+7-920-350-5089
г. Иваново
Без выходных, с 10:00 до 21:00
Статьи

Склонность производителей мобильной техники создавать всё более компактные и тонкие устройства постепенно вызвала непреодолимые препятствия для стороннего ремонта такой техники. В ряде случаев популярные гаджеты оказывается невозможно разобрать, не повредив детали, а разнообразие моделей даже в пределах одного бренда создаёт большой разброс в необходимых для починки запчастях. Это выгодно для производителей — так их технику покупают ещё больше. О сложившейся тенденции рассказывает NBC News. 

 Одной из самых серьезных угроз последнего времени являются трояны-шифровальщики. Это вредоносное ПО способно в одночасье лишить пользователя всей накопленной информации. Для небольших фирм подобный инцидент способен полностью парализовать деятельность на продолжительное время и привести к значительным финансовым и репутационным издержкам. Поэтому мы, когда в наши руки попал свежий экземпляр данного трояна, решили проверить насколько надежную защиту предоставляют популярные антивирусы.

В этой статье мы попытаемся разобраться с довольно часто возникающей проблемой при подключении Windows 8.1 к Wi-FI точке доступа, выражающейся в ограниченном подключении к интернету или периодическом самопроизвольном отключении Windows 8.1 от WiFi- точки.

21.08.2014

Трояны-шифровальшики. Насколько надежна защита.

21.08.2014

 Одной из самых серьезных угроз последнего времени являются трояны-шифровальщики. Это вредоносное ПО способно в одночасье лишить пользователя всей накопленной информации. Для небольших фирм подобный инцидент способен полностью парализовать деятельность на продолжительное время и привести к значительным финансовым и репутационным издержкам. Поэтому мы, когда в наши руки попал свежий экземпляр данного трояна, решили проверить насколько надежную защиту предоставляют популярные антивирусы.

 

Ситуация, с которой пришлось столкнуться одному из наших клиентов, полностью укладывается в классическую схему. При установке ПО для удаленной сдачи отчетности, в полном соответствии с прилагающейся инструкцией, был отключен антивирус, позже было получено письмо якобы от судебных приставов, которое было благополучно открыто.

Можно, конечно, сетовать на низкую компьютерную грамотность пользователей, которые мало того, что открывают письма от неизвестного адресата, так еще и запускают исполняемые файлы из вложения, но для того и существует антивирусное ПО, чтобы такие ситуации предупреждать.

В этот раз главным действующим лицом стала одна из разновидностей Trojan.Encoder.293, который использует двойное шифрование - сначала XOR, потом RSA, что делает расшифровку весьма трудоемким занятием.

Сразу хочется отметить заслуги компании "Доктор Веб" - они, единственные из ведущих производителей антивирусного ПО, предоставляют своим пользователям реальную помощь в расшифровке. Так нами где-то через месяц был получен ключ для дешифровки, что позволило успешно восстановить все файлы.

Обращения в Лабораторию Касперского и NOD 32 остались без внимания, была получена стандартная отписка про сложность дешифровки, отсутствие гарантий и т.п. Да и успехи других вендоров на этом поприще оставляют желать лучшего, на сайте Касперского расположен пяток утилит для расшифровки, которые в подавляющем большинстве случаев будут бесполезны. При этом стоит отметить, что у Касперского мы являлись обладателем корпоративной лицензии, тогда как у Доктора Веба была куплена самая дешевая коробка. Самое время задуматься, у кого в следующий раз приобретать корпоративную защиту.

Механизм заражения данным вредоносным ПО следующий: пользователь получает письмо, якобы от судебных приставов, которое предлагает перейти на сайт и получить электронную повестку. При переходе по фишинговой ссылке на компьютер скачивается архив с троянской программой, которая ворует биткоин-кошельки и связываясь с сервером "хозяина" скачивает дополнительные модули, одним из которых и является Trojan.Encoder.293.

Процесс тестирования был построен следующим образом: совершался переход по фишинговой ссылке, после чего вредоносный файл извлекался из архива и запускался. В отсутствие реакции антивирусного ПО точно также извлекался и запускался собственно Trojan.Encoder.293.  Таким образом максимально близко имитировались действия обычного пользователя. При появлении диалоговых окон с вопросами, скажем от проактивной защиты, мы исходили из худшего варианта, что пользователь все равно попытается открыть вредоносный файл.

Блокирование перехода по фишинговой ссылке добавляет плюс тестируемому продукту, но недостаточно для успешного прохождения теста. В случае обнаружения только Trojan.Encoder.293 и отсутствия реакции на троян-загрузчик ставится оценка "условно пройден", т.е. в данном случае защита сработала, но ее явно недостаточно. 

Для тестирования нами использовалась Windows 8.1 32-бита и последние версии антивирусного ПО на дату тестирования. Из линеек антивирусов всегда выбиралась младшая версия, это связано с тем, что многие пользователи предпочитают именно недорогие или бесплатные версии, а также с тем, что все продукты линейки используют общий антивирусный движок и базу сигнатур, отличаясь только дополнительными возможностями.

