте Dr. Web можно посмотреть, сколько майнеров обнаруживается сейчас. Вот, например, статистика с 1 января – за неполный месяц выпущено 2094 обновления базы сигнатур антивируса, касающихся майнеров:
К тому же майнеры постоянно совершенствуются. Продвинутые варианты, например, отключатся, когда вы загружаете игру или «тяжелое» приложение, чтобы вы не заподозрили странной активности. Либо запускаются, когда вы не используете смартфон. Так что если гаджет в кармане внезапно нагрелся, будьте начеку: вас либо прослушивают и отслеживают, либо майнят на вашем смартфоне.
Ходить по порносайтам для того, чтобы «подцепить» майнер или другой вирус, вовсе не обязательно. Так, к 2015 году хакеры взломали сайт ВЦИОМ и заразили десятки тысяч пользователей.
Антивирусы с ворованными базами
Не любите «Антивирус Касперского» за прожорливость и медлительность? Его разработчики утверждают, что другие ещё хуже. Дескать, воруют базы у «Лаборатории Касперского» и ViruseTotal, а сами – лишь красиво покрашенный шарик.
Евгений Касперский на форуме AntiMalware заявлял:
Какой же у них нафиг вирус-лаб в этом Авасте, откуда у них поддержка – там нет практически никого! Кроме автомата по краже детекта и второго автомата по выпуску апдейтов, а?
Разработчик рассказал о совместном эксперименте с немецким «Компьютер-Билдом». «Лаборатория Касперского» скомпилировала пару десятков «пустышек» (весь код – страница вычислений без всякого смысла), половину из них добавила в список сигнатур, другую половину – нет.
Вскоре эти вирус-детекты появились в антивирусах, которые, по мнению «Лаборатории Касперского», воруют сигнатуры. Чистые же «пустышки» не детектировал никто.
Конечно, есть мнение, что разработчики антивирусов сами создают вирусы, чтобы обезвреживать их. Но мы не будем его подтверждать. Жизнь тяжелая, все крутятся как могут.
Реально ли жить без антивируса
Хакер Роберт О’Каллахан, бывший сотрудник Mozilla, в январе 2017 года написал в блоге о реальной ситуации с антивирусами. Материал всколыхнул интернет.
Сначала пользователи недоумевали: как же так, нельзя же жить без антивируса, злобные хакеры же не дремлют и всё такое… Но на самом деле О’Каллахан оказался прав.
Хакер считает антивирусы ужасными, потому что они:
- отбирают колоссальное количество ресурсов;
- нередко блокируют полезные обновления программного обеспечения;
- пищат в самый неподходящий момент;
- задают слишком много вопросов;
- увеличивают время разработки программного обеспечения, так как разработчики обязаны заботиться о том, чтобы не попасть под фильтры антивирусов;
- да и вообще реально никого не защищают.
Если вы хотите обойтись без антивируса, следуйте простым правилам:
1. Скачивайте приложения с официальных сайтов или магазинов приложений. Заодно попрощайтесь с пиратским ПО :)
2. Не заходите на порносайты и в онлайн-казино. И уж тем более ничего оттуда не скачивайте! Да и вообще внимательнее смотрите на то, что качаете – вирус можно загрузить даже со взломанного сайта ВЦИОМ.
3. Не запускайте самораспаковывающиеся архивы или .exe-файлы, которые вам присылают друзья, коллеги (якобы друзья, якобы коллеги, друзья друзей – список можно продолжить). Приличные люди отправляют ссылку на оф. сайт или на страницу в магазине приложений, а не непосредственно на исполняемый файл.
4. Внимательно изучайте каждую форму, которую заполняете. Не становитесь жертвой фишеров. Антивирус, кстати, не поможет, если вы сами отдадите личные данные (и пароль от банковского аккаунта!) левому сайту, который так похож на настоящий.
5. Сканируйте подозрительные файлы и ссылки в сервисе VirusTotal. Альтернатива – Kaspersky Virus Desk, ESET Online Scanner, Panda Cloud Cleaner, HouseCall.
6. Регулярно обновляйте операционную систему. Если у вас Windows, то самой свежей версии встроенного Windows Defender, по мнению О’Каллахана, вам хватит с головой.
И будет вам счастье :)
P.S.: Да, в статье много примеров о Windows. С macOS ситуация получше, но дыр в ней тоже хватает.
55 комментариев
Форум →…Не заходите на порносайты …
смешная шутка, зачем еще покупать компьютер?! ))
@HleBoPyoG, кстати, даже почему-то немного удивительно: левые казино, проституция, наркомания и т.п. неотъемлемо связаны с грязью, болезнями, инфекциями и пр., онлайн-казино, порно-сайты – тоже :D
А с чего автор решил, что везде только новейшие вирусы, которые еще в сигнатуры не попали?
