→ Проникновение через USB. Восстановление файлов после вируса шифровальщика Как отличить вирус от нормального приложения

Проникновение через USB. Восстановление файлов после вируса шифровальщика Как отличить вирус от нормального приложения

Если на компьютере появилось текстовое сообщение, в котором написано, что ваши файлы зашифрованы, то не спешите паниковать. Какие симптомы шифрования файлов? Привычное расширение меняется на *.vault, *.xtbl, *[email protected]_XO101 и т.д. Открыть файлы нельзя – требуется ключ, который можно приобрести, отправив письмо на указанный в сообщении адрес.

Откуда у Вас зашифрованные файлы?

Компьютер подхватил вирус, который закрыл доступ к информации. Часто антивирусы их пропускают, потому что в основе этой программы обычно лежит какая-нибудь безобидная бесплатная утилита шифрования. Сам вирус вы удалите достаточно быстро, но с расшифровкой информации могут возникнуть серьезные проблемы.

Техническая поддержка Лаборатории Касперского, Dr.Web и других известных компаний, занимающихся разработкой антивирусного ПО, в ответ на просьбы пользователей расшифровать данные сообщает, что сделать это за приемлемое время невозможно. Есть несколько программ, которые могут подобрать код, но они умеют работать только с изученными ранее вирусами. Если же вы столкнулись с новой модификацией, то шансов на восстановление доступа к информации чрезвычайно мало.

Как вирус-шифровальщик попадает на компьютер?

В 90% случаев пользователи сами активируют вирус на компьютере , открывая неизвестные письма. После на e-mail приходит послание с провокационной темой – «Повестка в суд», «Задолженность по кредиту», «Уведомление из налоговой инспекции» и т.д. Внутри фейкового письма есть вложение, после скачивания которого шифровальщик попадает на компьютер и начинает постепенно закрывать доступ к файлам.

Шифрование не происходит моментально, поэтому у пользователей есть время, чтобы удалить вирус до того, как будет зашифрована вся информация. Уничтожить вредоносный скрипт можно с помощью чистящих утилит Dr.Web CureIt, Kaspersky Internet Security и Malwarebytes Antimalware.

Способы восстановления файлов

Если на компьютере была включена защита системы, то даже после действия вируса-шифровальщика есть шансы вернуть файлы в нормальное состояние, используя теневые копии файлов. Шифровальщики обычно стараются их удалить, но иногда им не удается это сделать из-за отсутствия полномочий администратора.

Восстановление предыдущей версии:

Чтобы предыдущие версии сохранялись, нужно включить защиту системы.

Важно: защита системы должна быть включена до появления шифровальщика, после это уже не поможет.

  1. Откройте свойства «Компьютера».
  2. В меню слева выберите «Защита системы».
  3. Выделите диск C и нажмите «Настроить».
  4. Выберите восстановление параметров и предыдущих версий файлов. Примените изменения, нажав «Ок».

Если вы предприняли эти меры до появления вируса, зашифровывающего файлы, то после очистки компьютер от вредоносного кода у вас будут хорошие шансы на восстановление информации.

Использование специальных утилит

Лаборатория Касперского подготовила несколько утилит, помогающих открыть зашифрованные файлы после удаления вируса. Первый дешифратор, который стоит попробовать применить – Kaspersky RectorDecryptor .

  1. Загрузите программу с официального сайта Лаборатории Касперского.
  2. После запустите утилиту и нажмите «Начать проверку». Укажите путь к любому зашифрованному файлу.

Если вредоносная программа не изменила расширение у файлов, то для расшифровки необходимо собрать их в отдельную папку. Если утилита RectorDecryptor, загрузите с официального сайта Касперского еще две программы – XoristDecryptor и RakhniDecryptor.

Последняя утилита от Лаборатории Касперского называется Ransomware Decryptor. Она помогает расшифровать файлы после вируса CoinVault, который пока не очень распространен в Рунете, но скоро может заменить другие трояны.

Рассмотрим самые эффективные методы, как полностью удалить вирус с флешки и не потерять .

Использование USB-накопителей – это простой и удобный способ быстрого перемещения любых файлов между устройствами.

Помимо всех преимуществ, есть и негативная сторона – быстрое заражение вирусом.

Достаточно подключить накопитель к уже зараженному компьютеру, чтобы без каких-либо видимых признаков вирус добавился и на флешку.

Задача вредоносной программы – распространить на другие компьютеры зараженный код. Этот код может иметь самые разные предназначения – от кражи ваших данных до использования .

Каким вирусом может быть заражена ваша флешка?

