Все «знают», кто на самом деле пишет вирусы, но знаете ли вы, каково среднее время жизни одного вируса, что делают пользователи, установив антивирус, и почему антивирусные компании редко рассказывают в новостях о методах проникновения?

Интересно? Просим под кат!

Начнем с времени жизни. Не будем повторять новости о том, что в какой-то организации или компании нашли вирус, который оставался незамеченным… лет. Такое бывает, но обычно такие случаи связаны с целевыми атаками, когда внедрение происходит в малое количество организаций. Обычная же атака вредоносных программ направлена на большое количество частных лиц или компаний и вполне логично, что кто-то рано или поздно обратит внимание на новый троян. Время реакции антивирусов (без облака) составляет примерно два часа, соответственно достаточно большая вероятность того, что вредоносный файл через два-три часа будет уничтожен на зараженных компьютерах.

К сожалению для пользователей разработка вредоносных программ поддается автоматизации и злоумышленники могут выпускать «на дело» вредоносные программ быстрее, чем происходит обновление антивируса:


Источник

Более 99% образцов вредоносных программ (hashes) «живут» (обнаруживаются в диком виде) 58 секунд и меньше!

Сколько же вредоносных программ выпускают в день злоумышленники? Точная цифра никому не известна, в частности потому, что гарантировать, что все вредоносные программы созданные за день в этот день и будут пойманы — нельзя. На анализ в день приходит до миллиона образцов. Сигнатур получается конечно поменьше, но тоже немало:


Это без андроида, адваре, tool и иных сигнатур.

А теперь о грустном. Вполне логично, что подобная скорость выпуска вредоносных программ, плюс использование злоумышленниками средств необнаружения (перепаковки, обфускации, исключения известных сигнатур и тд) приводят к тому, что какой бы ни был антивирус, но поймать в момент проникновения в сеть 100% вредоносных программ, включая неизвестные он не может. Если кто думает, что это самое грустное, то он не прав. Грустностей две. Первая то, что регуляторы указывают в своих документах, что средством антивирусной защиты является исключительно антивирус (да еще и не использующий даже эвристики), а второе, что специалисты по информационной защите вслед за регуляторами полагают (результат опросов на конференциях), что хороший антивирус может обнаруживать все вредоносные программы в момент проникновения в сеть.

Выводы:

  1. Несмотря на широкое использование вирусописателями сервисов типа ВирусТотал — традиционная эвристика позиций не сдает. Так один из двух российских антивирусов обнаруживал Wanna Cry сразу именно эвристикой
  2. Поведенческий или превентивный механизм обнаружения вредоносных программ в антивирусе — обязателен. К сожалению пользователи в массе считают, что превентивка в антивирусе — лишнее и приобретают продукты без нее. Типичный пример — результаты голосования за компоненты, которые должны быть в антивирусе
  3. Облачные механизмы имеют то преимущество, что обновления правил на них выкладываются сразу и антивирус может мгновенно их применять. По слухам второй российский антивирус также обнаруживал Wanna Cry, но облаком и в результате пострадали компании, в которых облако было отключено или вообще запрещено
  4. Антивирус — не волшебник и обнаруживать 100% вредоносных файлов не может. Поэтому для защиты от проникновения вредоносных программ нужно ставить обновления и ограничивать права.

Раз уж мы упомянули об обновлениях, поговорим и о них.
отчет от корпорации Fortinet показал, что во втором квартале 2017 года 90% организаций зафиксировали эксплоиты для уязвимостей, которым было более трех лет. Также исследователи отметили, что спустя 10 лет после исправления дефектов, 60% компаний по-прежнему подвергались соответствующим атакам.

А ведь это после эпидемий Wanna Cry и НеПетя, о которых не писало наверно только самое ленивое СМИ!

Ну ладно, это компании, а как ведут себя пользователи? На это нам отвечает компания Microsoft. Благодаря своей системе сбора информации о пользователях она теперь знает и о том, как себя ведут пользователи антивирусов. Откроем Microsoft Security Intelligence Report Volume 22:


Желтый цвет — установленный и выключенный антивирус. Впечатляет, да? А зеленый — установленный, но не обновляемый.

И кстати число компьютеров без антивируса в последних версиях Windows не означает, что ситуация там лучше, просто на них защитник Windows включен по умолчанию — о чем пользователи могут и не знать.

Примерно такую же статистику дает и утилита CureIt! — не защищено не менее 60 процентов компьютеров. Добавим к этому отсутствие обновлений и пароли по умолчанию и надо удивляться не разгулу шифровальщиков, атому, как мало пострадавших.

Но вернемся на updates.drweb.com. Как вы думаете, какой из видов троянов наиболее популярный? Шифровальщики (Trojan.Encoder)? Майнеры (Trojan.BtcMine)?

Загрузчики:



Чем они занимаются? Пример

Троянец Trojan.DownLoader23.60762 связывается с управляющим сервером для получения команд, среди которых замечены следующие:

  • запустить файл из временной папки на диске зараженного компьютера;
  • встроиться в работающий процесс;
  • скачать указанный файл;
  • запустить указанный исполняемый файл;
  • сохранить и передать злоумышленникам базу данных SQLite, используемую Google Chrome;
  • удалить файлы cookies;
  • перезагрузить операционную систему;
  • выключить компьютер.

Современные вредоносные программы — это комплексы из многих частей. Загрузчики первыми приходят на машины, анализируют обстановку, скачивают «полезную» нагрузку, чистят логи и самоудаляются. В итоге исследователям попадает весь вредоносный комплекс кроме загрузчика, в результате чего метод заражения (уязвимость в системе) остается неизвестной и заражение может произойти повторно.

