Практики защиты от ПО для взлома (malware)

Программное обеспечение для взлома используется для получения доступа к компьютеру пользователя. Цели у злоумышленника (хакера) могут быть самые разные: получение конфиденциальной информации, включая логины и пароли от онлайн-сервисов и кошельков, кража данных банковских карт, вымогательство, запуск ботнета с использованием ресурсов компьютера и т.д.

По большому счёту, ПО для взлома это вирус, и защититься от него можно используя антивирус. Современный антивирус должен защищать в режиме реального времени, т.е. постоянно находясь в оперативной памяти операционной системы. Простое сканирование компьютера, например, раз в неделю, неэффективно и такой метод защиты работает уже с последствиями заражения. Защита в режиме реального времени не допускает заражения компьютера, пресекая попытки вируса запуститься.

Особую популярность в последние годы получили вирусы-вымогатели. Чтобы защититься от такого рода угроз рекомендуется использовать антивирус с улучшенной защитой от вирусов-вымогателей. Например, антивирус Malwarebytes имеет дополнительный модуль от вирусов вымогателей, отзывы и подробности об этой программе по ссылке. Попадая во взломанный компьютер, вирус блокирует его работу, шифрует документы и вымогает у пользователя выкуп за возможность вновь получить доступ к своим файлам.

За немаленькую сумму (до тысячи долларов), злоумышленник, якобы, вышлет ключ дешифровки данных, но на самом деле этого не будет, данные уже утеряны навсегда. Вирусы-вымогатели получили такое обширное распространению «благодаря» появлению криптовалют. Расчёты криптовалютой анонимны и намного усложняют поимку злоумышленника.

Как работает ПО для взлома

В отличии от обычных вирусов, программы для взлома немного отличаются. Простые вирусы статичны, т.е. одинаковы для всех. Хакерские программы, например Ignis RAT для удалённого управления компьютером, имеют пользовательский интерфейс, в котором задаются параметры работы вируса, включая адрес и порт, на которые хакер будет получать отчёты о новых взломах. Затем программа генерирует тело вируса в виде .EXE файла.

Теперь задача хакера отправить вирус жертве и добиться, чтобы вирус был запущен. Для этого прибегают к уловкам, самая распространённая из которых это объединение картинки и тела вируса с помощью программ «джойнеров». Joiner создаёт новый .EXE файл, в котором соединяются тело вируса и указанная картинка.

Когда пользователь запустит такой файл с именем типа «картинка.jpg.exe», то откроется картинка, а в фоне запустится вирус и сделает своё чёрное дело. Пользователь может ничего не заподозрить, т.к. картинку он увидит, а хакер получит полный доступ к компьютеру, сможет просматривать рабочий стол, копировать файлы, загружать другие вирусы и т.д.

Но перед отправкой файла его ещё шифруют для того, чтобы антивирусы не распознали его как известный вирус. Поэтому важно, чтобы у антивируса был качественный эвристический анализатор, например как у Malwarebytes. Эвристика используется для обнаружения ранее неизвестных вирусов с помощью анализа выполняемых кодом действий.

Чтобы защититься от подобной атаки, достаточно не открывать присылаемые по почте картинки с расширением «.JPG.EXE». Если на конце имени файла стоит «.EXE», то это уже не картинка по факту, а программа-вирус. Кстати, популярная почтовая программа The Bat! Понимает это, и видя двойное расширение перед открытием файла предупреждает, что настоящее расширение у файла «.EXE».

Что нужно знать для защиты от взлома

Основным инструментом для защиты от взлома является антивирус и брандмауэр (фаервол). Хороший брандмауэр уже встроен в операционную систему Windows 7/8.1/10. Он включён по умолчанию и не требует настройки. Брандмауэр защищает от прямого проникновения вируса на компьютер, т.е. даже без необходимости запуска тела вируса. Это возможно благодаря использованию открытых портов и уязвимостей ОС. Фаервол блокирует открытые сетевые порты.

В антивирусах есть функция защиты от потенциально нежелательных программ (PUP). Такие программы не считаются вирусами, но могут хозяйничать на компьютере, например, изменяя домашнюю страницу или демонстрируя свою рекламу в браузере, или даже майнить криптовалюту, тем самым затормаживая работу компьютера. Настоятельно рекомендуется не отключать защиту от PUP-программ.

Также обязательно нужно держать включённой защиту от руткитов. Руткиты – это вирусы, которые модифицируют системные файлы, т.е. ядро операционной системы. Попав в компьютер, руткит получает полный доступ к системе на уровне администратора. Это даёт возможность хакеру управлять компьютером, вплоть до форматирования жёсткого диска.

О какой защите от взлома может идти речь без защиты интернета. Антивирус Malwarebytes интегрируется со всеми популярными браузерами, типа Google Chrome, Opera, Internet Explorer и т.д. Все посещаемые ресурсы и онлайн-игры сканируются на наличие угроз, пресекая заражение ОС. Примечательно то, что для защиты интернета не нужны никакие расширения для браузера, модуль работает на уровне операционной системы.

Модуль защиты интернета также защищает от фишинговых сайтов. Фишинг – это подделка популярного ресурса, например Facebook, внешне таким же точно сайтом. Ничего не подозревающий пользователь вводит логин и пароль на сайте-подделке, а хакер получает их. Антифишинговая защита предупреждает о фишинговом сайте, или просто блокирует к ним доступ.