Странный посыл. Понятно, что антивирусы не гарантируют стопроцентной защиты, но явно уменьшают шансы вашей системе заразиться. А уж утверждения о том, что они слишком часто пищат и задают много вопросов – ну совсем высосаны из пальца. :)
Что же касается кучи компьютеров, заразившихся перечисленными рансомварями, практически наверняка в этих организациях не очень хорошо обстоят дела со своевременностью установки обновлений ОС и антивирусов (если они вообще есть).
@Илья, на самом деле я лично тоже придерживаюсь мнения, что толку от них мало. У меня как-то был двухгодичный эксперимент на Вин7 – был отключен даже штатный брэндмауэр, по истечении двух лет установленный лицензионный антивирус ничего не показал. Аналогично сейчас на Вин10 – тут штатный защитник работает, я вполне спокоен.
@tov.Polkovnik, мне кажется, это во многом от пользователя зависит. Айтишники и “разбирающиеся в вопросе” и в интернете ведут себя более “осмысленно” (в плане не нажимания куда не следует).
@Илья, это да, но в этом случае и антивирус может не спасти ведь.
Я с 2000 года в интернете и ни разу не пользовался антивирусом и ни разу вирусов не ловил. Что я делаю не так?
@Mihael Isaev, Ты сидишь в северокорейском интернете. А, может, это вообще локальная сеть. Проверь.
@Mihael Isaev, тупишь, сходи проверься.
@Mihael Isaev, с чего ты взял что у тебя никогда не было вирусов? По-твоему, вирусы всегда выводят порно-баннер на весь экран? Кроме вирусов, есть адваре, угонщики браузеров и другие неприятные вещи.
> Кроме вирусов, есть адваре, угонщики браузеров и другие неприятные вещи.
@picatchy, и я их не ловил ни разу ?
@Mihael Isaev, можно попробовать ходить куда-то кроме хоумпейджа:)
Омерзительная и бестолковая статья. Вместо того, чтобы пропагандировать безопасность, вы пишете «не устанавливайте» антивирус. Я имел дело с коллективом дамочек, которые пренебрегали антивирусом, и их компьютерами. Иногда их работа полностью парализовывалась из-за тонн вирусни. А это была важная и ответственная работа. То же я наблюдал и у других безалаберных знакомых. Только одна банковская статистика по кражам из-за троянов чего стоит!
@Marrakesh, почему вы не настроили политику на компьютерах дамочек, разрешив запуск только Word, Excel и 1С? Вирус просто не запустится, если у него нет прав. Проблема не в дамочках, а в вас.
@IRT, В теории все примерно как вы описали, а на практике люди не компьютеры и по инструкциям работать не будут. Далее встанет вопрос профпригодности и он может решиться далеко не в вашу пользу, а в пользу тех самых дамочек, которые выполняют ответственную работу, а вы им не то что б не помогаете, но даже мешаете.
@harry33, причем здесь инструкции и профпригодность? Берете компуктер дамочки, настраиваете политики так, чтобы у нее работало все необходимое для выполнения должностных обязанностей (почта там, 1с, пасьянс), но не загружались файлы из сети, кукисы всякие не хранились, медиа-контент не воспроизводился, юсб не работал (или работали только учтенные флешки с принудительной проверкой установленным на АРМ антивирусом, например), никакие системные службы ковырять не могла и т.д. и т.п. Проблема решена, дамочка не шибко довольна заблокированным ютьбом, но работать может в полной мере.
@tov.Polkovnik, Совет из разряда: хорошо быть богатым и здоровым. Ну жизнь – она сложнее и найдется масса ситуаций, когда вас с вашими рациональными политиками в бараний рог свернут и обоснуют это с такой легкостью, что вам и не снилось.
@harry33, не надо ля-ля. На моей работе с большинства такие политики и ничего, никто не жалуется. Вы уж извините, но если мне бухгалтер обоснует необходимость доступа к ютьюбу и убедит меня в ней, я ему премию выпишу ;)
@tov.Polkovnik, выписывайте мне премию. На ютуб лежит видеоинструкция по последним изменениям налогового законододательства. Из-за самодеятельности админа мне придется записываться на отдельные курсы.
@harry33, у вас, видимо, частный случай.
@tov.Polkovnik, “На моей работе с большинства такие политики и ничего, никто не жалуется.” Интересная формулировка. “У большинства такие политики…” – значит есть часть, у которых таких политик нет. “..ни кто не жалуется” – кому не жалуется и как вы определили что не жалуются? Вы опрос проводили? Да может там половина офиса уже планы расправы согласовывают.
@harry33, да, есть такая часть. Например, я. И сис.админ. И еще несколько сотрудников.