Сегодня распространены четыре основных типа вирусов для флешек:

  • Вредитель, который создает ярлыки . Суть этого вируса заключается в том, что после его перемещения на флешку все файлы (папки, документы, изображения, видео, исполняемые программы) преобразовываются в ярлыки;
  • Второй тип создает в системной папке «Мой компьютер» ярлык для запуска внешнего накопителя, подменяя стандартную утилиту. В результате, после нажатия на этот ярлык пользователь запускает фоновую установку программы вируса и только потом открывается папка с файлами;
  • . Часто при открытии файлов на других ПК вы можете увидеть, что в папке накопителя находятся неизвестные документы с расширением info, exe, dll, tte, worm и прочими расширениями. Все они – трояны. Такой тип вируса является самым распространённым и не на всех компьютерах пользователь увидит расположение файла. Часто он просто скрыт;
  • Вирус-шифровальщик – самый опасный тип. Он шифрует все расположенные на накопителе файлы и расшифровать их можно только посредством перечисления создателю вируса денег на указанный программой счет. После этого вы якобы получите ключ для разблокировки. Если вы столкнулись именно с таким типом вредителя, настоятельно не рекомендуем отправлять свои деньги. В большинстве случаев решить проблему можно с помощью специальных утилит-дешифраторов, которые методом подбора определяют тип шифра и .

Могут встречаться и другие модификации вредоносных программ. К примеру, те, которые совмещают в себе сразу два вида - замена файлов на ярлыки плюс распространение на компьютер через скрытый файл или утилиты, которые запускаются в фоновом режиме вместе с заменой ярлыка запуска внешнего накопителя и прочие вариации.

Шаг 1 – Сканирование флешки

Первый и основной шаг, который нужно выполнить для удаления вирусов с флешки – это запуск сканирования накопителя антивирусом или встроенным Защитником.

При возникновении каких-либо проблем с файлами накопителя (к примеру, невозможность их открыть, нарушение содержимого папок) рекомендуем использовать и встроенный , а также подлинную копию любого другого мощного антивируса ( , Norton).

Это позволит повысить шанс выявить даже самые новые версии вирусного ПО и сохранить ваши файлы нетронутыми.

Следуйте инструкции, чтобы просканировать флешку с помощью стандартной утилиты Windows Defender (Защитник Виндовс):

  • Подключите флешку к компьютеру, но не открывайте её содержимое;
  • Далее откройте окно «Мой компьютер» ;
  • Найдите ярлык подключённой флешки и кликните на нем правой кнопкой мышки. В списке действий выберите «Просканировать с Windows Defender» ;

  • Дождитесь результата сканирования и разрешите Windows Defender избавиться от всех опасных файлов.

Если на вашем компьютере установлен и другой антивирус, просканировать флешку вы сможете точно таким же образом.

После нажатия правой кнопкой мышки на значке флешки в списке действий будет отображаться не только стандартный Защитник, но и вариант сканирования с помощью нужной вам программы.

Если вы уже успели открыть флешку с вирусом, с большой вероятность он проник и на ваш компьютер.

Для сканирования и удаления вредителя выполните такие действия:

  • Откройте строку поиска на панели задач и введите «Защитник» . В результатах кликните на иконку «Центра безопасности» ;

  • Далее перейдите во вкладку «Защита от вирусов и угроз» . В правой части окна кликните на поле «Расширенная проверка» . Она может занять до получаса времени. Также, можно воспользоваться быстрой проверкой. Так антивирус просканирует только системные файлы, которые с наибольшей вероятностью могут быть заражены.

  • После обнаружения подозрительных файлов и заражённых объектов их рекомендуется удалить. Сделать это можно сразу в окне Windows Defender.

Если же зараженный элемент оказался важным для вас файлом, копии которого нет, переместите объект в карантин и дождитесь пока удалит все заражённые части кода.

После этого вы сможете безопасно работать с этим файлом, но есть вероятность повторного распространения вируса, если Защитник не увидит все вредоносные данные.

Заметьте! Для эффективного выявления любых типов вирусов на компьютере должны быть установлены последние обновления. Если вы отключили возможность автоматического апдейта, откройте окно параметры с помощью клавиш Win -> I . Затем перейдите в «Центр обновления и безопасности» и вручную установите все последние пакеты апдейта от разработчика. Только после этого приступайте к сканированию системы и подключенных флешек.

Несмотря на то, что Defender является стандартной программой, она очень хорошо справляется с задачей выявления и удаления вирусов, но для её эффективной работы нужно использовать исключительно .

Только через подлинные копии ОС разработчики смогут распространять обновления безопасности и базы данный с информацией о новейших вирусных сборках, с которыми в последствии и работает Defender.

