Трояны-шифровальшики. Насколько надежна защита.

  • Автор:

anti-trojan-crypt-000.jpgОдной из самых серьезных угроз последнего времени являются трояны-шифровальщики. Это вредоносное ПО способно в одночасье лишить пользователя всей накопленной информации. Для небольших фирм подобный инцидент способен полностью парализовать деятельность на продолжительное время и привести к значительным финансовым и репутационным издержкам. Поэтому мы, когда в наши руки попал свежий экземпляр данного трояна, решили проверить насколько надежную защиту предоставляют популярные антивирусы.

Онлайн-курс по устройству компьютерных сетей
На углубленном курсе "Архитектура современных компьютерных сетей" вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.

Ситуация, с которой пришлось столкнуться одному из наших клиентов, полностью укладывается в классическую схему. При установке ПО для удаленной сдачи отчетности, в полном соответствии с прилагающейся инструкцией, был отключен антивирус, позже было получено письмо якобы от судебных приставов, которое было благополучно открыто.

Можно, конечно, сетовать на низкую компьютерную грамотность пользователей, которые мало того, что открывают письма от неизвестного адресата, так еще и запускают исполняемые файлы из вложения, но для того и существует антивирусное ПО, чтобы такие ситуации предупреждать.

В этот раз главным действующим лицом стала одна из разновидностей Trojan.Encoder.293, который использует двойное шифрование - сначала XOR, потом RSA, что делает расшифровку весьма трудоемким занятием.

Сразу хочется отметить заслуги компании "Доктор Веб" - они, единственные из ведущих производителей антивирусного ПО, предоставляют своим пользователям реальную помощь в расшифровке. Так нами где-то через месяц был получен ключ для дешифровки, что позволило успешно восстановить все файлы.

Обращения в Лабораторию Касперского и NOD 32 остались без внимания, была получена стандартная отписка про сложность дешифровки, отсутствие гарантий и т.п. Да и успехи других вендоров на этом поприще оставляют желать лучшего, на сайте Касперского расположен пяток утилит для расшифровки, которые в подавляющем большинстве случаев будут бесполезны. При этом стоит отметить, что у Касперского мы являлись обладателем корпоративной лицензии, тогда как у Доктора Веба была куплена самая дешевая коробка. Самое время задуматься, у кого в следующий раз приобретать корпоративную защиту.

Механизм заражения данным вредоносным ПО следующий: пользователь получает письмо, якобы от судебных приставов, которое предлагает перейти на сайт и получить электронную повестку. При переходе по фишинговой ссылке на компьютер скачивается архив с троянской программой, которая ворует биткоин-кошельки и связываясь с сервером "хозяина" скачивает дополнительные модули, одним из которых и является Trojan.Encoder.293.

Процесс тестирования был построен следующим образом: совершался переход по фишинговой ссылке, после чего вредоносный файл извлекался из архива и запускался. В отсутствие реакции антивирусного ПО точно также извлекался и запускался собственно Trojan.Encoder.293.  Таким образом максимально близко имитировались действия обычного пользователя. При появлении диалоговых окон с вопросами, скажем от проактивной защиты, мы исходили из худшего варианта, что пользователь все равно попытается открыть вредоносный файл.

Блокирование перехода по фишинговой ссылке добавляет плюс тестируемому продукту, но недостаточно для успешного прохождения теста. В случае обнаружения только Trojan.Encoder.293 и отсутствия реакции на троян-загрузчик ставится оценка "условно пройден", т.е. в данном случае защита сработала, но ее явно недостаточно. 

Для тестирования нами использовалась Windows 8.1 32-бита и последние версии антивирусного ПО на дату тестирования. Из линеек антивирусов всегда выбиралась младшая версия, это связано с тем, что многие пользователи предпочитают именно недорогие или бесплатные версии, а также с тем, что все продукты линейки используют общий антивирусный движок и базу сигнатур, отличаясь только дополнительными возможностями.

Windows Defender

Первым у нас, как всегда, Windows Defender, потому как представляет базовую защиту современных ОС семейства Windows и бесплатно доступен пользователям предыдущих версий. Как мы помним по предыдущим тестам, данный продукт звезд с неба не хватает, предоставляя очень слабый уровень защиты, но тем не менее Windows Defender уверенно определил троян-загрузчик еще на стадии скачивания и удалил его.

anti-trojan-crypt-001.jpg

anti-trojan-crypt-002.jpgРезультат - ТЕСТ ПРОЙДЕН

Кстати это еще один повод задуматься о переходе на Windows 8, так как даже в случае ручного отключения основного антивирусного средства вы не останетесь полностью без защиты. В ряде случаев этот факт может иметь решающее значение.