Я не слышал жалоб, айтишникам они тоже не приходят. Если кому-то нужен доступ куда-то, куда он закрыт, то доступ предоставляется при условии обоснованности и отсутствия альтернативы.
А чтобы поиграть, посидеть в соц.сети или посмотреть киношку, у всех есть личные телефоны, планшеты и т.п.
Не знаю, может, и готовят какую расправу, но какую? Разве что в подворотне меня порезать :)
@tov.Polkovnik, Все что вы описываете имеет место быть. Просто надо учитывать, что бывают и другие ситуации и набор условий в которых надо уметь правильно работать. Как вы относитесь к политике запретов, которые проповедует наш законодательный орган, именуемый Госдумой?
@IRT, Потому что это ИХ компьютеры. А я просто по-дружески помогал.
@Marrakesh, никогда не мог понять, где люди находят вирусы в таком количестве.
Политики доступа вам в помощь, а то какой-то странный из вас сис.админ: не запретили в поле вводить “-1”, а потом удивляетесь, почему пользователь таки ввел “-1” и таки все сломал.
Зверей не ловлю потому, что я не любопытный. Антивирь не юзаю.
А лучше не пользоваться Windows, если вы не геймер.
Советы автора правильны и давно извесвестны.
Но антивирус, даже на мак, все равно нужен. Вирус вполне может сесть в браузер и открывать, например, каждый раз, окно с рекламой если вы кликаетаете по любой ссылке. Могу быть и более неприятные вещи если вирус попал в программу доверенного производителя, как это было в прошлом году с даунлоад менеджером Folx от Eltima. Вирус был отловлен в обновлении, а производитель признал факт заражения, предупредил пользователей.
Что касается Defender, когда никогда он поможет, но в целом этот антивирус решает позавчерашние задачи вчерашними средствами.
Насчет фишинга – особое внимание уделяйте адресам откуда пришел мэйл и стилю письма. Внимательно изучите какие сообщения может прислать ваш доверенный сервис. Например, PayPal даже периодически шлет письма предупреждения что не следует доверять письмам где вам нужно срочно сменить пароль и вообще какие то данные. И уж точно не переходит на сайт сервиса из письма.
@pofigist, OMG, ?♂️ вы на маке антивирусом пользуетесь? ?♂️
@Mihael Isaev, Да, пользуюсь. Eset.
Презервативы появились в ответ на желание не получить беременность и на венерические заболевания.
Норм пацик считает презервативы ужасными, потому что они:
– неудобно и сложно надеваются;
– нередко мешают нормальной эрекции;
– слетают в самый неподходящий момент;
– создают не те ощущения;
– увеличивают время подготовки к половому акту в разы;
да и вообще реально никого не защищают.
Если вы хотите раз и навсегда проститься с презервативами, то вы должны:
– заниматься сексом только с проверенными девушками со справкой из гинекологии;
– откажитесь от анального и, желательно, оргального секса;
– не спите с девушками, которых вам присылают друзья, приличные люди посоветуют вам хороший стриптиз-клуб;
– внимательно изучайте справки и заполняйтесь специальную форму о проведении полового акта – не доверяйте девушкам без юридической поддержки;
– убедитесь в употреблении ей противозачаточных;
– регулярно обновляйте девушку!
@Watson1, Ирина Чернова, перелогиньтесь :)
практически везде фигурирует открытое вложение/переход по ссылке в электронной почте. нужно просто не открывать все подряд и не вестись. ещё бы почтовые клиенты лучше отлавливали спам (а пользователи туда не лазили) и вообще много проблем решится.
@egoistabond, мне до сих пор приходит спам из серии “Здравствуйте, человек, я поручитель ваш прабабушка из США, я сильно очень хотеть вы ответить для того, чтобы вы стать наследник 11 млн долларов… бла-бла-бла…”. Лет 15 уже наблюдаю такие письма, неужели люди еще ведутся.
@tov.Polkovnik, примерно та же картина в спаме. никогда не открывал, удаляю не читая.
Расскажите мне как качать с официальных сайтов официальные программы да ещё и платные.
