Что такое вредоносная программа?
Узнайте больше о программах-шантажистах, принципах их работы и о том, как защитить себя и свой бизнес от кибератак этого типа.
Определение вредоносного ПО
Вредоносное ПО — это приложения или код, которые препятствуют нормальному использованию конечных устройств. Когда устройство заражено вредоносным ПО, вы можете столкнуться с несанкционированным доступом, компрометацией данных или блокировкой и требованием заплатить выкуп.
Вредоносное ПО распространяют киберпреступники. Их цель — получить деньги, а также использовать зараженные устройства для новых атак. Например, они крадут банковские реквизиты, собирают персональные данные, которые можно продать, торгуют доступом к вычислительным ресурсам и вымогают платежную информацию у жертв.
Принцип работы вредоносного ПО
Вредоносные программы обманывают пользователей и мешают нормальной работе с устройствами. Как только киберпреступник получает доступ к вашему устройству с помощью одного или нескольких различных методов — например, фишингового письма, зараженного файла, уязвимости системы или программного обеспечения, зараженного USB-накопителя или вредоносного веб-сайта — он использует ситуацию в своих интересах, чтобы проводить дополнительные атаки, получить учетные данные, собирать личную информацию для продажи, продавать доступ к вычислительным ресурсам или вымогать оплату у жертв.
Каждый может стать жертвой атаки вредоносного ПО. Хотя многие знают, как определить вредоносное ПО, например фишинговое письмо, киберпреступники изощрены и постоянно совершенствуют свои методы, чтобы идти в ногу с технологиями и новшествами в области безопасности. Кибератаки также выглядят и действуют по-разному в зависимости от типа вредоносного ПО. Например, человек, ставший жертвой атаки с применением пакета программ rootkit, может даже не знать об этом, поскольку этот тип вредоносного ПО разработан таким образом, чтобы затаиться и оставаться незамеченным как можно дольше.
Ниже описаны несколько способов, с помощью которых киберпреступники пытаются заразить устройства вредоносным ПО.
Виды вредоносного ПО
Вредоносные программы могут быть разными — вот некоторые из самых распространенных форм.
Фишинг
Во время фишинговой атаки вы получаете электронное письмо, текстовое сообщение, открываете веб-сайт или взаимодействуете с любой другой формой коммуникации, которая напоминает ресурс, которому можно доверять. Так работает механизм реализации вредоносной программы. Обычно во время таких атак могут быть украдены имена пользователей, пароли, сведения платежных карт или данные банковских счетов. Атаки такого типа могут привести к хищению персональных данных или краже денег напрямую со счета или банковской карты.
Например, киберпреступник может выдать себя за представителя известного банка и отправить клиенту электронное письмо с предупреждением о том, что его счет был заморожен из-за подозрительных действий, и требованием перейти по ссылке в письме, чтобы решить проблему. После нажатия на такую ссылку устанавливается вредоносная программа.
Программа-шпион
Программа-шпион устанавливается на устройстве сама без чьего-либо согласия или предупреждения. После установки она может отслеживать поведение в сети, собирать конфиденциальные данные, менять параметры устройства и ухудшать его производительность.
Программа для показа рекламы
ПО такого типа, как и программа-шпион, устанавливается на устройство сама без чьего-либо согласия. Такие программы отображают на экране агрессивную рекламу, часто в виде всплывающих объявлений, чтобы пользователь щелкнул рекламу, что может привести к хищению денежных средств. Программы для показа рекламы часто ухудшают производительность устройства. Более опасные программы для показа рекламы могут устанавливать дополнительное ПО, менять параметры браузера и увеличивать уязвимость устройства к другим вредоносным атакам.
Вирусы
Вирусы разработаны для вмешательства в нормальную работу устройства путем записи, повреждения или удаления его данных. Они часто распространяются на устройствах, обманом заставляя людей открывать вредоносные файлы.
Эксплойты и наборы эксплойтов
Эксплойты используют уязвимости ПО, чтобы обойти систему безопасности устройства и заразить его. Хакеры проводят сканирование для поиска устройств с устаревшими системами, содержащими уязвимости, а затем взламывают их и развертывают вредоносные программы. Путем включения кода оболочки в эксплойт киберпреступники могут загрузить больше вредоносного ПО, которое заражает устройства и проникает в организации.