Comodo Antivirus

Популярный бесплатный продукт, показывающий неплохие результаты в сигнатурных тестах, в этот раз никак не отреагировал на троян-загрузчик, разве что попытался отправить его в "песочницу", но так как в "песочницу" Comodo отправляет каждый второй исполняемый файл, то эта функция чаще всего отключается или файл выводится из песочницы вручную. Принудительная проверка вредоносного файла также не нашла ничего опасного:

anti-trojan-crypt-003.jpgВ тоже время сам Trojan.Encoder.293 был автоматически детектирован и уничтожен. Однако о полноценной защите говорить не приходится, троян-загрузчик остался активным в системе и в следующий раз может загрузить иной деструктивный модуль.

anti-trojan-crypt-004.jpg

Результат - ТЕСТ УСЛОВНО ПРОЙДЕН

avast! Free Antivirus

Еще один популярный бесплатный продукт. Уверенно блокировал переход по фишинговой ссылке:

anti-trojan-crypt-005.jpgОднако на этом все и закончилось... Ни троян-загрузчик, ни сам Trojan.Encoder.293 данный антивирус не обнаружил, в том числе и при ручном сканировании:

anti-trojan-crypt-006.jpgО защите в данном случае можно говорить с очень большой натяжкой.

Результат - ТЕСТ НЕ ПРОЙДЕН

Антивирус Dr.Web

Младшая версия в линейке "Доктора Веба" уверенно находит и удаляет как загрузчик, так и модуль шифрования. Никаких вопросов, все работает.

anti-trojan-crypt-007.jpgРезультат - ТЕСТ ПРОЙДЕН

Антивирус Касперского

Лидер российского антивирусного рынка не подвел, вредоносное ПО сбивается еще на подлете, блокируется сама попытка перейти по фишинговой ссылке:

anti-trojan-crypt-008.jpgЕсли мы все же попытамся продолжить, то попытка также не увенчается успехом:

anti-trojan-crypt-009.jpgТакже антивирус уверенно определяет и блокирует вредоносные семплы при попытке проверить вручную.

Результат - ТЕСТ ПРОЙДЕН

AVG Free Antivirus

Еще один представитель популярных бесплатных антивирусов, четко определил троян-загрузчик, а вот семпл Trojan.Encoder.293 не вызвал у него никакой реакции.

anti-trojan-crypt-010.jpgРезультат довольно неоднозначный, но так как в реальном сценарии заражения все же удалось избежать, будем считать, что защита работает, во всяком случае данный результат лучше, чем детект только шифровальщика.

Результат - ТЕСТ УСЛОВНО ПРОЙДЕН

Avira Free Antivirus

Особой популярностью данный бесплатный продукт у нас не пользуется и результат данного теста ее явно не добавит. Наши образцы вредоносного ПО оказались полностью неизвестны этому антивирусу. 

anti-trojan-crypt-011.jpgРезультат - ТЕСТ НЕ ПРОЙДЕН

Bitdefender Antivirus Free Edition

Bitdefender - новый участник наших тестов, мы взяли для тестирования бесплатную версию, отличающуюся минималистичным дизайном и таким же количеством настроек, однако результат нас удивил. Во-первых, антивирус блокировал фишинговую ссылку:

anti-trojan-crypt-012.jpgВо-вторых, уверено детектировал и удалил оба вредоносных образца.

anti-trojan-crypt-013.jpgРезультат - ТЕСТ ПРОЙДЕН

Norton Antivirus

Norton - самый популярный зарубежный производитель антивирусного ПО, однако в данном случае он оказался не на высоте, детекта вредоносного ПО не произошло и при попытке его запуска мы получили только неуверенные рекомендации от поведенческого анализатора.

anti-trojan-crypt-014.jpgКак мы условились считать, будем исходить из худшего варианта, желание прочитать письмо от приставов перевесило осторожность. И вот здесь мы можем наблюдать отличную работу именно поведенческого анализатора.

anti-trojan-crypt-015.jpgВ тоже время поведенческий анализатор никак не отреагировал на запуск собственно Trojan.Encoder.293. Результат также неоднозначен, с учетом того, что вредоносное ПО отсутствует в сигнатурных базах и детектируется только поведенческим анализатором.