Шаг 2 – Форматирование USB

Следующий шаг для очистки вашей флешки от вирусов подразумевает полное удаление всего содержимого накопителя.

Форматирование нельзя отменить, поэтому убедитесь, что вы не потеряете важные файлы.

Данный способ является эффективным, ведь в результате абсолютно все вредоносные скрипты и скрытые файлы будут удалены.

Следуйте инструкции:

  • Подключите USB-накопитель к ПК и откройте окно «Мой компьютер» ;
  • Далее кликните на значке устройства правой кнопкой и выберите пункт «Форматировать» ;

  • В новом окне нажмите на «Начать» .

В результате, окно «Мой компьютер» автоматически обновит данные и вы сможете использовать абсолютно безопасную и очищенную от файлов флешку.

Шаг 3 – Редактирование автозагрузки

Вирус с флешки в 90% случаев распространяется на компьютер.

Если ранее вы уже открывали содержимое накопителя на своем компьютере, повторное подключение даже уже отформатированной флешки снова заразит её вирусом.

Рекомендуем не только сканировать и очищать флешку, но и отредактировать процесс автозапуска вирусов с помощью системного окна . Многие вредители работают в фоновом режиме и запускаются вместе включением компьютера, поэтому вы и не можете отследить их.

Следуйте инструкции:

  • Откройте Диспетчер задач, нажав правой клавишей на трее Виндовс. В появившемся списке выберите нужную утилиту;

  • В новом окне перейдите во вкладку «Автозагрузка». Просмотрите весь список приложений, которые запускаются вместе с ОС. Если вы увидели незнакомый вам процесс, отключите его.

Как завершить квест «Учреждение закрытого типа». Это последний квест из основного сюжета, после которого вам придётся сделать выбор на чью сторону встать.

Встаньте в перехватчик сигнала, который мы собрали в и ждите, пока устройство телепортирует вас в Институт. не могут проходить в Институт, они остаются снаружи и присоединяются к вам, когда вы выходите наружу.

Вы попали в «Институт», и кажется поиски сына почти завершены. Как только вы телепортируетесь и осмотрите непривычную обстановку из новых блестящих вещей, к вам обратится голос по громкой связи. Он скажет, что долго вас ждал и предложит воспользоваться лифтом в конце помещения. В этот момент начнется квест «Учреждение закрытого типа».

Лифт находится впереди. Воспользуйтесь им. По мере движения вы будете слышать голос, который расскажет вам об «Институте». Когда двери лифта откроются, идите вперед по коридору до следующего лифта. Используйте его. Наконец, вы попадете в помещение, где находится комната со стеклянной секцией, в которой спиной к вам сидит мальчик. Начните с ним разговор. Когда вы спросите про «Отца», диалог будет окончен и появится глава «Института», который отключит мальчика, оказавшегося синтом. Поговорите с «Отцом» — так он называет себя.

«Отец» расскажет вам, что он и есть ваш сын, что скорбит о смерти матери, которая , но не помнит этого момента, так как был младенцем. Вы можете сказать, что это бред и потребовать объяснить происходящее. Выслушайте сына, это и правда он. Вы узнаете всё о синтах, проводимых исследованиях, истории Института и причинах всего произошедшего с вами. В конце разговора «Отец» предложит вам вступить в ряды Института. Примите его предложение, чтобы обследовать весь комплекс.

«Отец» предложит вам пообщаться с четырьмя главными учеными Института, которые заведуют разными направлениями разработок. Для начала зайдите в комнату за его спиной и поднимитесь по лестнице. Там вы найдете ванну, где лежат шпильки и антирадин. Вообще в Институте полно разного добра — от новеньких вещей, которые можно разобрать на хлам для крафтинга, до аптечек со стимуляторам и антирадином.

Вернитесь в помещение, где вы видели мальчика. Пройдите через дверь напротив комнаты «Отца» и спускайтесь вниз по лестнице. На нижнем этаже вы найдете доктора Элли Филмор (у неё желтая одежда), побеседуйте с ней. После этого оглянитесь и вы увидите синта за прилавком, который торгует броней, оружием и прочими полезными предметами.

Закупите необходимые припасы выходите к сердцу «Института», откуда можно легко попасть в любое крыло комплекса. Вы видели в Fallout 4 зелёные деревья? Здесь они есть.

Теперь направляйтесь в отделение бионауки и ищите доктора Холден. У неё зеленая одежда. Поговорите с ней, и когда услышите все, что хотели, заканчивайте беседу. В этом отделении стоит обратить внимание на терминал с высоким уровнем защиты, ведущий в старую лабораторию Верджила. Здесь же можно найти обычный терминал, где хранятся интересные записи.

