В этой статье поговорим о компьютерных вирусах, какие виды бывают и для чего существуют. А также дам ссылки на сервисы для просмотра вирусных атак в реальном времени.
Основные виды вирусов
Стоит различать вредоносное ПО и программное обеспечение двойного назначения!
Винлокеры блокирую работу операционной системы и вымогают средства для разблокировки. Большинство из них выключается безопасным режимом или в режиме командной строки. Атака не очень серьезная, но является основателем более серьезных угроз (крипторы или шифровальщики).
Крипторы предназначены для шифрования всех данных на компьютере. Зашифровав все файлы, криптор просит деньги. Как правило, оплата за приватный ключ для расшифрования составляет 500-1000 долларов. Более интересные для мошенников ПК с рабочими и личными файлами. Если рассмотреть статистику ФБР за 2015 год, то всего было заражено около 1,5 миллиона компьютеров крипторами. Около 15% заплатили за расшифровку данных. 225 000 тысяч пользователей заплатили. При минимальной стоимости, это 112 миллионов долларов. Избавиться от хорошего криптора достаточно сложно.
Трояны – это программное обеспечение, которое может получить доступ и управлять ПК. Делятся на RATники(крисы), стиллеры и кейлогеры.
Remote administrator tool предназначены для удаленного управления ПК. По сути это программное обеспечение двойного назначения. Например, это TeamViever, Oscelestial, Remmina, Radmin. В целом эти программы позволяют проводить некоторые скрытые процессы от владельца ПК. Для осуществления атаки достаточно, чтобы жертва запустила файл. Исполняемый файл можно поместить в формат .jpeg или .doc.
В основе большинства вирусов используются крипторы. Это своеобразные механизмы, которые используются для запутывания антивирусов, что позволяет обойти блокировку и попасть на ПК.
Стиллеры и кейлоггеры предназначены для воровства и считывания паролей пользователей. Также позволяют убить антивирусное программное обеспечение. Поэтому не стоит хранить пароли в браузере, так их можно легко похитить!!!
Сетевой червь – вид вируса, который распространяется сам в локальных сетях.
Принято считать что антивирусное ПО может защитить от различных вирусов. Однако есть способы обхода этого ПО! Антивирусы работают по двум принципам: 1. Структурная проверка, 2. поведенческий (эвристический) анализ.
От структурной проверки можно защититься с помощью шифровальщика, а поведенческий анализ можно обойти правильным написанием функций.
Как и обещал сервисы для просмотра атак в онлайн режиме:
1. https://cybermap.kaspersky.com/ можно посмотреть детальную информацию о популярных атаках в режиме реального времени.
2. https://threatmap.checkpoint.com еще один сервис, который показывает самые популярные атаки в режиме реального времени.
Что может помочь?
Переход на Linux. Достаточно сложно найти вирусы, которые целенаправленно разрабатываются на эту операционную систему.
Firewall (Анализ сетевой активности). Большинство RAT-ников используют сеть интернет для распространения. Если грамотно настроить Firewall, то достаточно сложно будет реализовать какую-либо угрозу. Посмотреть, какие приложения использую выход в интернет, с чем хотят связаться. Можно посмотреть какие страны, подключения использует конкретное приложение. Как правило те же утилиты для удаленного управления легко можно обнаружить с помощью этого метода. Например, можно использоваться бесплатную программу GlassWire.
Либо настроить штатный брандмауэр.
Сканирование вредоносных программ. Для сканирования лучше использовать бесплатную программу HitmanPro, которая позволяет обнаружить вирусы и другие неблагоприятные файлы на компьютере. Версия позволяет провести бесплатную проверки и удалить вредоносные файлы. Для ежедневной работы необходимо покупать лицензию.
Как выглядит идеальное решение?
Если нет возможности перейти на Linux, то нужно использовать связку Виртуальная машина VMWAre на Windows+ GlassWire+HitmanPro.
Как вы уже поняли, 95% угроз ждут пользователей после открытия ссылки и запуска файлов. Часто бывает, что коммерческие структуры или люди обмениваются разной информацией, присылают отчеты и т.д. Для проверки файлов можно использовать такой вариант. Да, возможно он немного усложняет работу, но повышает безопасность. Запуск вредоносного файла на виртуальной машине не несет никакого вреда на основную машину.
После запуска или установки нового софта, можно посмотреть на ее с помощью программы для анализа сетевой активности GlassWire. Можно узнать подключается ли она к каким-либо сетевым ресурсам и сетям. Также, можно посмотреть какой тип трафика она отправляет. HitmanPro позволяет определить разные программы, которые могут быть установлены и не имеют никакой информации с точки зрения сетевой активности GlassWire.