Вывод. Берегите логи, они залог успешного анализа ИТ-инцидента.

Во сколько происходят атаки? Легенды гласят, что настоящие злоумышленники работают по ночам. Так ли это?



Источник

Забавно, но интенсивность атак полностью совпадает максимумами активности сотрудников компаний — приход на работу, время перед обедом и время в конце рабочего дня. Четвертый пик — атаки в ночное время может быть вызван тем, что в это время вероятность обнаружения атаки и реагирования на нее со стороны службы безопасности компании значительно ниже.

Кстати еще одна цифра из уже приведенной ссылки. Между публикацией об уязвимости и началом атак проходит примерно три дня

Вывод — откладывать обновления безопасности на бОльший срок — опасно.

Надеюсь было интересно, если остались вопросы — буду благодарен.

Комментарии (81)


  1. akadone
    18.09.2017 11:34
    +2

    Это давно известно. Лично я лет 10 как в принципе не пользуюсь антивирусом. Это бесполезная трата денег и ресурсов компьютера. Персональный файрволл решает 99% проблем в ручном режиме — почти все вирусы лезут сразу в интернет. А остальной 1% решает песочница от него-же для всех новых исполняемых файлов. Как результат — заражения отсутствуют у меня как класс.
    Другое дело, что далеко не все разбираются в компьютерах. И им по идее нужен файрволл с эвристикой, но, к сожалению, такого пока нет. В любом случае антивирусы умерли как появился вмпротект и прочие виртуализаторы кода. Сейчас нет проблем заражать каждую машину «новой версией» вируса — т.е. для каждой машины у вируса будет своя сигнатура. И бороться традиционными методами с этим — не возможно по определению. Создатель антивируса может лишь говорить, что вирус у вас в машине будет работать скорее всего не более n минут. Но за это время он или соберёт/отправит данные заказчику, или наделает ещё каких дел, если это серийное заражение.


    1. Rohan66
      18.09.2017 12:09

      Всё когда-то бывает первый раз…
      Вам его могут принести на флешке. И не вы сами, а жена, ребёнок или ещё кто-то.


      1. akadone
        18.09.2017 12:35

        Какая разница как принесут? Что с интернета, что на флешке. В 99% случаев он лезет в интернет. Соответственно сразу выбирается заблокировать и завершить выполнение. А потом удаляется как обычный файл. С песочницей всё тоже самое.
        Ах, да — ещё есть J.A.C.K. и прочие таск киллеры. Они отображают все процессы, причём упорядочивают по порядку запуска. И при малейшем сомнении — можно посмотреть что происходит в компьютере и руками вычистить лишнее (привет кейгенам от китайцев).
        В общем продвинутым пользователям опасаться нечего. А вот с обычными хз что делать. Ниша есть, заработать можно на ней много но ни кто туда пока не лезет. Пока все на антивирусах сосредоточены. Увы.


        1. Rohan66
          18.09.2017 13:20

          Хм… Ваше отношение к антивирусам очень мне напоминает отношение «водятлов» к ремням безопасности! «Я никогда в аварии не попадал и не попаду!», «Без ремня можно быстрее из машины выскочить», «Не был пристёгнут — вылетел через лобовое и живой».
          Так что — на здоровье! Не пользуйтесь. Но потом — ССЗБ.


          1. zuborg
            18.09.2017 15:24
            +1

            Вашу аналогию можно и развернуть:
            Антивирус: покупайте наш суперфонарик с автоподсветкой опасностей на дорогах — с ним вы будете под надежной защитой. Теперь можно кататься и без ремней безопастности!
            Обычный пользователь: я вот пользуюсь суперфонариком и теперь гоняю как хочу и где хочу. Сосед мой, правда, в аварию попал, но это он сам виноват, нечего в Гарлем было шастать.
            Продвинутый пользователь: катайтесь дальше со своим фонариком, а я лучше ремень безопастности пристегну…


            1. Rohan66
              18.09.2017 15:46
              -1

              А вы мой комментарий внимательно прочитали? Антивирус = ремень безопасности. У вас же — противопоставление какой-то хренотени.
              И ни кто никогда не говорил и не обещал, что ремень безопасности (антивирус) — гарантия от аварии (от возможности заражения компа).
              У меня и антивирус стоит, и ремень я всегда пристёгиваю (и пассажиров своих заставляю).
              А вот с мнением akadone я не согласен. Вреда от антивируса нет, а польза есть.
              И вам повторю: что-то случится — ССЗБ.


              1. AntonAlekseevich
                18.09.2017 16:28

                Лагерь будет разделяться.
                С мнением akadone я согласен по некоторым пунктам:
                1. > Это бесполезная трата денег и ресурсов компьютера.


                При условии полного отсутствия вирусной активности.
                2. > далеко не все разбираются в компьютерах


                Так как пользователей которые не желают разбираться с компьютером самостоятельно чаще всего становятся зараженными.
                3. > В любом случае антивирусы умерли как появился вмпротект и прочие виртуализаторы кода.


                Тут отвечу его словами. > Для каждой машины у вируса будет своя сигнатура.


                Вроде все с чем я мог бы согласится.


                Пример от zuborg я думаю лучше рассматривать так.
                Антивирус: я обнаружу любую опасность, да так что вы этого не заметите.
                Обычный пользователь: я пользуюсь антивирусом и у меня нет никаких проблем.
                Сосед мой: как же у него все плохо работает, но он сам виноват что так сделал.
                Продвинутый пользователь: ну и пользуйтесь дальше своим антивирусом, а я лучше сам разберусь как себя обезопасить.