После этого идите в отделение высших систем. Чтобы не заблудиться, следуйте по маркеру и найдите доктора Ли. У неё синяя одежда. Доктор установит в ваш Пип-бой специальный чип, который позволит беспрепятственно телепортироваться в «Институт». Запомните этого доктора, если играете на стороне Братства Стали.

После знакомства со всеми заведующими вернитесь к «Отцу» и квест «Учреждение закрытого типа» будет завершен. Теперь вы сможете без проблем перемещаться в Институт через Пип-бой. Также вы получите первое задание от «Института» под названием «Задержание».

Теперь нужно выполнить задание по сканированию сети Института, если вы не сделали этого ранее. Задание вам дал техник той фракции, которому вы передали чертежи для постройки телепорта в предыдущей главе прохождения. Найдите ближайший терминал, загрузите в него голозапись и запустите сканирование. По завершению процесса заберите данные. Неважно, кому вы отдадите эти данные — в любой момент их можно отнести в .

Сейчас можно зайти ещё в одно место, но это не обязательно делать. Помните, когда мы выполнили , Верджил попросил нас достать из его старой лаборатории сыворотку вируса ВРЭ? Для этого необходимо попасть в закрытую часть Института, которая находится в отделении бионауки. В лабораторию можно попасть либо через терминал с очень высоким уровнем взлома, либо через дверь попроще в соседних складских помещениях. Внутри лаборатирии нет ничего особо интересного: много турелей и мёртвых котов, ходит штурмотрон, а на складе лежат модификации для оружия.

Когда заберёте сыворотку в лаборатории отнесите её Верджилу, чтобы он снова стал человеком. Отдав лекарство, загляните к нему через несколько дней. После выздоровления Верджила вы можете брать в его пещере-лаборатории всё что захотите. Хотя брать там особо нечего, но ведь мы обещали помочь ему…

Как правило, большинство пентестов проводятся по довольно простой схеме. Сначала при помощи социальной инженерии обеспечивается доступ к целевой среде или ее отдельному звену, а затем производится ее заражение техническими средствами. Вариации проведения атаки могут быть разными, однако обычно классический пентест - это сплав технической части и социальной инженерии в самых различных пропорциях. Недостаток классического пентеста заключается в том, что надо «нащупать» того самого сотрудника и после этого переходить к следующему этапу. Если бы можно было автоматизировать процесс поиска слабого звена и его дальнейшую эксплуатацию, то это могло бы ускорить процесс пентестинга и значительно повысить конечные шансы на успех.

WARNING!

Вся информация предоставлена исключительно в ознакомительных целях. Ни автор, ни редакция не несут ответственности за любой возможный вред, причиненный материалами данной статьи.

Согласно известной статистике, приведенной антивирусными компаниями, около 30% пользователей не пользуются антивирусами, попросту отключают их или не обновляют базы. Отталкиваясь от этого, можно утверждать, что в любой среднестатистической компании найдется определенная группа людей, которая очень пренебрежительно относится к информационной безопасности, и, в свою очередь, именно этих людей целесообразно использовать для проведения атаки. Кроме того, любая функционирующая система может быть подвержена влиянию целого ряда случайных факторов, которые также могут временно парализовать систему безопасности:

  • слетели настройки прокси-сервера, из-за чего антивирусные базы не были обновлены;
  • закончился срок лицензии антивируса, а о ее продлении руководство вовремя не позаботилось;
  • сбой работы сети сделал невозможным удаленную распечатку файлов, из-за чего все сотрудники были вынуждены скопировать документы на флешку и распечатать их в другом отделе.

Достаточно только включить воображение, и можно добавить еще десяток вариантов развития событий. Резюмируя сказанное, можно утверждать, что в любой среднестатистической организации есть потенциально ненадежные сотрудники и иногда возникают обстоятельства, которые могут нарушить привычную работу и парализовать защиту. Поэтому если ударить в нужном месте в нужное время, то атака будет успешна.

На деле задача сводится к следующему: определить, что в данный момент произошло одно из случайных событий, которое привело к снижению безопасности, а после этого воспользоваться данной ситуацией в качестве маскировки и незаметно осуществить атаку.

Фактически задача сводится к тому, чтобы найти человека, который забивает на безопасность, и почему бы не использовать для этого флешки?