Была у меня программа купленная для скачивания видео с ютуба. В какой-то момент антивирус нашёл в её компонентах вирус. Думаю ладно, заражён комп, залез в компоненты (хотя, такой вид вирусов практически вымер, сейчас тупо встраиваются в систему со своими бинарниками, системные давно не патчат под себя, кроме руткитов и т.п.). Удалил, поставил с сайта – та же лажа. В итоге сайт компании взломан и в готовый инсталлер вкрячен вирус. Новость быстро потёрли, осадок остался. Я к чему – не ставить антивирус могут себе позволить только сильно уверенные, что другие каналы полностью перекрыты (вы сидите за файрволом, у которого хорошая репутация и вы досконально знаете как он работает и что бывает когда он падает, запускаете только разрешённые файлы и делаете проверку их подписи, хэш-суммы и т.п. да ещё и сверяетесь с официальными источниками, и ещё куча способов только ради неиспользования антивируса???). Вообще сомнительно из плана безопасности исключать антивирус – стрелять себе в ногу и то безопасней. Не открывать ссылки – найдётся способ вас об этом не спрашивать. Не загружать сомнительные программы – вирус встроили в платное ПО (даже производители винчестеров нет нет да и прокалываются то с прошивками, то с комплектным ПО прямо на диске). Не запускать экзешники из архива – да уж, хакеры и тут нагадили, делают экзешник с иконкой документа, кучу пробелов и вы не видите расширения, да что там, вешают иконку папки – больше половины не заподозрит что это. Сами пишите про ВЦИОМ – полно сайтов во фрейме ворующих пароли от сайта. А туда ли я ввожу свои данные – до конца не изучив кода страницы вообще невозможно узнать (хакеры прикрываются уязвимостью SS, хотя всячески её прикрывают, да только постоянно обходят). В комплексе безопасности нельзя опускать из виду антивирус. Чревато последствиями, против одного удачного примера масса неудачных.
@MatveyYo, Да что же Вам всем мешает то? Зайти на сайт вирустотал и проверить на нем все, что вы накачали (и да – даже с оф сайтов тоже проверить!)… и все!!!
Не принимайте лекарство, не делайте прививки, занимайтесь сексом без презерватива и узнаете Ксения плохо это или хорошо.
@ya ne robot, опа, антивирус для компа уже с лекарствами для людей сравнивают ?
@Mihael Isaev, отстаёте от жизни, это было с первых компов.
@ya ne robot, вот только на компе можно ОС переустановить или легко заменить железо, а с человеком так не получится, так что сравнение некорректное.
Нужно просто не сидеть под админом (что касается винды)
@iBolobay, это касается всех ОС
Вирусы они в мозгах дурачков.
Встроенная защита Windows с лихвой покрывает все риски. Особенно для тех кто имеет голову, для остальных – не поможет уже ничего.
@Batyavzdanii, вот полностью согласен
@Batyavzdanii, Насчет Windows – мне ли не знать насколько он дырявый – занимаюсь этим по долгу службы в большой конторе.
@pofigist, 150 компов в сети – касперский на всех куплен и обновляется – не спасло от шифровальшика (
Введение правил безопасности в сети (1 страница А4, под прочтение и роспись) – уже года два как ни одного случая (атак за это время было около 30!!!)
Ксения Шестакова лучше напишите как правильно сварить борщ. Ваша статья это результат гугления и выдергивание каких то фактов из истории вирусных атак. По сути вы даёте неправильный совет людям которые разбираются в этом вопросе меньше вас.
Да, самые опасные не вирусы, как их представляют пользователи, а совершенно незаметные пользователю т.н. угрозы, ворующие, что не попадя или целенаправлено.
Без вшивых разберемся устанавливать или нет.
Моча не такая желтая, как айфон сру
Уже как лет пять позабыл что такое антивирус и никаких проблем. Всего-то не качать подозрительное дерьмо с подозрительных сайтов. Включить отображение расширения. Если какое дерьмо и скачал- чекать его вирустоталом. Чекать адрес и сертификат сайта на котором вводишь критические данные. (Хотя исключения есть – тот же вирус с использованием smb уязвимости мог подхватить каждый без апдейта, но такие вирусы появляются крайне редко).
Антивирус нужен только фигово подкованным в it лицам.
@Exieros, таки антивирус нужен ? Чекать то чем то надо.
@George Scerbakov, Живу без антивируса уже лет 6… из них 5 на w7-w8-w8.1-w10 – ни одного вируса. Все скаченное проверяю на вирустотал, на левые сайты стоит песочница с браузером (либо браузер в режиме инкогнито), резальщик рекламы отрезает почти всю рекламу и вирусы в ней… Сейчас уже на Маке – алгоритм работы тот же – и никаких вирусов)
Это та же простушка, что про самолеты писала?
Не увидел в статье самого интересного – статистики, какие же операционные системы пострадали меньше?
Нашли орфографическую ошибку в новости?
Выделите ее мышью и нажмите Ctrl+Enter.В macOS пропало перетаскивание (выделение) тремя пальцами с помощью трекпада
Добавляем пустой виджет на экран блокировки iOS 16. Настройте локскрин по-своему
Почему не получается поделиться геопозицией с Apple Watch
Почему iPhone греется возле кнопки Home
Как удалить лишние адреса почты из Apple ID
Как отключать дисплей Mac без перевода в «режим сна»
Почему iPhone не произносит имя звонящего
Как на iPhone создавать текстовые заметки голосом