                Так что Rohan66 у многих есть свои методы защиты от угроз и каждый из этих методов хоть как-то защищает от угроз.


                1. teecat Автор
                  18.09.2017 16:34
                  -2

                  Вот мне интересно. Откуда растет миф о том, что антивирус может ловить все в момент проникновения. Ходишь по заказчикам — одновременно требуют выполнения данного положения и одновременно знают, что есть неизвестные антивирусу трояны.
                  Вменяемые производители антивирусов тоже этого не утверждают (а иначе их привлекут за невыполнение).
                  Читаю когда основы антивирусной безопасности — практически все стремятся ставить безопасность на основе исключительно ав. ни ограничения прав, ни фильтрации по типам. Да простой пример — тот же антиспам срезает подавляющее количество писем с вирусами как фишинговые — не рассматривается он ка антивирусная защита.


                  1. AntonAlekseevich
                    18.09.2017 16:43

                    Откуда растет миф о том, что антивирус может ловить все в момент проникновения.

                    Не только вас интересует этот вопрос.


                    Читаю когда основы антивирусной безопасности — практически все стремятся ставить безопасность на основе исключительно ав.

                    На то и основы антивирусной безопасности.


                    ни ограничения прав, ни фильтрации по типам. Да простой пример — тот же антиспам срезает подавляющее количество писем с вирусами как фишинговые — не рассматривается он ка антивирусная защита.

                    Ну это уже ИБ, а не АВБ. По мнению авторов книг по АВБ.


              1. SirEdvin
                18.09.2017 17:55
                +1

                > А вот с мнением akadone я не согласен. Вреда от антивируса нет, а польза есть.

                Ну да. Он никогда не поломает ваши файлы, никогда не будет блокировать вам вполне нормальные установщики, никогда не будет мешать компилировать ваши программы, всегда позволит вытащить нужную программу из карантина в два клика, никогда не будет мешать и так далее.

                От него тонны вреда и это я даже не учитываю, что некоторые антивирусы жрут как майнеры. И все равно не помогают.


                1. teecat Автор
                  18.09.2017 17:58

                  Так о том и есть разговор, что выбор мер антивирусной защиты — многовариантен и зависит от многих параметров — уровня подготовки пользователя, наличия ресурсов на машине, требований по реалтайму, требований по уровню защиты и тд и тп.

                  И все это будет антивирусная защита, где антивирус лишь компонент. И не всегда обязательный


                1. AntonAlekseevich
                  18.09.2017 18:15
                  -1

                  Проблема антивируса:


                  1. Он никогда не поломает ваши файлы
                    Ну да в попытках бесполезного лечения может и удалить файл.


                  2. никогда не будет блокировать вам вполне нормальные установщики
                    Ну если нормальный установщик не заражен(Были случаи когда официальное приложение с нормальным установщиком было заражено. Пример этому Transmission для macOS был таким некоторое время назад.)


                  3. никогда не будет мешать компилировать ваши программы
                    Даже если ты пытаешься скомпайлить прогу которая заведомо заражает собственный ПК.


                  4. всегда позволит вытащить нужную программу из карантина в два клика
                    Это чудо не всегда способно это сделать, т.к повреждает саму программу.


                  5. никогда не будет мешать и так далее.
                    Да помнится "свинья" Антивируса Касперского которая шумела если что-то находила.

                  От него тонны вреда и это я даже не учитываю, что некоторые антивирусы жрут как майнеры. И все равно не помогают.

                  Тонны вреда тут нет, просто он нужен тогда когда он нужен, а не всегда до применения должен стоять.


                  1. teecat Автор
                    19.09.2017 10:31

                    Ну да в попытках бесполезного лечения может и удалить файл.

                    Подавляющая часть вредоносных программ сейчас — трояны. Их не лечат. Только удаляют или карантинят

                    Это чудо не всегда способно это сделать, т.к повреждает саму программу.

                    Такие случаи — саппорт. Операции помещения в карантин и лечения — раздельные (как минимум должны быть). Тоесть помещается файл в карантин зараженный, а не после попытки лечения
                    Но естественно за все антивирусы я не отвечаю


                    1. Ckpyt
                      21.09.2017 12:42
                      -1

                      Кстати, какая проблема вылечить троянец? Почему только удаление?


                      1. mayorovp
                        21.09.2017 14:03

                        А что, в вашем понимании, должно остаться после "лечения" троянца?


                        1. Ckpyt
                          21.09.2017 14:30
                          -1

                          Гм… я несколько раз встречал обнаружение троянца в инсталляторах и внутри исполняемых файлов. Почему-то оба раза антивирус не предлагал вылечить исполняемые файлы, а просто грохнуть их. Разумеется, мне все-таки хотелось бы запустить программу на исполнение, без вызова троянца.
                          Если что, я использую это определение троянца


                          1. mayorovp
                            21.09.2017 15:52

                            Читаем определение по вашей ссылке:


                            Троя?нская программа (также — троя?н, троя?нец, троя?нский конь) — разновидность вредоносной программы, проникающая в компьютер под видом легального программного обеспечения, в отличие от вирусов и червей, которые распространяются самопроизвольно.

                            … и видим, что троянец — это не какой-то код внутри другой программы. Троянец — это и есть программа, которая лишь прикидывается нужной.


                            Если есть острое желание запустить троянца — надо использовать виртуальную машину, причем без проброса видеокарты, шаринга файлов и вообще лучше без "гостевых" расширений.