Многие вирусописатели очень полюбили флеш-носители, так как они позволяют легко и быстро заражать компьютеры и даже самый элементарный USB-вирус имеет неплохие шансы на успех. Бум autorun-вирусов, который пришелся на 2008 год, спустя пять лет не сбавляет оборотов, более того, USB-вирусы стали еще наглее и порой даже не скрывают своего присутствия. И в то же время зараженная флешка - это универсальный индикатор грамотности ее владельца в вопросе элементарной ИБ. К примеру, если собрать десять флешек у различных людей, то наверняка у троих-четверых из них будут на флешках вирусы. Если спустя неделю повторно взять у этих людей флешки, то у двоих-троих вирусы останутся. Исходя из этого, можно утверждать, что на компьютерах, с которыми работают с данной флешки, не стоит даже самая элементарная защита или она по каким-то причинам отключена или не работает вовсе. Таким образом, даже если распространять самый заурядный вирус, который успешно детектится всеми антивирусами, только среди данной группы людей, то он сможет заразить большое количество компьютеров, прежде чем будет обнаружен. А раз эти компьютеры не имеют защиты, то также он долго сможет оставаться работоспособным.


Реализация

На определенный компьютер, к которому периодически подключают флешки, устанавливаем специальную программу, работающую по следующему алгоритму. При подключении очередной флешки программа пытается определить, заражена ли она. Так как нельзя учесть все многообразие USB-вирусов, то имеет смысл использовать эвристический подход определения заражения на основе следующих критериев:

  • наличие файла autorun.inf;
  • атрибуты файлов RHS;
  • малый размер подозрительного файла;
  • файловая система не NTFS;
  • отсутствие папки c именем autorun.inf;
  • наличие файлов ярлыков.

Если данная флешка заражена, то программа записывает ее в базу с указанием серийного номера и хеша подозрительного файла. Если спустя несколько дней флешка повторно подключается к этому компьютеру (а такое происходит почти всегда) и на ней все так же остаются подозрительные файлы, то производится ее заражение нашим «вирусом»; если же подозрительного файла не осталось, то программа удаляет из базы серийный номер этой флешки. Когда же заражается новый компьютер, вирус запоминает серийный номер материнской флешки и никогда ее не заражает и не анализирует, чтобы спустя время не выдать себя, если владелец флешки «поумнеет».

Для получения серийного номера напишем следующую функцию на основе API GetVolumeInformation:

String GetFlashSerial(AnsiString DriveLetter) { DWORD NotUsed; DWORD VolumeFlags; char VolumeInfo; DWORD VolumeSerialNumber; GetVolumeInformation(AnsiString(DriveLetter + ":\\").c_str() , NULL, sizeof(VolumeInfo), &VolumeSerialNumber, &NotUsed, &VolumeFlags, NULL, 0); String S; return S.sprintf("%X", VolumeSerialNumber); }

Надо отметить, что функция GetFlashSerial получает не статичный уникальный кодификатор устройства, а лишь серийный номер тома. Этот номер задается случайным числом и, как правило, меняется каждый раз при форматировании устройства. В наших же целях достаточно только серийного номера флешки, так как задача жесткой привязки не стоит, а форматирование подразумевает полное уничтожение информации, фактически приравнивая отформатированную флешку к новой.

Теперь приступим к реализации самой эвристики.

Bool IsItABadFlash(AnsiString DriveLetter) { DWORD NotUsed; char drive_fat; DWORD VolumeFlags; char VolumeInfo; DWORD VolumeSerialNumber; GetVolumeInformation(AnsiString(DriveLetter + ":\\").c_str() , NULL, sizeof(VolumeInfo), &VolumeSerialNumber, &NotUsed, &VolumeFlags, drive_fat, sizeof(drive_fat)); bool badflash=false; if ((String(drive_fat)!="NTFS") && (FileExists(DriveLetter + ":\\autorun.inf"))) { DWORD dwAttrs; dwAttrs = GetFileAttributes(AnsiString(DriveLetter + ":\ \autorun.inf").c_str()); if ((dwAttrs & FILE_ATTRIBUTE_SYSTEM) && (dwAttrs & FILE_ATTRIBUTE_HIDDEN) && (dwAttrs & FILE_ATTRIBUTE_READONLY)) { badflash = true; } } if (!badflash) { TSearchRec sr; FindFirst(DriveLetter+":\\*.lnk", faAnyFile, sr); int filep=sr.Name.LastDelimiter("."); AnsiString filebez=sr.Name.SubString(1, filep-1); if (DirectoryExists(DriveLetter+":\\"+filebez)) { DWORD dwAttrs = GetFileAttributes(AnsiString(DriveLetter+":\\"+filebez).c_str()); if ((dwAttrs & FILE_ATTRIBUTE_SYSTEM) && (dwAttrs & FILE_ATTRIBUTE_HIDDEN)) { badflash = true; } } } return badflash; }