Наборы эксплойтов содержат несколько эксплойтов, которые сканируют устройства на разные типы уязвимостей. Если обнаружена уязвимость, наборы развертывают дополнительное вредоносное ПО. Среди программ, которые могут быть заражены, встречаются Adobe Flash Player, Adobe Reader, веб-браузеры, Oracle Java и Sun Java. Angler/Axpergle, Neutrino и Nuclear — некоторые типы распространенных наборов эксплойтов.
Обычно эксплойты и наборы эксплойтов используют вредоносные веб-сайты или почтовые вложения для взлома сети или устройства, но иногда они также прячутся в рекламе на законных веб-сайтах без ведома владельцев сайта.
Вредоносное ПО без использования файлов
В эту категорию входит вредоносное ПО, которое не использует файлы, например вложения электронной почты, для проникновения в сеть. Такие программы могут поступать через вредоносные сетевые пакеты, которые используют уязвимость, а затем устанавливают вредоносное ПО, живущее только в памяти ядра. Вредоносные программы, не использующие файлы, особенно сложно обнаружить и удалить, так как большинство антивирусов не поддерживает сканирование встроенного ПО.
Вредоносные макросы
Возможно, вы уже знакомы с макросами, которые позволяют быстро автоматизировать рутинные задачи. Вредоносное ПО в макросах использует их функциональность, чтобы заражать вложения и файлы архивов ZIP. Чтобы обманом заставить людей открыть файлы, киберпреступники часто прячут вредоносное ПО в файлах, замаскированных под счета, квитанции и юридические документы.
В прошлом вредоносные программы для макросов были более распространены, так как макросы запускались автоматически при открытии документа. Но в последних версиях Microsoft Office макросы отключены по умолчанию, а это значит, что киберпреступникам, заражающим устройства таким образом, приходится убеждать пользователей их включить.
Программы-шантажисты
Программа-шантажист — это вредоносная программа, которая угрожает жертве, уничтожая важные данные либо блокируя доступ к ним до тех пор, пока не будет выплачен выкуп. Программы-шантажисты, управляемые человеком, проникают в организацию через общие ошибки в системе и безопасности, ориентируются в ее корпоративной сети и адаптируются к среде и любым слабым местам. Распространенным способом получения доступа к сети организации для распространения программы-шантажиста является кража преступником учетных данных реального сотрудника, чтобы выдать себя за него и получить доступ к его учетной записи.
Злоумышленники, использующие программы-шантажисты, нацелены на крупные организации, поскольку они могут заплатить более высокий выкуп, чем обычные частные лица — часто запросы достигают миллионов долларов. Из-за высоких ставок, связанных со взломом такого масштаба, многие организации предпочитают заплатить выкуп. Это делается для того, чтобы не допустить утечки конфиденциальных данных или избежать риска дальнейших атак со стороны киберпреступников, хотя оплата этого не гарантирует.
По мере роста числа атак с применением управляемых программ-шантажистов злоумышленники действуют все более организованно. На самом деле многие подобные атаки сегодня осуществляются по модели "программа-шантажист как услуга": преступные разработчики создают такую программу, а затем привлекают других злоумышленников, чтобы те с ее помощью взломали корпоративную сеть и установили там это ПО, а затем делят прибыль в оговоренной пропорции.
Пакеты программ rootkit
С помощью пакета программ rootkit киберпреступники могут скрывать вредоносное ПО на устройстве очень продолжительное время (иногда даже годы), чтобы непрерывно иметь доступ к сведениям и ресурсам. Перехватывая и изменяя стандартные процессы операционной системы, rootkit может изменять данные устройства, которые оно сообщает о себе. К примеру, устройство, на котором действует rootkit, может отображать неполный список запущенных программ. Пакет программ rootkit также может предоставлять киберпреступникам права администратора или повышенные привилегии, в результате чего они получают полный контроль над устройством и могут выполнять потенциально опасные действия, например, красть данные, следить за жертвой и устанавливать дополнительные вредоносные программы.
