Чому антивіруси - це погано

Наша взаимовыгодная связь https://banwar.org/

Антивірус - не панацея. Навіть власники преміум-версій можуть виявитися жертвами вірусів, позбутися даних, грошей і нервів. Розповідаємо, чому антивірусне ПЗ не завжди виручає і що робити, щоб не стати жертвою.

Спочатку вірус, потім антивірус

Антивіруси з'явилися у відповідь на створення вірусів. В цілому так відбувається і до цього дня: спочатку вирусописатели створює трояна, хробака і їм подібних. І тільки потім запис про нього додається в базу, розробляється ліки, оновлення безпеки для операційної системи і т.п.

Це сигнатурний метод виявлення - вірус визначається по сигнатурі (опису) з бази.

Є, звичайно, така штука, як евристичний аналіз, який використовує більшість просунутих антивірусів. У процесі аналізу антивірус контролює всі дії, які виконує «піддослідна» програма. Якщо буде виявлено підозрілу активність (дії, які характерні для вірусів), програма блокується.

Проактивний (поведінкова, превентивна) захист якраз працює на базі евристичного аналізу. Вона містить базу даних наборів правил, які описують поведінку кожної програми: що вона повинна робити, а що не повинна.

При евристичному аналізі та проактивного захисту антивірус не порівнює код із зразком, а досліджує поведінку програми.

Такий підхід дозволяє, з одного боку, знизити навантаження на ресурси пристрою (бо перевіряється не все підряд, а тільки активні програми), з іншого - розпізнати віруси, яких ще немає в базі.

А ще є веб-захист, блокування динамічного вмісту в браузерах, аналіз куків, віртуалізація браузера, антифішинг і інші плюшки ...

Проблема в тому, що на кожну гайку знайдеться болт з лівою різьбою. Вірусописьменники теж не ликом шиті. Розробляючи віруси, вони тестують їх на свіжих версіях антивірусів, перевіряють в сервісі VirusTotal і всіляко мінімізують шанси виявити своє дітище. І маскуються вони, треба сказати, здорово, раз віруси досі всюди.

WannaCry показав, наскільки ми захищені

Атака WannaCry, про яку стало відомо 12 травня 2017 року, показала реальну ситуацію з кібербезпекою в світі. Комп'ютери в лікарнях, школах, поліції, державних установах, не кажучи вже про домашніх ПК, блокувалися в 99 країнах світу. За даними Avast, за перші 24 години атаки було заражено 100 тис. Комп'ютерів.

Експерти заявили: в зараженні винні самі користувачі. Про вірус стало відомо в лютому, в березні Microsoft випустила оновлення, яке не давало заразитися WannaCry. Хто не оновився, отримав вимогу викупу - 300-600 доларів в біткоіни.

Комп'ютери заражалися, якщо користувачі переходили по шкідливої посиланням з e-mail.

Атаку зупинили зовсім випадково. Вірус звертався до домену iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, і як тільки автор твіттера @MalwareTechBlog зареєстрував його на себе, вірус не зміг більше працювати. Але через час пішла друга хвиля атаки - вірус перестав залежати від сайту.

Чи допоміг антивірус? Ні, не допоміг.

Наступною бомбою став вірус Petya / NotPetya. З 27 червня він наслідив в 64 країнах. Винним призначили софт MEDoc. Відключалася все: банки, кафе, відділення служб доставки, магазини ... Зараження також відбувалося через електронну пошту - при відкритті вкладення з листа.

Допоміг антивірус? І знову немає. Хоча штатний Windows Defender був здатний розпізнати загрозу, як стверджує Microsoft.

Віруси, які ховаються в картинках

У серпні 2017 року за мережі почали поширювати троян SyncCrypt, який ховався в легітимних зображеннях. Він запросто обходив антивіруси, а потім вимагав у користувачів гроші (429 доларів) за повернення доступу до даних.

Шкідливий розсилали в спам-листах з WSF-вкладеннями, замаскованими під судовий наказ. Після відкриття вкладення вбудований JScript нібито завантажував з зовнішнього сайту кілька зображень. У них містилися компоненти SyncCrypt, поміщені в ZIP-файл.

Зараження відбувалося після того, як JScript розпакувати файли sync.exe, readme.png і readme.html (назви могли відрізнятися). Але якби користувач безпосередньо перейшов по URL і відкрив зображення, то побачив би просто обкладинку альбому «& They Have Escaped the Weight of Darkness» ісландського співака Олафура Арнальдса.

Фактично Windows виконує незаплановане завдання - Sync. Виконуваний файл після запуску починав сканувати комп'ютер, шифрує файли за допомогою AES-алгоритму і вбудованого публічного ключа RSA-4096 і міняв розширення на .kk. Важливі системні папки (windows, program files (x86), program files, programdata, winnt, system volume information, desktop \ readme, $ recycle.bin) вірус чомусь пропускав.

За даними ViruseTotal, тільки один з 58 антивірусів зміг виявити вірус. Але ваш чи? Питання риторичне.