 

Windows Defender

Первым у нас, как всегда, Windows Defender, потому как представляет базовую защиту современных ОС семейства Windows и бесплатно доступен пользователям предыдущих версий. Как мы помним по предыдущим тестам, данный продукт звезд с неба не хватает, предоставляя очень слабый уровень защиты, но тем не менее Windows Defender уверенно определил троян-загрузчик еще на стадии скачивания и удалил его.

 

Результат - ТЕСТ ПРОЙДЕН

Кстати это еще один повод задуматься о переходе на Windows 8, так как даже в случае ручного отключения основного антивирусного средства вы не останетесь полностью без защиты. В ряде случаев этот факт может иметь решающее значение.

 

Comodo Antivirus

Популярный бесплатный продукт, показывающий неплохие результаты в сигнатурных тестах, в этот раз никак не отреагировал на троян-загрузчик, разве что попытался отправить его в "песочницу", но так как в "песочницу" Comodo отправляет каждый второй исполняемый файл, то эта функция чаще всего отключается или файл выводится из песочницы вручную. Принудительная проверка вредоносного файла также не нашла ничего опасного:

В тоже время сам Trojan.Encoder.293 был автоматически детектирован и уничтожен. Однако о полноценной защите говорить не приходится, троян-загрузчик остался активным в системе и в следующий раз может загрузить иной деструктивный модуль.

anti-trojan-crypt-004.jpg

Результат - ТЕСТ УСЛОВНО ПРОЙДЕН

 

avast! Free Antivirus

Еще один популярный бесплатный продукт. Уверенно блокировал переход по фишинговой ссылке:

anti-trojan-crypt-005.jpgОднако на этом все и закончилось... Ни троян-загрузчик, ни сам Trojan.Encoder.293 данный антивирус не обнаружил, в том числе и при ручном сканировании:

О защите в данном случае можно говорить с очень большой натяжкой.

Результат - ТЕСТ НЕ ПРОЙДЕН

 

Антивирус Dr.Web

Младшая версия в линейке "Доктора Веба" уверенно находит и удаляет как загрузчик, так и модуль шифрования. Никаких вопросов, все работает.

Результат - ТЕСТ ПРОЙДЕН

 

Антивирус Касперского

Лидер российского антивирусного рынка не подвел, вредоносное ПО сбивается еще на подлете, блокируется сама попытка перейти по фишинговой ссылке:

anti-trojan-crypt-008.jpgЕсли мы все же попытамся продолжить, то попытка также не увенчается успехом:

anti-trojan-crypt-009.jpgТакже антивирус уверенно определяет и блокирует вредоносные семплы при попытке проверить вручную.

Результат - ТЕСТ ПРОЙДЕН

 

AVG Free Antivirus

Еще один представитель популярных бесплатных антивирусов, четко определил троян-загрузчик, а вот семпл Trojan.Encoder.293 не вызвал у него никакой реакции.

Результат довольно неоднозначный, но так как в реальном сценарии заражения все же удалось избежать, будем считать, что защита работает, во всяком случае данный результат лучше, чем детект только шифровальщика.

Результат - ТЕСТ УСЛОВНО ПРОЙДЕН

 

Avira Free Antivirus

Особой популярностью данный бесплатный продукт у нас не пользуется и результат данного теста ее явно не добавит. Наши образцы вредоносного ПО оказались полностью неизвестны этому антивирусу.

 

Результат - ТЕСТ НЕ ПРОЙДЕН

 

Bitdefender Antivirus Free Edition

Bitdefender - новый участник наших тестов, мы взяли для тестирования бесплатную версию, отличающуюся минималистичным дизайном и таким же количеством настроек, однако результат нас удивил. Во-первых, антивирус блокировал фишинговую ссылку:

Во-вторых, уверено детектировал и удалил оба вредоносных образца.

Результат - ТЕСТ ПРОЙДЕН

 

Norton Antivirus

Norton - самый популярный зарубежный производитель антивирусного ПО, однако в данном случае он оказался не на высоте, детекта вредоносного ПО не произошло и при попытке его запуска мы получили только неуверенные рекомендации от поведенческого анализатора.

Как мы условились считать, будем исходить из худшего варианта, желание прочитать письмо от приставов перевесило осторожность. И вот здесь мы можем наблюдать отличную работу именно поведенческого анализатора.

 

В тоже время поведенческий анализатор никак не отреагировал на запуск собственно Trojan.Encoder.293. Результат также неоднозначен, с учетом того, что вредоносное ПО отсутствует в сигнатурных базах и детектируется только поведенческим анализатором.

Результат - ТЕСТ УСЛОВНО ПРОЙДЕН

 

ESET NOD32 Антивирус

Еще один очень популярный коммерческий антивирус. Пробная версия NOD32 неприятно удивила нас на стадии установки, предложив установить Элементы Яндекса и после нашего явного отказа принявшись их устанавливать. Отказ от установки ни к чему не приводит, установка дополнительных компонентов начинается снова и снова. Мы бы еще могли понять такую назойливость, будь перед нами бесплатная версия, но для коммерческого ПО ситуация явно неприемлемая, остается надеяться, что мы столкнулись с ошибкой в инсталляторе, а не с целенаправленной политикой разработчиков.

В остальном к NOD32 вопросов не возникло, блокируются и фишинговые ссылки и вредоносные образцы.