Атака через цепочку поставок
Этот тип вредоносного ПО нацелен на разработчиков и поставщиков программных решений. Злоумышленники получают доступ к исходному коду, выстраивают нужные процессы или обновляют механизмы в официальных приложениях. Обнаружив небезопасный сетевой протокол, незащищенную инфраструктуру сервера или код, киберпреступники взламывают систему, изменяют исходные коды и прячут вредоносное ПО в процессах сборки и обновления.
Мошенничество под видом технической поддержки
Мошенничество с техподдержкой — это проблема всей отрасли. Мошенники используют запугивание, чтобы обманом заставить пользователей платить за ненужные услуги техподдержки, которые могут представляться как необходимые для устранения фальсифицированной проблемы, связанной с устройством, платформой или программным обеспечением. В этом случае мошенник может позвонить пользователю напрямую и выдать себя за сотрудника ИТ-компании. Завоевав чье-то доверие, злоумышленники часто предлагают потенциальным жертвам установить приложения или предоставить удаленный доступ к их устройствам.
Трояны
Троянские программы рассчитаны на то, что пользователь неосознанно скачает их, поскольку они выглядят как официальные файлы или приложения. После скачивания трояны могут:
- скачивать и устанавливать дополнительное вредоносное ПО, например вирусы или червей;
- использовать устройство для клик-фрода;
- записывать нажатия клавиш и веб-сайты, которые вы посещаете;
- отправлять информацию (например, пароли, данные для входа и историю просмотров) о зараженном устройстве злоумышленнику;
- предоставлять киберпреступнику контроль над зараженным устройством.
Нежелательные программы
Когда на устройстве установлено нежелательное ПО, пользователь может столкнуться с изменениями в работе веб-браузера, изменением процесса скачивания и установки, вводящими в заблуждение сообщениями и несанкционированным изменением параметров устройства. Некоторые нежелательные программы поставляются в комплекте с программами, которые люди скачивают.
Черви
Червь распространяется по сети, используя уязвимости в системе безопасности и копируя себя, чаще всего во вложениях электронной почты, текстовых сообщениях, программах совместного использования файлов, сайтах социальных сетей, на сетевых ресурсах и съемных дисках. В зависимости от типа червя, он может красть конфиденциальную информацию, изменять настройки безопасности или лишать вас доступа к файлам.
Вирусы-майнеры
С ростом популярности криптовалют майнинг стал прибыльным занятием. Вирусы-майнеры используют вычислительные ресурсы устройства для майнинга криптовалют. Заражение этим типом вредоносного ПО часто начинается с вложения в электронную почту, которое пытается установить вредоносное ПО, или с веб-сайта, который использует уязвимости в веб-браузерах или использует вычислительную мощность компьютера для добавления вредоносного ПО на устройства.
С помощью сложных математических расчетов майнеры монет поддерживают реестр блокчейна, чтобы красть вычислительные ресурсы, которые позволяют майнеру создавать новые коины. Однако для кражи даже относительно небольших сумм криптовалют при майнинге требуется значительная вычислительная мощность компьютера. По этой причине киберпреступники часто работают в командах, чтобы максимизировать и разделить прибыль.
Однако не все майнеры являются преступниками — частные лица и организации иногда приобретают оборудование и электронную энергию для законного майнинга. Это действие становится преступным, когда киберпреступник проникает в корпоративную сеть против ведома организации, чтобы использовать ее вычислительные мощности для майнинга.
Защита от вредоносных программ
Жертвой атаки вредоносного ПО может стать каждый. Однако существует множество способов предотвратить атаку.
Установка антивирусной программы
Лучшим способом защиты является профилактика. Организации могут блокировать или обнаруживать многие атаки вредоносного ПО с помощью надежного решения безопасности или службы защиты от вредоносного ПО, например Microsoft Defender для конечной точки или антивирусной программы в Microsoft Defender. При использовании таких программ устройство проверяет все файлы и ссылки, которые вы пытаетесь открыть, чтобы гарантировать их безопасность. Если файл или веб-сайт оказываются вредоносными, программа предупреждает вас об этом и рекомендует не открывать их. Такие средства защиты также могут удалять вредоносное ПО с уже зараженных устройств.
Внедрение расширенной защиты электронной почты и конечных точек
Предотвратить атаки вредоносного ПО можно с помощью Microsoft Defender для Office 365, который сканирует ссылки и вложения в электронной почте и средствах совместной работы, таких как SharePoint, OneDrive и Microsoft Teams. Defender для Office 365 в составе Microsoft Defender XDR предлагает широкие возможности обнаружения и реагирования для устранения угрозы атак вредоносного ПО.
Также являясь частью Microsoft Defender XDR, Microsoft Defender для конечной точки использует датчики поведения конечных точек, облачную аналитику безопасности и аналитику угроз, чтобы помогать организациям предотвращать, обнаруживать, расследовать современные угрозы и реагировать на них.
Организуйте регулярное обучение
Проводите регулярные тренинги и информируйте сотрудников о том, как обнаруживать признаки фишинга и других кибератак. Так они не только познакомиться с более безопасными приемами работы, но и смогут эффективнее защищать собственные устройства. Симуляторы и инструменты обучения, такие как обучение с симуляцией атаки в Defender для Office 365 помогают моделировать реальные угрозы в вашей среде и назначать конечным пользователям обучение на основе результатов моделирования.
Преимущества резервного копирования в облаке
Когда вы переносите свои данные в облачную службу, вы сможете легко создавать резервные копии данных для более надежного хранения. В случае кражи вашей информации вредоносной программой эти службы помогут вам моментально и полностью восстановить свои данные.
Реализуйте модель "Никому не доверяй"
Модель "Никому не доверяй" проверяет все устройства и пользователей на предмет рисков, прежде чем предоставлять им доступ к приложениям, файлам, базам данных и другим устройствам. Это снижает вероятность несанкционированного доступа к вашим ресурсам и установки вредоносных программ. Например, внедрение многофакторной проверки подлинности (одного из компонентов модели "Никому не доверяй") сокращает эффективность атак с использованием цифровых удостоверений более чем на 99%. Чтобы оценить этап развертывания модели "Никому не доверяй" в своей организации, проведите оценку этапа развертывания модели "Никому не доверяй".
Присоединяйтесь к сообществам для обмена информацией
Сообщества по обмену информацией, которые часто формируются по отраслевому или географическому признаку, позволяют организациям со сходной структурой вместе вырабатывать решения в области кибербезопасности. Участие в подобных группах также обеспечивает компаниям ряд преимуществ, например доступ к службам реагирования на инциденты и цифровой экспертизы, новостям о последних угрозах и мониторингу диапазонов общедоступных IP-адресов и доменов.
Создавайте автономные резервные копии
Поскольку некоторые вредоносные программы пытаются найти и удалить резервные копии ваших данных, доступные через сеть, имеет смысл создать, а затем регулярно обновлять и проверять такие копии вне сети, чтобы получить возможность восстановить информацию в случае подобной атаки.
Следите за актуальностью программного обеспечения
Помимо регулярного обновления антивирусных решений (например, с помощью автоматических обновлений), также не забывайте скачивать и устанавливать другие обновления для системы и исправления для программного обеспечения по мере их появления. Это помогает минимизировать уязвимости в системе безопасности, которыми киберпреступник может воспользоваться для доступа к вашим сетям и устройствам.
Разработайте план реагирования на инциденты
Подобно плану действий в чрезвычайных обстоятельствах с процедурой эвакуации в случае пожара, повышающему вашу безопасность и готовность к неожиданностям, план действий на случай вредоносных атак поможет вам правильно повести себя в различных сценариях, чтобы как можно скорее вернуться к нормальной и безопасной работе.
Обнаружение и удаление вредоносного ПО
Вредоносные программы не всегда легко обнаружить, особенно если для атаки не используются файлы. Как организациям, так и частным лицам стоит обращать внимание на увеличение количества всплывающей рекламы, перенаправлений в браузере, подозрительных сообщений в социальных сетях, а также сообщений о взломе учетных записей или безопасности устройств. Изменение в производительности устройства, например, более медленная работа, также может быть поводом для беспокойства.
Если вы подозреваете, что стали жертвой атаки вредоносного ПО, к счастью, вы можете обнаружить ее источник и удалить его. Прежде всего, воспользуйтесь антивирусными продуктами, например, теми, которые встроены в Windows для проверки на наличие вредоносных программ. После установки антивирусной программы запустите сканирование устройства на наличие вредоносных программ или кода. Если программа обнаружит вредоносное ПО, она перечислит его тип и даст рекомендации по удалению. После удаления убедитесь, что программное обеспечение обновлено и исправно работает, чтобы предотвратить будущие атаки.
В случае более сложных атак на организации, которые антивирусные программы не в состоянии обнаружить и блокировать, системы управления информационной безопасностью и событиями безопасности (SIEM) и XDR-продукты предоставляют специалистам по безопасности облачные методы защиты конечных точек, которые помогают обнаруживать и реагировать на атаки на конечные устройства. Эти атаки разнонаправлены, и киберпреступники нацелены не только на контроль над устройствами. В таких ситуациях SIEM и XDR помогают организациям увидеть общую картину во всех доменах — включая устройства, электронную почту и приложения.
Внедрение инструментов SIEM & XDR ,например, Microsoft Sentinel, Microsoft Defender XDR и Microsoft Defender для облака, — хорошая отправная точка для обеспечения антивирусной безопасности. Специалисты по безопасности должны следить за тем, чтобы устройства всегда обновлялись в соответствии с последними рекомендациями для предотвращения атак с использованием вредоносных программ.
Подробнее о решениях Microsoft Security
Microsoft Sentinel
Используйте простое функциональное SIEM-решение на основе облачных и ИИ-технологий, чтобы выявлять и устранять сложные угрозы.
Microsoft Defender XDR
Нейтрализуйте междоменные атаки с помощью унифицированного решения XDR. которое обеспечивает расширенное представление об угрозах и использует технологии ИИ, не имеющие себе равных.
Microsoft Defender для облака
Повысьте безопасность облака: контролируйте и защищайте рабочие нагрузки в многооблачных средах.
Microsoft Defender для Office 365
Защитите свою организацию от угроз, исходящих от электронной почты, ссылок и средств совместной работы.
Отчет о цифровой защите Microsoft
Ознакомьтесь с актуальной картиной угроз безопасности и узнайте, как построить систему цифровой защиты.
Вопросы и ответы
-
К сожалению, каждый может стать жертвой атаки вредоносного ПО. Киберпреступники становятся все более изощренными в имитации электронных писем и других форм коммуникации от организаций, с которыми вы уже ведете дела, например, от вашего банка. Другие виды вредоносных программ еще менее заметны и могут быть скрыты в программном обеспечении, которое вы скачиваете.
В то же время инвестиции в профилактические решения, такие как службы защиты от угроз, — надежный способ предотвратить проникновение вредоносных программ в ваши сети и на устройства. Таким образом, пользователи и организации, развернувшие антивредоносные программы и другие протоколы безопасности, такие как модель "Никому не доверяй", до атаки вредоносного ПО, с меньшей вероятностью станут его жертвами.
-
Атаки вредоносного ПО осуществляются различными способами. Вы можете нажать вредоносную ссылку, открыть зараженное вложение электронной почты или вообще ничего не сделать — некоторые атаки используют уязвимости системы безопасности устройства.
-
Последствия атаки вредоносного ПО могут быть очень серьезными, например, кража ваших личных данных и денег, или менее серьезными, но все же навязчивыми, например, показ нежелательной рекламы на вашем устройстве.
-
Антивирусы — это тип программного обеспечения, которое активно защищает вас от вредоносных программ и удаляет их на устройстве. Если у вас установлена антивирусная служба, то перед доступом к взломанному файлу или ссылке вы получите уведомление с предупреждением о том, что это потенциально опасно.
-
Атаки вредоносного ПО проще всего предотвратить, скачав и установив антивирусную программу. Она будет отслеживать активность и действия устройства и отмечать любые подозрительные файлы, ссылки или программы до того, как они станут проблемой.
Следите за новостями Microsoft Security