Майнер і антивіруси

Майнер - це програмне забезпечення, яке використовує ресурси вашого комп'ютера або смартфона для Майнінг криптовалюта. Зазвичай Майнер створюються на основі легального коду сервісу Coinhive. Вони вбудовуються в сайти, і поки ви сидите на них, Майн монети для хакерів. Або встановлюються на ваш пристрій.

Майнер не крадуть ваші особисті дані і не шифрують ваш жорсткий диск, щоб потім вимагати гроші за розшифровку. Але вони використовують ваші обчислювальні потужності, уповільнюють роботу вашого пристрою, призводять до його зносу. Крадуть ваш час, нарешті!

Майнінг сам по собі є стандартним процесом.

Перебір значень - це не спроба вкрасти ваші дані, відстежити натискання клавіш, модифікувати або стерти файли, відредагувати вміст завантажувального сектора і т.п. Через це антивірусів досить складно виявляти Майнер.

На сайті Dr. Web можна подивитися , Скільки Майнер виявляється зараз. Ось, наприклад, статистика з 1 січня - за неповний місяць випущено 2094 оновлення бази сигнатур антивірусу, що стосуються Майнер:

До того ж Майнер постійно удосконалюються. Просунуті варіанти, наприклад, відключаться, коли ви завантажуєте гру або «важке» додаток, щоб ви не запідозрили дивною активності. Або запускаються, коли ви не використовуєте смартфон. Так що якщо гаджет в кишені раптово нагрівся, будьте напоготові: вас або прослуховують і відстежують, або Майні на вашому смартфоні.

Ходити по порносайтах для того, щоб «підчепити» майнер або інший вірус, зовсім не обов'язково. Так, до 2015 року хакери зламали сайт ВЦИОМ і заразили десятки тисяч користувачів.

Антивіруси з краденими базами

Не любите «Антивірус Касперського» за ненажерливість і повільність? Його розробники стверджують, що інші ще гірше. Мовляв, крадуть бази у «Лабораторії Касперського» і ViruseTotal, а самі - лише красиво пофарбований кульку.

Євген Касперський на форумі AntiMalware заявляв:

Який же у них нафіг вірус-лаб в цьому Авасте, звідки у них підтримка - там немає практично нікого! Крім автомата по крадіжці детектив і другого автомата по випуску апдейтів, а?

Розробник розповів про спільне експерименті з німецьким «Комп'ютер-Білд». «Лабораторія Касперського» скомпілювати пару десятків «пустушок» (весь код - сторінка обчислень без всякого сенсу), половину з них додала в список сигнатур, іншу половину - ні.

Незабаром ці вірус-детектив з'явилися в антивирусах, які, на думку «Лабораторії Касперського», крадуть сигнатури. Чисті ж «пустушки" не детектувала ніхто.

Звичайно, є думка, що розробники антивірусів самі створюють віруси, щоб знешкоджувати їх. Але ми не будемо його підтверджувати. Життя важке, все крутяться як можуть.

Чи реально жити без антивіруса

Хакер Роберт О'Каллахана, колишній співробітник Mozilla, в січні 2017 року написав в блозі про реальну ситуацію з антивірусами. Матеріал сколихнув інтернет.

Спочатку користувачі дивувалися: як же так, не можна ж жити без антивіруса, злісні хакери ж не дрімають і все таке ... Але насправді О'Каллахана мав рацію.

Хакер вважає антивіруси жахливими, тому що вони:

• відбирають колосальна кількість ресурсів;
• нерідко блокують корисні оновлення програмного забезпечення;
• пищать в самий невідповідний момент;
• задають дуже багато запитань;
• збільшують час розробки програмного забезпечення, так як розробники зобов'язані піклуватися про те, щоб не потрапити під фільтри антивірусів;
• та й взагалі реально нікого не захищають.

Якщо ви хочете обійтися без антивіруса, дотримуйтесь простих правил:

1. Завантажуйте додатки з офіційних сайтів або магазинів додатків. Заодно попрощайтеся з піратським ПЗ :)

2. Не заходьте на порносайти та в онлайн-казино. І вже тим більше нічого звідти не завантажуйте! Та й взагалі уважніше дивіться на те, що качаєте - вірус можна завантажити навіть зі зламаного сайту ВЦИОМ.

3. Не запускайте архіви або .exe-файли, які вам надсилають друзі, колеги (нібито друзі, нібито колеги, друзі друзів - список можна продовжити). Пристойні люди відправляють посилання на оф. сайт або на сторінку в магазині додатків, а не безпосередньо на виконуваний файл.

4. Уважно вивчайте кожну форму, яку заповнюєте. Не ставайте жертвою фішерів. Антивірус, до речі, не допоможе, якщо ви самі віддасте особисті дані (і пароль від банківського аккаунта!) Лівому сайту, який так схожий на справжній.

5. Скануйте підозрілі файли і посилання в сервісі VirusTotal . альтернатива - Kaspersky Virus Desk , ESET Online Scanner , Panda Cloud Cleaner , HouseCall .

6. Регулярно оновлюйте операційну систему. Якщо у вас Windows, то найсвіжішої версії вбудованого Windows Defender, на думку О'Каллахана, вам вистачить з головою.

І буде вам щастя :)