Результат - ТЕСТ УСЛОВНО ПРОЙДЕН

ESET NOD32 Антивирус

Еще один очень популярный коммерческий антивирус. Пробная версия NOD32 неприятно удивила нас на стадии установки, предложив установить Элементы Яндекса и после нашего явного отказа принявшись их устанавливать. Отказ от установки ни к чему не приводит, установка дополнительных компонентов начинается снова и снова. Мы бы еще могли понять такую назойливость, будь перед нами бесплатная версия, но для коммерческого ПО ситуация явно неприемлемая, остается надеяться, что мы столкнулись с ошибкой в инсталляторе, а не с целенаправленной политикой разработчиков.

anti-trojan-crypt-016.jpgВ остальном к NOD32 вопросов не возникло, блокируются и фишинговые ссылки и вредоносные образцы.

anti-trojan-crypt-017.jpganti-trojan-crypt-018.jpgРезультат - ТЕСТ ПРОЙДЕН

McAfee AntiVirus Plus

Продукты McAfee некогда были довольно популярны, сегодня они чаще всего встречаются предустановленными на готовых ПК зарубежных производителей или в виде полугодовых карт в комплекте с некоторым оборудованием.  В данной ситуации антивирус, если цитировать его же сообщение, "проблем не обнаружил".

anti-trojan-crypt-022.jpg

anti-trojan-crypt-019.jpgФайлы зашифрованы, компьютер, тем не менее, "защищен"...

Результат - ТЕСТ НЕ ПРОЙДЕН

Outpost Antivirus Pro

В своих антивирусных продуктах Agnitum делает упор на проактивную защиту. Возможно не зря, несмотря на отсутствие трояна-загрузчика в базах, проактивная защита определила его как умеренно-подозрительный.

anti-trojan-crypt-020.jpgНикаких рекомендаций, в отличие от Norton нам не дают, предоставляя догадаться самим, какое решение принять. Если исходить из худшего сценария и нажать Разрешить, то никаких действий более не последует. Троян-загрузчик пропишется в системе,  при этом Trojan.Encoder.293 был определен и блокирован.

anti-trojan-crypt-021.jpgНа наш взгляд, ситуация с отсутствием в сигнатурной базе отечественного коммерческого антивируса семплов заразы не первый день гуляющей по просторам сети неприемлема, но по условиям тестирования мы признаем условное прохождение теста.

Результат - ТЕСТ УСЛОВНО ПРОЙДЕН

Emsisoft Anti-Malware

Еще один новичок нашего тестирования, набирающий популярность австрийский антивирус, сочетает в себе антивирусный движок Bitdefender и собственный антишпион. Уже отталкиваясь от движка можно заранее предсказать результат. Emsisoft Anti-Malware уверенно блокирует доступ к фишинговому сайту, практически не оставляя способа быстро обойти запрет:

anti-trojan-crypt-023.jpgТакже детектирует и блокирует оба экземпляра вредоносного ПО, ну да иного мы и не ожидали.

anti-trojan-crypt-024.jpgРезультат - ТЕСТ ПРОЙДЕН

Выводы

Результаты данного теста в очередной раз показали, что для успешной борьбы с вирусами "местного разлива" лучше всего подходят продукты местных разработчиков. В том, что Trojan.Encoder.293 направлен именно на российского пользователя сомнений нет, следовательно, и основной ареал его распространения - это Россия и страны ближнего зарубежья. 

Как видим, отечественные антивирусы и продукты восточноевропейских производителей показывают в борьбе с таким вредоносным ПО отличные результаты, чего не скажешь о западных продуктах, в том числе и весьма неплохих и именитых. Тем более западные лаборатории вряд ли смогут вам помочь с расшифровкой файлов, учитывая, что и у нас дела на этом поприще обстоят неважно. 

Что выбрать для защиты? Любой отечественный или восточноевропейский коммерческий антивирус первого эшелона обеспечивает полноценную защиту, а Bitdefender при этом имеет еще и бесплатную версию. Среди бесплатных антивирусов что-либо порекомендовать трудно, ни один из них не обеспечивает должного уровня защиты от угроз подобного рода.

Онлайн-курс по устройству компьютерных сетей
На углубленном курсе "Архитектура современных компьютерных сетей" вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.


Loading Comments