Как вы заражаетесь ПО для взлома (Malware) и как этого избежать?

Лучше не быть инфицированным вирусами, чем потом бороться с последствиями заражения – это аксиома компьютерной безопасности. Антивирусы, конечно, умеют лечить файлы от вирусов (Malware), но безвозвратно испорченные и украденные данные они не вернут. Рассмотрим основные пути заражения Malware и самые эффективные способы профилактики.

Внешние накопители информации

Лет 20 назад самым наиболее часто Malware попадал на компьютеры через флэшки, CD/DVD-R/RW диски и внешние жёсткие диски. Файлами, программами и документами обменивались с помощью внешних носителей информации, но и сейчас этот способ используется довольно часто. Заражение происходит так:

1. Вирус создаёт файл автозапуска «autorun.inf» в корневой папке флэшки
2. Накопитель вставляют в USB-разъём
3. Операционная система Windows специально ищет скрипт автозапуска и запускает его
4. Файл «autorun.inf» запускает файл с вирусом

Сегодня нужно постараться, чтобы заразиться таким образом, и вот как должен быть настроен такой компьютер:

1. Включена функция автозапуска с флэшек
2. Выключена функция «UAC» для подтверждения запуска программ или стоит Windows XP
3. Пользователь вошёл в систему с правами «Администратор»
4. Нет никакого антивируса

Если все четыре пункта это про вас, то шанс заразиться Malware резко стремится к 100%!

Заражённые программы и документы

Но больше всего заражений происходит из-за собственноручного запуска инфицированных программ. Вирусы умеют приклеиваться к нормальным программам (файлам с расширением.exe) и в момент запуска управление сначала передаётся вирусному коду, а когда он заканчивает свою работу, то переключает управление на саму программу. В итоге, пользователь ничего не замечает, т.к. программа работает, как и должна, но вирус уже в системе. Инфицированный файл достаточно запустить всего один раз, чтобы вирус распространился максимально по всей системе.

Чтобы избежать заражения Malware через программы, нужно понимать общие принципы какие программы можно запускать, какие нельзя, а какие нужно проверять. Лучше всего иметь установленный антивирус Malwarebytes с защитой в режиме реального времени, больше деталей о нем тут. Антивирус «на лету» анализирует новые программы и блокирует запуск вредоносного ПО. Встроенный эвристический анализатор умеет выявлять даже неизвестные угрозы. Это означает, что если сигнатура (штамм) вируса ещё не попала в базу антивируса, то угроза всё равно будет обнаружена по поведенческим паттернам с высокой долей вероятности.

Идеального антивирусного ПО не существует, поэтому лучше не нарываться и не запускать программы, скаченные с неофициальных сайтов, файлообменников и торрент-трекеров. Самая большая опасность скрыта в программах-ломалках платного лицензионного софта (кряки, патчи, таблетки). Это не значит, что все файлообменники и торренты плохие, просто вероятность заражения возрастает. Кстати, антивирусы «убивают» все ломалки и патчи, даже если они без вируса. Так происходит потому что «кряк» работает как вирус, видоизменяя «.exe» файлы. Поэтому эвристический анализ видит в таком поведении угрозу.

Если всё же надо запустить программу сомнительного происхождения, то есть простой способ убедиться в её безопасности. Даже если у вас установлен антивирус с последними обновлениями, то и это не даёт гарантию обнаружения зловреда. Для проверки скаченного файла зайдите на онлайн-сервис антивирусной проверки VirusTotal. Здесь можно просканировать программу с помощью 70 известных антивирусов, которые уже встроены в сканер VirusTotal.

На вкладке «FILE» нажмите на кнопку «Choose file» и выберите файл на компьютере или смартфоне.

VirusTotal просканирует файл всеми доступными инструментами и покажет отчёт о проверке по каждому антивирусу.

Есть несколько уровней безопасности:

• Показывает «0» обнаруженных угроз, значит файл чист
• Более 10 срабатываний — программу запускать нельзя
• Если нашлось 1-3 подозрения, то программу можно считать безопасной

В последнем случае, всё-таки стоит погуглить названия обнаруженных угроз. Это может быть не Malware, а просто рекламный модуль или потенциально нежелательная программа, которая меняет домашнюю страницу браузера, например.

К потенциально-опасному содержимому относятся не только исполняемые файлы, но и документы, к запуску которых нужно относиться не менее пристально! Так, популярные документы Word (*.docx), таблицы Excel (*.xlsx) и презентации Power Point (*.pptx) поддерживают встроенные макросы (скрипты) на языке программирования «Visual Basic» (VBA). Скрипт на VBA может быть полноценной программой с доступом к системным функциям, может загружать из сети более опасные вирусы. Также, документы «*.pdf» могут содержать эксплойт, который получает доступ к системе через уязвимости программы Adobe Acrobat.

Для защиты от такого рода атак не стоит запускать все документы подряд. Microsoft Office всегда спрашивает разрешение на запуск макросов, если они есть. Рекомендуется не запускать макросы, если вы точно не уверены в безопасности источника документа. Для проверки на вредоносный код подходит антивирус и сервис VirusTotal. Также, убедитесь, что пакеты программ Microsoft Office и Adobe Acrobat Reader получают последние обновления безопасности. Вместо Adobe Acrobat рекомендуется использовать более простые «читалки» PDF, например Sumatra PDF или Foxit Reader.

Вредоносные сайты

Заразиться Malware, просто посещая сайты, становится всё сложнее, но тем не менее угроза подцепить «гостя» реальна. Бытует мнение, что если просто ходить по интернету, ничего не скачивать и не нажимать на кнопки, то заразиться вирусом невозможно. Однако, когда вы заходите на веб-ресурс, браузер автоматически скачивает скрипты для работы и корректного отображения сайта. Сами скрипты не могут навредить операционной системе, т.к. их функционал ограничен. Но они используют уязвимости браузера, установленных расширений, операционки и программного обеспечения. Брешь в безопасности на любом уровне даёт возможность исполнить опасный вредоносный код.

Так, например, на компьютер может быть загружен файл с настоящим вирусом и запущен, используя уязвимости ПО. Разработчики браузеров и другого ПО оперативно исправляют ошибки, но это не спасает от угроз «нулевого дня». Это такие уязвимости, о которых известно только тем программистам, которые их обнаружили. Нужно время, чтобы информация докатилась до отдела разработки программы.

Для защиты от онлайн-заразы нужно использовать антивирусы с Веб-защитой в режиме реального времени. Загрузка опасных сайтов блокируется, а в окно браузера выводится сообщение, что сайт заражён и туда нельзя. Желательно, чтобы для работы веб-экрана не требовалась установка дополнительного расширения от антивируса, т.к. в таком случае нужно устанавливать расширения для каждого браузера.

Пользуйтесь браузером Google Chrome последней версии или Chromium-браузерами: Яндекс Браузер и Opera, или Mozilla Firefox. Популярные браузеры наиболее защищены от проникновения угроз, а Google Chrome имеет встроенную защиту от изменений настроек вирусами и использует систему Safe Browsing. Эта система использует обновляющуюся базу небезопасных сайтов и блокирует их загрузку, а также ограничивает загрузку файлов, которые редко используются другими пользователями в интернете. Не устанавливайте лишние расширения и удаляйте те, которыми давно не пользовались.

Malware также использует уязвимости ОС Windows и установленных программ. Для безопасной работы в интернете следует строго придерживаться таких рекомендаций:

• Не отключайте автоматические обновления Windows и остального установленного ПО
• Не отключайте встроенный в Windows 7/8.1/10 брандмауэр, чтобы вас не взломали извне
• Переходите на последнюю версию Windows 10
• Не выключайте функцию защиты UAC (всплывающий запрос на запуск несертифицированных программ)
• Работайте без прав Администратора

Эти простые советы помогут вам избежать заражения Malware.