Алгоритм эвристической функции достаточно прост. Сначала мы отсеиваем все устройства с файловой системой NTFS и те, которые не содержат файл autorun.inf. Как правило, все флешки по умолчанию идут с файловой системой FAT32 (реже FAT и еще реже exFAT), однако иногда системные администраторы или другие сотрудники IT-отдела форматируют их в систему NTFS для своих нужд. «Умники» нам не нужны, их мы сразу исключаем. Следующим этапом проверяем файл autorun.inf на атрибуты «скрытый» и «системный». Файл autorun.inf может принадлежать и совершенно законной программе, но если в нем присутствуют данные атрибуты, то можно с очень большой вероятностью утверждать, что флешка заражена вирусом.

Сейчас многие вирусописатели стали реже использовать файл autorun.inf для заражения машин. Причин сразу несколько: во-первых, почти все антивирусы или пользователи отключают опцию автозапуска; во-вторых, на компьютере может быть несколько вирусов, использующих одинаковый способ распространения, и каждый из них перезаписывает файл на свой лад. Поэтому все чаще начал использоваться способ заражения через создание ярлыков и скрытие оригинальных папок. Чтобы не оставить и эти флешки без внимания, мы проверяем наличие файла ярлыка и наличие папки с таким же именем в корне тома. Если при этом папка также имеет атрибуты «скрытый» и «системный», то помечаем эту флешку как зараженную.

Конечно, эвристика имеет свои погрешности и нюансы, поэтому есть смысл ее тщательно проработать к конкретной задаче, однако в нашем случае можно со 100%-й вероятностью утверждать ее корректность.

Если с эвристическим анализом флешки все в целом ясно, то с «заражением» возможны нюансы. Например, можно попросту перезаписать старый вирус нашим без каких-либо поправок в файл autorun.inf, файлы, ярлыки и прочее. Таким образом, наш «вирус» получит управление на новом компьютере, но предварительно лучше также сделать старую копию вируса и сохранить в том же каталоге с чуть отличающимся именем. Если по каким-то причинам на другом компьютере будет работать антивирус, то он обнаружит старый вирус, удалит его, выдаст пользователю предупреждение об успешном уничтожении угрозы - и тем самым обеспечит ложное чувство безопасности у пользователя, а наш «вирус» останется незамеченным.

Кроме этого, в декабрьском выпуске «Хакера» мы также писали об уязвимостях DLL hijacking в различном ПО и о его эффективном применении. Поэтому если предполагается, что на флешках могут находиться такие программы, как менеджеры паролей или портативные версии различного ПО, то имеет смысл использовать данную уязвимость и тем самым расширить спектр пораженных машин и ценность полученных данных для пентеста.

Кстати, не всегда имеет смысл прибегать к заражению флешек. К примеру, если у ИБ-отдела стоит задача просто периодического мониторинга сотрудников на наличие «ненадежных людей», то разумнее установить данную программу на несколько машин и просто записывать серийные номера флешек и время создания вредоносного файла для сбора статистики. Тем самым не требуется буквальным образом обыскивать всех сотрудников, и при этом сохраняется конфиденциальность данных на флешках, а на основе полученных данных можно судить также о возможном заражении домашних компьютеров пользователей и состояния ИБ в целом. Ведь, как мы уже писали ранее, любая система подвержена случайным факторам и не исключен риск появления угроз.


Тестирование

Развернув программу в относительно средней по масштабу сети, уже через неделю мы получили достаточно красноречивые данные. Более 20% всех подключенных флешек были инфицированы каким-либо вирусом или трояном, и более 15% по-прежнему оставались инфицированными при повторном подключении спустя пару дней. Надо также отметить, что на многих компьютерах стояла антивирусная защита, которая периодически исполняла свои обязанности. Однако то привычное равнодушие к выскакивающему предупреждению антивируса, к которому уже давно привыкли пользователи при подключении флешки, не позволяла им предположить, что они имеют дело с совершенно иной угрозой. Ложное чувство безопасности позволяло пользователям без смущения подключать флешку к различным компьютерам, а нашей программе успешно делать свое дело.


Коротко об алгоритме

  • Устанавливаем нашу программу на компьютеры в компании.
  • Сканируем подключаемые флешки на наличие признаков зараженности.
  • «Заражаем» флешки пользователей нашим тестовым «вирусом» или переписываем их номера для статистики.
  • Докладываем начальству, наказываем пользователей-раздолбаев, держим, не пущаем и запрещаем.