                            А вырезать вредоносный код из троянца можно только декомпиляцией, вручную.


                1. Rohan66
                  18.09.2017 20:28

                  Руки из ж… — а вина на антивирусе!


                  1. AntonAlekseevich
                    18.09.2017 20:43
                    +1

                    Руки из ж… — а вина на антивирусе!

                    Не руки из ж..., а просто человек нашел альтернативу и вы её сразу в штыки.
                    Мол что только АВПО может остановить вирус.
                    Без комплекса ПО, АВПО это пустышка в небе над черным морем.


                  1. SirEdvin
                    18.09.2017 21:52
                    +2

                    Ну да. Ведь собрать hello world как вирус так легко. И вот такие истории — тоже из-за криворукости пользователей антивируса, а не их создателей.


              1. zuborg
                18.09.2017 18:31
                +1

                Антивирус = ремень безопасности

                Я читал Ваш комментарий. Дело в том, что антивирус != ремень безопасности. Это все лишь аналогия. Точно так же можно провести не менее корректную аналогию антивируса с фонариком, который находит часть опасных объектов, но не дает защиты в случае проникновения, а файрвол с ремнями безопасности, который дает кое-какую защиту в случае происшедшего проникновения, хотя и не помогает избежать его.


                1. teecat Автор
                  19.09.2017 10:34

                  но не дает защиты в случае проникновения

                  Как раз наоборот. Антивирус — средство обнаружения вредоносных программ, прошедших сквозь вашу защиту и ранее неизвестных (в том числе и самому антивирусу). Отсюда кстати вытекают правильные требования к антивирусу


              1. akadone
                18.09.2017 22:48

                Если вирь у меня потрёт важную информацию при официально купленном касперском антивире, то Женя Касперский возместит мои потери? Не смешите мои тапочки, мне щекотно.
                За последние лет 10 видел зверька 3, которые не распознавал ни один антивирус — 2 на стороне и один у меня. Один из них серьёзно ухандокал мне винду. В ручном режиме я всё починил, а все эти cureit, касперские и пр — это была бесполезная трата моего времени и надежд. Хотя зверёк был описан почти полностью на 2 профильных форумах. На других компьютерах мне естественно было проще винду переставить, а не разбираться почему нод с последней базой в «ус не дует», и все бесплатные лечилки-проверяльщики тоже.
                Так что антивирь наверно стоит больше сравнивать с таблеткой плацебо, а не ремнём безопасности.


                1. Rohan66
                  18.09.2017 23:13

                  А можно подумать, что Гейтс или Джобс деньги вернут!
                  Вот в жизни не поверю, что уже описанный на 2-х форумах (!) вирус отсутствует в базах веба или каспера. Ну а если пользоваться крякнутым НОДом или Авастом (да ещё и не обновляться) — то ничего удивительного.
                  А так — забавно слушать сказки про убитую винду, которую в «ручном» режиме «починили». Скажите уж — накатили поверх или переставили.
                  А может не зверёк неуловимый был, а ручки кривоватые?


                  1. akadone
                    19.09.2017 00:59

                    Ручки кривые на столько, что без накатывания винды сами всё исправили (ужАс, понимаю). Это действительно криво. Надо как все: полный формат всего и вся, и потом установка с нуля. Ну и дня 4-5 допиливание ОС под нужны. Времени на это не было, решил с халтурить. Сорри.
                    P.S. У меня ни когда не было особой проблемой лицензия. Работаю на пиратках, так как удобнее. Снимает кучу головняка. Но тогда корпоративный нод первым расписался, потом каспер, потом къёрит фряшный. Хотя на сайте веба как раз зверёк описан был подробно, что удивило. Аваста тот раз по моему не напрягал, но точно не помню.
                    P.P.S. Эти антивири прибивали потомков, которые рожал главный зловред, но откуда появлялись эти 5 (если мне память не изменяет) exe каждый раз при перезагрузке — вычислить не смогли. А я, почитав про очередную дыру explorer+реестр — вычислил минут за 40. Вот и сказке конец.
                    Тогда потом с другом долго обсуждали что дальше с вируснёй делать на рабочих машинах. Но так же как и здесь ни к чему здравому не пришли. Винда настолько дырява, что даже стартуя через crc-правильные библиотеки (не подменённые ни кем) нет АБСОЛЮТНО НИ КАКОЙ гарантии, что запустится процесс именно из этого exe. И пока такое будет — от антивирусов точно нет ни какого прока. Это лишь плацебо. Не более. Действительно, как тут в комментариях, пока дилетанты пишут массовые вирусы — проблем особо не будет. Для массового пользователя — возможно. Но профи заняты таргетированными атаками на конкретные компьютеры. И ставки тут высоки. В этой сфере ИБ — я вообще не вижу роли антивирусов в их нынешней инкарнации. Разве что только админу свой зад прикрыть перед слабо разбирающимся в IT начальством.


                1. teecat Автор
                  19.09.2017 10:23

                  Ради честности надо сказать, что возмещение возможно. Циско (Лукацкий) во всяком случае про это упоминал. Но при условии:
                  — проведении у вас до установки аудита
                  — выработки требований к вашему поведению, настройкам и тд
                  — поддержании вами данных требований
                  Согласитесь — это возможно, но цена вопроса будет другая. Понимаете в чем проблема. Не проблема взять на себя ответственность. Проблема в том, что пользователи не обновляются, отключают антивирус, ставят диск с в исключения — а виноват всегда в пропуске антивирус. Не он один виноват, вот в чем дело


              1. REALpredatoR
                19.09.2017 10:05
                +1

                «Вреда от антивируса нет» — во-первых это вред кошельку. Во вторых скажите это Касперскому который ПК с характеристиками ниже среднего превращает в абсолютную помойку по производительности…


                1. teecat Автор
                  19.09.2017 10:08

                  Вот-как бы ответить. Попробую

                  Наличие антивируса на компьютере — результат оценки рисков. Как сказала моя жена вчера, почитав комментарии — «это же страховка!». Если вы не опасаетесь пожара/залива соседей и тд — или наоборот, считаете риск минимальным и можете его устранить мгновенно — да почему нет. А если у вас на машине документы чрезвычайной важности?


                  1. REALpredatoR
                    19.09.2017 18:52

                    Хранить документы на отдельном переносном жёстком диске + самое важное бэкапить на флэшку? Лично я делаю так.


          1. fatronix
            19.09.2017 10:08

            Антивирусы и сами могут легко предоставить дополнительный вектор атаки. Ничего не спасёт от вирусни, кроме как компьютерная гигиена.


            1. teecat Автор
              19.09.2017 10:11

              не то что бы неверно, но:
              — уязвимости у антивирусов есть. Но я вот лично (а я в антивирусах с 1998года) могу вспомнить всего одну атаку через них. За все годы и то в мохнатых годах
              — гигиена не спасает от неизвестных уязвимостей. Хотя естественно существенно снижает риск
              — антивирус в первую очередь не средство защиты от заражения, это средство лечения ранее неизвестных угроз. Кроме него это делать из средств защиты никто не может (ну кроме бекапа). Это кстати типичная ошибка при оценке рисков и выборе мер защиты


        1. Zetc
          18.09.2017 20:54

          Прорекламируйте пожалуйста файерволл, песочницу и таск киллеры названиями/ссылками (J.A.C.K. не нашёл).


          1. AntonAlekseevich
            18.09.2017 21:00

            Есть вариант в виде Linux-дистрибутив(NetFilter встроен в Liunx) с iptables(как средство управления NetFilter) + firejail(Песочница) + htop(в качестве средства управления процессами).
            Вроде многие дистрибутивы это в себе уже содержат.


          1. akadone
            18.09.2017 21:13

            Я пользуюсь comodo firewall (бесплатный со своим sand box). J.A.C.K. — официальный сайт умер, но на руборде есть обсуждение, там много интересного и про оригинал и про него.


          1. ZetaTetra
            19.09.2017 09:39

            Для ручного мониторинга я пользуюсь:
            Sysinternals Autoruns
            netmon или wireshark
            Давно ещё, вот такой баловался:
            www.codeproject.com/Articles/7492/A-not-so-simple-firewall


        1. Wejur
          19.09.2017 19:29

          akadone, Можно парочку хороших экземпляров?

          … ещё есть J.A.C.K. и прочие таск киллеры. Они отображают все процессы, причём упорядочивают по порядку запуска. И при малейшем сомнении — можно посмотреть что происходит в компьютере и руками вычистить лишнее...


    1. Victor_koly
      18.09.2017 14:01

      За 1 секунду троян перепишет Вам MBR и Винда не будет корректно запускаться. 2-3 продукта обещают защиту от такой наглости.


      1. AntonAlekseevich
        18.09.2017 16:32

        MBR нужно бэкапиьт сразу же после разметки диска и после установки загрузчика. Тогда всё будет нормально.


        1. teecat Автор
          18.09.2017 16:36
          +1

          По голосованиям на конференциях в среднем по России бекап используют примерно 10 процентов компаний. Исключение Челябинск. Не знаю почему


          1. AntonAlekseevich
            18.09.2017 17:49
            +1

            Одним лень делать бэкапы, у других нет места под бэкапы, у третьих нет софта для этого и так далее.


            1. azsx
              19.09.2017 05:32

              у третьих нет софта

              Даже не рассматривая софт «Архивация и восстановление» встроенного в windows или robocopy (для любителей консоли) можно просто выделить свои файлы в проводнике и куда то их скопировать.
              Другой вопрос, что есть большой класс людей, которые даже зарабатывая на компьютере не считают нужным уделять этой железке и данным в ней какое-то значительное время. По аналогии, они хотят кататься, а не техосмотр делать.


              1. AntonAlekseevich
                19.09.2017 08:59

                Даже не рассматривая софт «Архивация и восстановление» встроенного в windows или robocopy (для любителей консоли) можно просто выделить свои файлы в проводнике и куда то их скопировать.

                Просто третьи думают что для бэкапов нужен специфический софт, вот и вся загвоздка.


                что есть большой класс людей, которые даже зарабатывая на компьютере не считают нужным уделять этой железке и данным в ней какое-то значительное время.

                В некотором смысле да это так.


        1. Victor_koly
          18.09.2017 16:42

          Бекапить нужно, кажется флешка одна (в смысле комплект прог на ISO, что я туда записал) даже умела это делать.


          1. AntonAlekseevich
            18.09.2017 17:50

            SystemRescueCD я так понимаю. Хороший дистрибутив для подобных целей.


            1. Victor_koly
              18.09.2017 18:52

              Нет, я тогда при убийстве себе MBR обычным Trojan.HDDKill, спасал инфу диском Parted Magic.
              Но никак восстановить возможность загрузки Винды не смог, так что переставлял.


              1. AntonAlekseevich
                18.09.2017 18:59

                Я и забыл про PartedMagic, спасибо за напоминание о его существовании.


                Но никак восстановить возможность загрузки Винды не смог

                А жаль, 440 Байт восстановить в начале можно было. (Хотя порой в случае восстановления Windows нужна к сожалению сама WIndows.)


      1. akadone
        18.09.2017 22:09

        Вероятность есть. Слабая. Надо как минимум sandbox хакнуть. Да и как показывает автор статьи, запущенный вирус может не детектиться последними базами антивирусов в течении нескольких часов. И вот тут вероятность получить изменённый MBR как-то выше. Сильно. Причём подобные команды обычно даются из сети, к которой он доступ получить так же не сможет, не хакнув firewall.


    1. Rohan66
      18.09.2017 20:25

      Почитал комментарии. Много думал…
      Господа! Да на здоровье! Не пользуйтесь антивирусом, не пристёгивайтесь, переходите дорогу на красный свет! Вы же все о п ы т н ы е пользователи! Вы всё умеете и знаете. Круче вас только горы!
      Только потом не плачьтесь. Будете ССЗБ.
      За сим — откланиваюсь.


      1. AntonAlekseevich
        18.09.2017 20:56

        Не понимаю вашего "нытья".
        Да без АВПО жить можно и как в случае с akadone Firewall совместно с noAutorunExecution решают 70% проблем связанных с появлением вирусного ПО, обновленное ПО решает ещё 10% проблем, бэкап дополнительно избавляет ещё от 10% проблем, грамотное управление правами также избавляет от 9% проблем, простое желание провести профилактику может в комплексе с предыдущими избавить от проблем с безопасностью.


        Если брать чистого рода антивирус то я могу сказать с 80% вероятностью что вы сами можете пострадать от АВПО.


        1. Rohan66
          18.09.2017 21:16

          Хм… А где я ныл?
          Просто несколько возмутила вот эта фраза

          Это бесполезная трата денег и ресурсов компьютера.

          Так водятлы говорят о ремнях безопасности (да и много ещё о чём).
          Уподобились им — ну и молодцы! Я нигде не писал, что антивирус — панацея. Но то, что он должен быть — на мой взгляд (да и руководящие документы так же говорят) однозначно!
          я могу сказать с 80% вероятностью что вы сами можете пострадать от АВПО
          — а вот с этого места, пожалуйста, по подробнее! АВ вам зашифровал файлы? Потёр БИОС? Снёс систему?
          За четверть века (с начала 90-х) пользовался и всех заставлял и требовал пользоваться АВ — пользу от этого видел постоянно, а вот что бы кто-то пришёл и сказал «Твой АВ удалил мои файлы» — что-то ни разу не было.
          Знаменитая эпидемия Чернобыля (если застали такое) прошла мимо моего отдела (50+ машин) тихо и спокойно, а вот другие ко мне на восстановление машин в очередь на неделю вперёд записывались.


          1. AntonAlekseevich
            18.09.2017 21:26

            АВ вам зашифровал файлы? Потёр БИОС? Снёс систему?

            Просто не обнаружил вирус и сам его по системе распространил, хотя был с обновленными БД. (Банально эвристический сканер не смог тогда обнаружить Neshta, пришлось вручную вылечивать собственный ПК, да и в этом случае АВПО способно нанести вред. Полечить может полечит, но программы работать уже не будут.)


            За четверть века (с начала 90-х) пользовался и всех заставлял и требовал пользоваться АВ

            Сейчас другие реалии что требуй что не требуй толку будет ноль если пользователь использует рабочую станцию как ему пожелается.


            Знаменитая эпидемия Чернобыля (если застали такое) прошла мимо моего отдела (50+ машин) тихо и спокойно, а вот другие ко мне на восстановление машин в очередь на неделю вперёд записывались.

            Чернобыльский не застал, но слышал от преподавателя по ТОР КСК что он ещё где-то живет.


            1. Rohan66
              18.09.2017 21:42

              и сам его по системе распространил

              Сам копировал его и запускал???
              если пользователь использует рабочую станцию как ему пожелается

              Бардак в конторе на антивирус сваливать не стоит.
              слышал от преподавателя по ТОР КСК что он ещё где-то живет.

              Заглянет в гости — поделитесь впечатлениями! ))) (Если АВ нет)
              И еще раз возвращаюсь к начальному тезису
              Это бесполезная трата денег и ресурсов компьютера.

              Слова «настоящего опытного» пользователя!


              1. AntonAlekseevich
                18.09.2017 22:03

                Сам копировал его и запускал???

                Вы вероятнее не знаете как этот вирус распространяется по системе.


                Бардак в конторе на антивирус сваливать не стоит.

                Бардак тогда везде, а не только в конторе.


                Заглянет в гости — поделитесь впечатлениями! ))) (Если АВ нет)

                Ко мне точно не заглянет, превентивные меры в виде что не знаю не даю разрешения на запуск.


                И еще раз возвращаюсь к начальному тезису
                Это бесполезная трата денег и ресурсов компьютера.

                То что это трата денег да согласен, ресурсы без условно.


                Слова «настоящего опытного» пользователя!

                Только, Слова пользователя использующего превентивные методы защиты.


            1. teecat Автор
              19.09.2017 10:13

              Чернобыльский не застал, но слышал от преподавателя по ТОР КСК что он ещё где-то живет.

              Периодически старье появляется в статистике. Может быть коллекции попадают под сканирование


          1. NiTr0_ua
            18.09.2017 22:44

            напомнить avast, который прибивал какой-то файл WinXP (то ли tcpip.sys то ли что) после чего случался синий экран? :)


            1. AntonAlekseevich
              18.09.2017 22:48

              Файл svchost.com прибит, а реестр не почищен от него. Вот и всея магия. (Хотя я чувствую что мог ошибиться.)


              1. NiTr0_ua
                18.09.2017 22:58

                нет: forum.avast.com/index.php?topic=110804.0 forum.avast.com/index.php?topic=110781.0
                ну и фейл поменьше
                ну а так еще eset порой любил прибивать систему, бросая синий экран с ошибкой в своем драйвере, лечилось удалением и повторной установкой…


                1. AntonAlekseevich
                  18.09.2017 23:06

                  нет: forum.avast.com/index.php?topic=110804.0, forum.avast.com/index.php?topic=110781.0 ну и фейл поменьше ну а так еще eset порой любил прибивать систему, бросая синий экран с ошибкой в своем драйвере, лечилось удалением и повторной установкой…

                  Ну с такими приколами от антивирей я не сталкивался.


                  Из того что мне попортило АВПО с вирусом Neshta на пару весь софт что у меня был пришлось к чертям выбрасывать.
                  Так как не возможна была дальнейшая нормальная работа с ним, а также возможное повторное заражение системы(Тоже кстати стояла XP).
                  С этого дня прошло ~6 лет.


          1. ZetaTetra
            19.09.2017 09:51

            От лавсана, увы, не спасал антивирь.
            А с грамотным дроппером, ещё и через Ki функции перекроет доступ к файлу.


          1. teecat Автор
            19.09.2017 10:04

            Все верно, но небольшая поправка

            да и руководящие документы так же говорят

            это в общем-то миф. если читать 17й приказ, то там по порядку нужно определить риски и выбрать компенсирующие меры. Антивирус одна из них, но не обязательная.
            Как миф и необходимость использования только сертифицированных решений
            Другой вопрос, что 17й приказ не рассказывает о назначении антивируса правильно — для чего он нужен на самом деле. Но это другой вопрос


          1. mayorovp
            21.09.2017 10:24

            а вот что бы кто-то пришёл и сказал «Твой АВ удалил мои файлы» — что-то ни разу не было

            У вас не было, у меня было.


            Однажды антивирус в ЦОПе (центре оперативной печати) в универе удалил все мои файлы с флешки. Сначала в одном ЦОПе какой-то вирус файлы скрыл и переименовал, заменив своими копиями — а потом в другом ЦОПе антивирус нашел скрытые файлы и удалил их на всякий случай. Ну, может, не удалил, а переместил к себе в карантин — один фиг я этих файлов больше не видел, хорошо что дома остались копии.


            С этими ЦОПами вирусы на моей флешке были постоянно — но ни один из них не нанес мне больше вреда чем это сделал антивирус.


    1. gkvert
      18.09.2017 23:20

      Как результат — заражения отсутствуют у меня как класс.


      Не поделитесь откуда у вас присувствует такая уверенность в этом? Может вы имеете ввиду что определенного класса зловредов нет? Или просто не заражения о котором ВЫ ЗНАЕТЕ?


  1. teecat Автор
    18.09.2017 11:38

    Тут две вещи
    1. Статистика. То, что кому-то не попался троян — статистика и не более. Уязвимости есть всегда. Умный пользователь может уменьшить риск — но исключить его полностью невозможно. Другой вопрос — что антивирус — это то, что антивирус — это не равно антивирусные средства защиты — и выбирать средства защиты нужно нужные
    2. Большинство пользователей -не специалисты в ИТ. Но тем не менее меня поражает, что антивирус ставят — и выключают.
    Если начальство разрешит, надо будет сделать пост с анализом обращений в техподдержку — много, кто выключает или не обновляет антивирус


    1. teecat Автор
      18.09.2017 11:44

      Отвечать на работе параллельно с другими делами вредно для качества ответа

      К сожалению опросы на конференциях, документы регуляторов — показывают, что антивирус считается единственным средством антивирусной защиты. Это не так и не может быть так. Это базовое средство защиты, но 100% защиты он дать не может и должны использоваться дополнительные к нему или заменяющие его средства.


  1. kisaa
    18.09.2017 11:46

    Ваша статистика — типичная статистика. Диаграмма от Майкрософта — "% компьютеров, отметившихся как незащищенные". Сколько это в процентах от всех компьютеров — 5? 50? 90?


    1. teecat Автор
      18.09.2017 12:11
      +1

      По статистике от CureIt! примерно 60% пользователей антивирусы не приобретают и не ставят. За нашу статистику я могу отвечать, поэтому верю, что статистика от Microsoft достоверна.
      Если интересно, то в четверг в Екатеринбурге я буду делать презентацию на Коде ИБ по статистике обращений в саппорт на примере эпидемии WannaCry (почему так — мы его ловили сразу, поэтому очень хорошо идентифицировались пользователи по этой эпидемии). Презентации через некоторое время выкладывают, можно будет посмотреть


      1. slonopotamus
        18.09.2017 12:53

        Я чо-то не понял. Людей у которых антивирус есть, он включен и обновлён на графике нет вообще? Мне кажется, график врёт и его надо проигнорировать.


    1. alex_shpak
      18.09.2017 12:44

      От 27% на WinVista до 3~5% на Win10:
      image

      Иллюстрация из этой статьи


  1. MikeVC
    18.09.2017 20:54

    Антивирус ловит редко очень то что принесли на флешке и то оно не запустилось бы т.к автозапуск отключен.
    А так больше всего помогает файрволл. Он не пускает в инет проги под которые заточены скрипты загрузчики + закрывает лишние порты и уязвимости служб не так страшны.
    А еще полезно в системе отключить выполнение скриптов.


  1. tormozedison
    18.09.2017 21:40

    Антивирус — не ремень безопасности. Антивирус — это замок. Говорят, замки — от честных людей. Не только. Они ещё от дилетантов. А это — существенный процент угроз.


  1. fmj
    19.09.2017 10:26

    Почему бы просто не изучить ос, которую вы используете? Узнать, что там есть настройка прав на файловую систему, процессы. В винде есть integrity levels, в линуксе — selinux. Еще есть штатный firewall. Описанный в статье «троян» в нормально настроенной системе работать не будет. Конечно, есть вариант, что будут использованы уязвимости для поднятия прав в системе, но тут надо просто вовремя обновляться.


    1. azsx
      19.09.2017 10:46

      Описанный в статье «троян» в нормально настроенной системе работать не будет.

      Уточните, пожалуйста, что такое «нормально настроенная система» против вируса шифровальщика, например wanna cry?
      Сегодня я живу в мире иллюзий, что шифровальщике можно на java написать и слать майл спамом постоянно. Не надо шифровать весь компьютер: рабочий стол, мои документы и фото с видео. Сработает не у всех, заплатят не все, но некоторые пользователи заплатят выкуп. При этом защит только две: архивация с проверкой архивов и ничего никогда не запускать вне доверенных закачек.


      1. fmj
        19.09.2017 11:01
        -2

        Wanna Cry использовал уязвимости в smb, причем первой версии, которую можно выключить + нужно апдейты ставить.
        Если у вас можно запускать исполняемые файлы или скрипты, присланные по почте, скачанные браузером и т.п. значит система точно нормально не настроена.


      1. midda2
        19.09.2017 12:29

        Под нормально настроенной системой можно считать такую, где пользователь не работает под администратором (да, это возможно). Т.е. только группа Пользователи, UAC даже на максимальном уровне не достаточно хорош (Ремень безопасности). Включена хотя бы автоматическая установка обновлений безопасности. (Плановое ТО). Эксперты могут использовать WSUS для всестороннего тестирования обновлений. Еще, очень желательно полностью ограничить запуск ПО, не участвующего в рабочем процессе, при помощи SRP или AppLocker, или как вам будет угодно. (Асептика). Ну, и на последнем место можно поставить антивирус. (Антисептика). Есть еще много чего, но можно начать с этого.


        1. fmj
          19.09.2017 12:37

          добавлю, что в случае домашней винды, где нет SRP, можно запретить запуск исполняемых файлов правами файловой системы, а в случае скриптов — запретить запуск mshta, wscript и cscript. Если для ПО требуются эти компоненты, можно создать пользователя, настроить разрешения и запускать ПО от этого пользователя через runas.


          1. fmj
            19.09.2017 12:46

            еще можно для директории с важными документами задать высокий IL no writeup


            1. azsx
              20.09.2017 05:37

              Большое спасибо за ответы.
              По моему аналогия с ремнём безопасности не уместна.
              — То есть обозначим с чем боремся. Я пишу программу, которая читает файловую структуру «мои документы», считает размер каждого файла и записывает мусор в документы + выводит окно «перечисли деньги — отдам файлы». При этом начинаю рассылать программу в офис, где 100 компьютеров и 2 админа. Через почту, социалки, мессенджеры и раскидываю флешки. Админам надо защититься от шифровальщика.
              Из предложенных способов midda2 защита от локера будет только AppLocker. Не думал о таком методе, явно это очень сложно настраивать (не для дома решение), но в офисе, где админ на зарплате вполне пригодится, спасибо. Правами файловой системы запретить запуск программ, также совет понятен, но он очень трудоёмкий (не могу сообразить как его автоматизировать).
              Насчёт запрета скриптов — сносная идея для офиса. Только могут прислать файл на pyton, java или чём угодно. Тем не менее, спасибо.

              можно для директории с важными документами задать высокий IL no writeup

              Этого совета не понимаю. Что это?


              1. fmj
                20.09.2017 06:24

                Через почту, социалки, мессенджеры и раскидываю флешки.

                Включенные и настроенные SRP не дадут запуститься.
                Еще можно настроить доступ к съемным дискам, например запретить запуск исполняемых файлов.
                Насчёт запрета скриптов — сносная идея для офиса. Только могут прислать файл на pyton, java или чём угодно.

                Если это скрипт, то его должен кто-то выполнять(и его можно запретить). В случае SRP можно добавить расширение jar и py в список контролируемых.
                Этого совета не понимаю. Что это?

                Вот. У всех с уровнем ниже «высокий» не будет возможности изменять папку. Еще можно сомнительное ПО запускать с уровнем «низкий».


                1. azsx
                  20.09.2017 07:15

                  Скажите, пожалуйста, а имеется ли в windows способ логирования запуска любых программ на компьютерах в локальной сети в домене и без домена и вывод лога администратору.
                  То есть, имеется 100 компьютеров, какую бы программу не запустил пользователь администратор может просмотреть у себя лог типа: «дата- время», «полный путь к файлу», «md5 сумма файла».


                  1. fmj
                    20.09.2017 11:15

                    для домена да.


  1. Tyusha
    19.09.2017 15:54
    +1

    Установила 3 года назад антивирус Dropbox. Довольна. Он ещё помогает от вируса: "внесла необдуманное изменение в файл — сохранила — закрыла". А это кстати единственный тип опасности, который я видела за последние 10 лет.