Заключение

Подводя черту, можно сказать, что главный недостаток этого метода - его неопределенность. Никто не знает, когда именно к компьютеру будет подключена та самая «подходящая» флешка, поскольку это сильно зависит от среды, в которой развернута программа. Однако этот недостаток не умаляет главного преимущества метода. Можно очень долго оставаться незамеченными и, растворяясь среди других угроз, поражать все новые и новые машины полностью в автоматическом режиме. Несложно заметить, что такая методика имеет определенный эффект масштаба. Чем больше сотрудников работает в организации и чем разнообразнее внутренние коммуникации, тем больший будет результат. Хотя этот подход будет отлично работать в структуре совершенно любого масштаба, ведь его основная задача сводится не к массовому поражению системы, а к целевому удару по самому слабому звену - человеку. ][

Вирусы могут быть двух типов:

1. Подделка - используется название и значок какого-нибудь известного приложения, но внутри только зловредный код. Большая часть вирусов именно такого типа.

2. Троянский конь - в нормальное приложение добавляется зловредный код, который работает вместе с приложением.

Что могут вирусы

1. Воровать деньги с SIM-карты: звонить или отправлять SMS на платные номера до тех пор, пока на SIM-карте не закончатся деньги.

2. Воровать информацию: отправлять пароли от интернет-банков, данные банковских карт или личные файлы мошенникам, рассылать сообщения с вирусными ссылками на номера из записной книги от вашего имени.

3. Блокировать нормальную работу устройства: отображать баннер-вымогатель, который не дает пользоваться устройством.

4. Использовать мощность вашего устройства: показывать скрытую рекламу или майнить криптовалюты.

Как вирусы попадают на смартфон или планшет

Мошенники маскируют вирусы под безобидные приложения и файлы: браузеры, плееры, игры, навигаторы, книги, антивирусы. Затем они распространяют их:

1. На сайтах для взрослых, сайтах со взломанными приложениями и пиратскими фильмами, торрент-трекерах и т.п.

Например, ищете в интернете какую-нибудь игру или программу, и попадаете на форум. Кто-то оставил нужную ссылку, и все дружно его благодарят.

На самом деле форум и комментаторы не настоящие.

Или заходите сайт с пиратскими фильмами и сериалами, появляется сообщение. В нем написано, что смартфон/планшет заражен вирусами или какая-то программа сильно устарела. Бывает даже так, что устройство начинает вибрировать или издавать странные звуки.

На самом деле это не так и с устройством все в порядке.

2. По SMS, MMS и электронной почте

Как правило, это SMS от «девушек с сайтов знакомств», с сайтов бесплатных объявлений, письма от «нотариусов из Германии», сообщения о выигрыше в лотерею.

Будьте осторожны, чудес не бывает. В большинстве случев это мошенники.

У всех подобных сообщений общая цель - заставить вас нажать на ссылку, чтобы вирус скачался на устройство.

Как вирусы заражают смартофон или планшет

Чтобы вирус начал работать, мало его скачать, - надо еще и установить. Обычно вирусы загружаются в папку «Загрузки» (Download) и выглядят как установочные файлы приложений с расширением «apk».

Если нажать на вирус, появится список разрешений. Разрешения - это те действия, которые приложение сможет выполнять после установки.

Если нажать «Установить», вирус установится и начнет работать.

Как отличить вирус от нормального приложения

Большая часть вирусов пишется непрофессионалами, которые хотят быстро и без особых проблем с законом получить денег. Поэтому стандартные приметы таких вирусов - разрешения для отправки сообщений или звонков. Когда такой вирус установится, он начнет незаметно отправлять SMS или звонить на платные номера.

Сравним настоящие приложения и вирусы. Антивирус Dr.Web:

Разрешения оригинального антивируса из Play Маркет

Разрешения вируса, который выдает себя за антивирус

Яндекс Навигатор:

Разрешения оригинального навигатора из Play Маркет

Разрешения вируса, который выдает себя за навигатор

Игра Говорящий Том 2:

Разрешения оригинальной игры Том 2 из Play Маркет

Разрешения вируса, который выдает себя за игру Том 2

Конечно, не все приложения, которые запрашивают доступ к звонкам и сообщениям, - вирусы. И не все вирусы запрашивают доступ к платным функциям.

Если мошенники захотят поснимать вашей камерой - потребуется доступ к камере и интернету.
Если потребуются ваши файлы - попросят доступ к памяти и интернету.
Захотят заблокировать экран баннером - запросят права администратора.
А некоторые вирусы вообще умеют скрывать разрешения при установке.

Опознать качественно сделанный вирус сложно - либо нужно смотреть исходный код приложения, либо установить вирус на устройство, снять с него логи (журнал происшествий) и разбираться в них. К счастью, такие вирусы встречаются редко. Чаще вам пригодятся два ориентира:

Если приложение скачалось с неизвестного сайта и запрашивает доступ к платным функциям - это вирус в 99% случаев.

Как обезопасить смартфон или планшет от вирусов

1. Устанавливайте приложения только из Play Маркет и подходите к их выбору серьезно

Отличить вирус от нормального приложения неподготовленному человеку очень сложно. Чтобы обезопасить пользователей, компания Google сделала специальный каталог с приложениями - Play Маркет.

Прежде чем добавить приложение в Play Маркет, Google проверяет, нет ли в нем зловредного кода. Пользователи, которые скачивают приложения из Play Маркет, более защищены, чем те, которые скачивают приложения с разных сайтов и форумов. Но помните, что нет ничего полностью безопасного, поэтому подходите к выбору приложений серьезно: внимательно читайте разрешения и смотрите на рейтинги.

2. Не переходите по неизвестным ссылкам в SMS, MMS или почте

Мошенники даже научились подделывать номера и адреса электронной почты, поэтому сообщения с вирусными ссылками могут приходить и от ваших знакомых.

3. Не рутируйте устройство и не устанавливайте неофициальные прошивки

Если на устройстве есть рут, вирус сможет прописаться в системные приложения и тогда его сможет удалить только полная перепрошивка устройства.

4. Отключите автополучение MMS на вашем устройстве

Мошенники могут автоматически загружать вирусы на устройство через MMS. Это связано с уязвимостями библиотеки Stagefright.

Чтобы отключить автозагрузку MMS выберите: Сообщения → Опции → Настройки → (Дополнительно) → MMS → Автополучение (Автозагрузка) → Отключить.

5. Не подключайте банковскую услугу «Автоплатеж» (автоматическое пополнение баланса телефонного номера при снижении до определенной суммы)

Если вдруг на устройство попадет вирус, который отправляет SMS на платные номера, то баланс SIM-карты будет пополняться до тех пор, пока деньги на карте не закончатся. Сообщения от банка при этом обычно блокируются.

Совет: для получения сообщений от банков и других важных отправителей купите отдельный номер, который никто не будет знать, и простой телефон.

Как понять, что на смартфоне или планшете появился вирус

Не существует однозначных признаков, все зависит от вируса. Одни заметны сразу после установки (появляется баннер и блокируется доступ к устройству), другие могут долгое время себя не выдавать. В большинстве случаев признаки такие:

  • Появляются большие счета за SMS или звонки;
  • Появляется баннер с требованием заплатить мошенникам, который не дает пользоваться устройством;
  • Появляются незнакомые программы;
  • Очень быстро начинает садиться батарея;
  • Быстро расходуется интернет-трафик непонятными приложениями;
  • Устройство начинает сильно тормозить.

Как удалить вирус, если меню открывается

Как удалить вирус, если меню не открывается (баннер-вымогатель)

Если на экране появился баннер-вымогатель и не дает пользоваться устройством:

    Не перечисляйте деньги мошенникам - они все равно не разблокируют устройство.

    Вытащите SIM-карту, чтобы не списались деньги со счета.

    Загрузите устройство в безопасном режиме.

    Если баннер в безопасном режиме пропал, отключите права администратора у всех приложений.

    Если баннер не пропал, перейдите к пункту №11.

    Просмотрите все установленные приложения и удалите неизвестные вам.

    Перезагрузите устройство. Устройство загрузится в обычном режиме, баннера не должен быть.

    Если после перезагрузки баннер появился, перейдите к пункту №11.

    Скачайте антивирус, которому доверяете, через Wi-Fi из Play Маркет.

    Устройство вирусов и механизмы работы антивирусов меняются ежедневно, поэтому посоветовать какой-то конкретный антивирус невозможно. Ориентируйтесь на рейтинги других пользователей и отзывы. По мнению автора, неплохие антивирусы: Eset, Kaspersky и Dr. Web.

    Проверьте устройство антивирусом и удалите все найденные вирусы.

    Удалите антивирус, который установили.

    Скачайте другой антивирус и проверьте устройство еще раз.

    Если предыдущие варианты не помогают, сделайте сброс данных устройства.

    Если самостоятельно справиться с вирусом не удается, обратитесь в сервисный центр Samsung.

Нужен ли антивирус на Android

Если вы начинающий пользователь и не уверены в своих силах - нужен. Но только один.

Если пользуетесь устройством осторожно и соблюдаете правила безопасности, антивирус можно не устанавливать.

 

 
Это интересно: