Под видом «апдейта»

Незваные гости

Другие выпуски этой рубрики (97)

добавить в избранное

Под видом «апдейта»

Прочитали: 4633 Комментариев: 100 Рейтинг: 117

25 января 2018

«Если правда оно,
Ну, хотя бы на треть,
Остается одно:
Только лечь, помереть»

Владимир Семенович Высоцкий, «Ой, где был я вчера»

Как ведет себя неискушенный пользователь при необходимости обновления «чего-то там»? Иногда так:

Зашел в «Центр обновления Винды». Там висело ВАЖНОЕ обновление. Внимательно не читал, что-то связанное то ли с монитором, то ли еще что-то подобное. Поверил Винде. Скачалось. Начало устанавливаться. Через некоторое время от ДВ прилетело сообщение типа:

«Вы действительно хотите допустить изменение какого-то там системного чего-то там?» Поверил ДВ - нажал «заблокировать»;. Потом опять какое-то мелькание, тормоза (висел в инете в этот момент) - опять прилетает такое-же сообщение от ДВ. Опять жму «заблокировать».

Заволновался, залез в ТЕМР, там - фигова гора каких-то файлов. Снес их. Теперь все спокойно. Посмотрел установленные обновления - нового обновления не установилось. Скажите пожалуйста, что это было и как действовать в подобных случаях?

Обращение в техническую поддержку

Многие ли внимательно читают описания обновлений? Тем более что информация там зачастую очень и очень расплывчатая.

А тем временем для опасений основания есть: злоумышленники пытаются имитировать сообщения об обновлениях.

Злоумышленники, разработавшие шифровальщик Fantom, маскируют его под критическое обновление Windows.

Чтобы подтвердить легитимность «обновления», в свойства исполняемого файла шифровальщика сообщается, что он принадлежит Microsoft и является критическим обновлением.

https://www.bleepingcomputer.com/news/security/fantom-ransomware-encrypts-your-files-while-pretending-to-be-windows-update/

«Критическое обновление №1»! Забавно…

После запуска файла «критического обновления» из тела шифровальщика извлекается и запускается программа под названием WindowsUpdate.exe, которая отображает поддельный экран обновления Windows, показанный ниже. Этот экран показывается поверх всех активных окон и не позволяет пользователю переключаться на любые другие открытые приложения.

Фальшивый экран обновления содержит счетчик, который увеличивается по мере того, как выкуп зашифровывает файлы жертвы в фоновом режиме. Это делается для того, чтобы сделать поведение шифровальщика похожим на процесс обновления и объяснить для пользователя причину повышенной активности файловых операций.

Экран можно закрыть, используя комбинацию клавиш Ctrl + F4. Это прекратит поддельный процесс обновления Windows и отобразит обычный экран Windows, но шифровальщик продолжит шифрование файлов в фоновом режиме.

https://pbs.twimg.com/media/CqpI2TaWEAAss21.jpg:large

https://www.bleepingcomputer.com/news/security/fantom-ransomware-encrypts-your-files-while-pretending-to-be-windows-update

Название WindowsUpdate, надо полагать, будет отображено в списке запущенных процессов, что должно развеять подозрения пользователя.

Естественно, Превентивная защита Dr.Web заметит подозрительную активность (включая обращения к различным ресурсам). Но вот проблема: Превентивная защита отслеживает работу программ, не зная их назначения, и не может всегда быть уверена на 100%, что бурная деятельность по замене тучи файлов и изменению реестра – нелегитимна. Поэтому она выдает предупреждение, и уже пользователь должен принять решение, что делать с обнаруженным процессом.

В описанном в начале выпуска случае все закончилось благополучно. Тревога оказалась ложной, пользователь запустил легитимное обновление. Но ведь все могло быть иначе!

Имитация процедуры обновления – не единственный прием, можно подменить и саму систему обновлений.

Вредоносная программа Win32.HLLW.Flame.1 перехватывала доступ к официальному серверу Windows Update (атака «человек посередине»). Чтобы реализовать такой перехват, троянец объявлял зараженную машину прокси-сервером домена. После этого, если какой-то ПК из локальной сети пытался установить соединение с Microsoft Windows Update, соединение автоматически перенаправлялось на зараженную систему, которая, в свою очередь, отправляла запросившей машине ложное вредоносное обновление Windows. Благодаря этому злоумышленники могли заражать даже полностью обновленные версии ОС!

Заметим, что один из компонентов Flame – файл WuSetupV.exe – имел цифровую подпись Microsoft, что позволяло ему запускаться без подтверждения со стороны пользователя. В связи с этим корпорация Microsoft выпустила обновление безопасности, в котором отозвала ряд сертификатов, используемых Flame для подписи программных модулей.

А теперь – минутка отдыха! В процессе сбора информации к выпуску в числе прочих нам на глаза попалась статья с такой фразой:

Мощная рекламная компания по запугиванию пользователей, уклоняющихся от обновления Windows XP до более новых версий, захлестнула европейские СМИ. Больше других старались британские СМИ и политические деятели, даже Тереза Мей приняла активное участие. Отдельную благодарность за агрессивную рекламную кампанию в интересах мелкомягких следует вынести BBC.

Как вы думаете, какая вредоносная программа побудила к написанию подобного? Догадаетесь без «гугления»?

#обновления_безопасности #обновления_антивируса #вредоносное_ПО #шифровальщик #цифровая_подпись

Антивирусная правДА! рекомендует

Разумеется, обновления нужны, и устанавливать их необходимо регулярно. Но пример Flame показывает, что можно подделать и саму процедуру обновления операционной системы!

Не используйте автоматическое обновление ПО (за исключением антивируса). Самостоятельно выбирайте обновления для запуска.
Не запускайте обновления, о необходимости которых вы прочитали на сайте или в письме, даже если оно подписано «Ваш администратор».
Держите свой антивирус обновленным. Правила Превентивной защиты актуализируются в процессе обновления антивируса, а значит, диагностика поведения новых программ улучшается.

Пользователи Dr.Web защищены от троянской программы, описанной в выпуске. Наш антивирус распознает ее как Trojan.Encoder.5654.

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Поставьте «Нравится»

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Денисенко Павел Андреевич
23:35:06 2018-08-02

Dr.Web защитит от всех видов угроз в том числе и от троянцев.

Неуёмный Обыватель Собкор
04:24:22 2018-06-14

Вот и сидит в раздумьях обыватель: то ли обновляться, то ли не обновляться...

vasvet
15:39:14 2018-04-04

Всегда лучше устанавливать на: Искать обновления, но спрашивать установку.

Вячeслaв Собкор
10:56:02 2018-02-15

@Fix, Давно. И попытки продолжаются. Именно поэтому антивирусные модули и базы подписываются, а при приеме их на стороне клиента подпись проверяется

Fix
05:25:02 2018-02-15

Действительно интересная статья. Спасибо! А были ли случаи такого обновления с антивирусами?

Алексей
17:09:13 2018-02-13

Действуем осторожно. "Семь раз отмерь-один раз отрежь"

IIICoDIII
23:41:23 2018-01-26

Доверяй,но проверяй!

Александр
22:15:56 2018-01-26

Доверяй,но проверяй!

Александр
22:15:50 2018-01-26

Доверяй,но поверяй!

Lia00 Собкор
20:06:47 2018-01-26

о сколько здесь открытий можно сделать

razgen Собкор
01:11:54 2018-01-26

Может быть в какой-то степени в ущерб безопасности, но чтобы не искать для себя дополнительных приключений с обновлениями, использую Win7, с отключенным обновлением. При этом антивирус Dr.Web Security Space 11, всегда включен с автоматическими обновлениями согласно регламента работы.

newstih
23:28:49 2018-01-25

Даже если скорость затыкания дырок будет всегда превышать скорость их обнаружения и использования хакерами, все равно остается сомнение, что именно у тебя все дырки заткнуты.

eaglebuk
23:03:17 2018-01-25

Что за время, никому нельзя верить. ДрВеб каждые полчаса обновляется, остальным как повезёт)

vla_va
22:35:13 2018-01-25

Разновидности хитростей все, надеюсь, прочитаем здесь

НинаК
22:28:07 2018-01-25

Опять надо осторожничать!

ek
21:58:46 2018-01-25

А так хотелось верить всегда update...

razgen Собкор
21:58:44 2018-01-25

@Татьяна, поздравляю с Днём Татьяны,
и желаю быть от счастья пьяной!

razgen Собкор
21:51:34 2018-01-25

@Людмила, Спасибо за отклик и за ссылочку!!! Спасибо, что не обошли вниманием эту знаменательную дату!!!

kva-kva
21:38:30 2018-01-25

Уловка знатная, придется и пользователю попотеть

orw_mikle
21:27:57 2018-01-25

У меня стоит автоматическое обновление ОС, никаких проблем не было.

GREII Собкор
21:17:12 2018-01-25

перед тем как, что то ставить - всегда выжидаем и читаем - что нового и какие отзывы... спасибо за защиту

Dvakota
20:52:47 2018-01-25

Вот и попробуй , разберись - быть или не быть обновлению .

mk.insta
20:39:26 2018-01-25

Не тормозить очень важно! Голову не выключать!

Сергей
20:11:27 2018-01-25

Интересная статья и полезные рекомендации об обновлениях.

Владимир
19:01:35 2018-01-25

Реально бесят пользовательские соглашения к обновлениям, чтобы в них разобраться нужно как минимум два высших образования (юридическое и связанное с компьютерными технологиями) и полдня времени.

os17
18:57:55 2018-01-25

Очень полезная и познавательная статья. Даже не задумывалась об опасности обновлений.

Black Angel
18:48:25 2018-01-25

Нужно быть бдительным во всем.

Шалтай Александр Болтай Собкор
18:33:11 2018-01-25

Криминальные новости: учительница географии под видом беременности вынесла из школы глобусов на 20 тысяч рублей.

Littlefish Собкор
17:58:15 2018-01-25

@Татьяна, спасибо за поздравления. А Вас поздравляю с Татьяниным днём!

Littlefish Собкор
17:45:44 2018-01-25

@admin, стильная и красочная картинка: Не тормози - перегрузи!
Очень понравилась.

Littlefish Собкор
17:41:11 2018-01-25

Так что тут ещё очень большую роль играет доверие: кому пользователь доверяет больше - своему антивирусу или цифровым подписям гласящим, что файл принадлежит компании Майкрософт.

Людмила
17:38:36 2018-01-25

@Пaвeл, @razgen,
"... Так ты хотел, чтоб не актёром —
Чтобы поэтом называли."
Андрей Вознесенский, Не называйте его бардом https://soulibre.ru/%D0%9D%D0%B5_%D0%BD%D0%B0%D0%B7%D1%8B%D0%B2%D0%B0%D0%B9%D1%82%D0%B5_%D0%B5%D0%B3%D0%BE_%D0%B1%D0%B0%D1%80%D0%B4%D0%BE%D0%BC_(%D0%90%D0%BD%D0%B4%D1%80%D0%B5%D0%B9_%D0%92%D0%BE%D0%B7%D0%BD%D0%B5%D1%81%D0%B5%D0%BD%D1%81%D0%BA%D0%B8%D0%B9)

L1t1um
17:38:11 2018-01-25

Благодарю за рекомендации и советы! Антивирус на автомате обновляется. Как доктор прописал=)))

Littlefish Собкор
17:33:24 2018-01-25

А может (что ещё хуже) добавить вредоносную программу, притворяющуюся полезным обновлением в исключения антивируса или вовсе отключить антивирус (мол типа, что это за бестолковый антивирус, ругается на "полезные и критически важные" обновления из официального центра обновлений виндовс).

Littlefish Собкор
17:31:58 2018-01-25

И вроде понятно, что всегда нужно устанавливать обновления только с официальных сайтов или через центр обновления виндовс, но в случае с Win32.HLLW.Flame.1 вирмейкеры додумались автоматически перенаправлять соединение на зараженную систему. И пользователь устанавливающий обновление через центр обновления виндовс скорее всего будет уверен в безопасности такого обновления и может не отреагировать на предупреждение антивируса.

Damir Собкор
17:27:43 2018-01-25

Спасибо компании Dr.Web за защиту и полезные советы.

Пaвeл Собкор
17:26:57 2018-01-25

@razgen, Поэт в России - больше, чем поэт! Владимир Семенович Высоцкий - великий поэт!

La folle
17:23:26 2018-01-25

Не все обновления одинаково полезны!

Littlefish Собкор
17:18:27 2018-01-25

А "страшилки" звучат правдоподобно, учитывая, что на самом деле много разнообразных уязвимостей находят в последнее время и соответственно много выпускается "заплаток".

Littlefish Собкор
17:14:52 2018-01-25

Обновления нужны, обновления важны - многие пользователи начинают это понимать. И вот здесь действует элемент социальной инженерии - запугать, что без установки определённого обновления безопасность пользователя будет под угрозой (и не важно, что установлен антивирус) и напуганные пользователи спешат как можно скорее установить критическое обновление (а на самом деле вредоносную программу себе на ПК).

B0RIS
16:41:16 2018-01-25

Обычному пользователю остается надеяться только на актуальные обновления антивируса.

Toma
16:21:26 2018-01-25

Поздравляю Всех с "Татьяниным днем! И с днем рождения Владимира Высоцкого!

Toma
16:14:00 2018-01-25

Понятно, что антивирус необходимо обновлять регулярно. Насчет всего остального - вопрос.

stavkafon
14:56:25 2018-01-25

За остальными особо не слежу,но антивирус обновляю регулярно,

Дмитрий
14:40:01 2018-01-25

То не устанавливай, то устанавливай. С Windows10 не прокатит.

Вячeслaв Собкор
14:36:49 2018-01-25

@RIBok, увы, но организаций, у которых в сети бардак - огромное количенство. В качестве примера - образовательные учреждения самого разного размера. Денег нет, админы могут быть совсем никакие (на каких грубо говоря деньги нашлись). Медицина временами. Грубо говоря все очень сильно зависит от бюджета - могут ли нанять вменяемого человека
Ну и ситуация, когда в маленькой компании как таковой сети нет (почты в сети собственной нет, файлового сервера тоже ), все пользуются облачными сервисами поотдельности. Вроде бы и сеть, а вроде бы и особо нет ее

kozinka.ru Собкор
14:20:28 2018-01-25

@Alexander, "Будьте осторожны в принятии решения о нажатии на "ОК". Совет, без сомнения, правильный.
Но в моей практике встречались такие индивидуумы, которые даже прочитав содержание окна UAC, задавали вопрос: "Это чё здесь мне написали?" Т.е. человек, сидящий за компьютером не всегда может осознать то, что он прочитал и какое решение надо принять. Это весьма и весьма печальный факт.

tigra Собкор
13:54:55 2018-01-25

После октябрьского обновления ОС 10 на проццах AMD выпадала в синь (или никто об этом уже не помнит?). В очередной раз доказывает отвратную работу мелкотелых.

Alexander Собкор
13:53:03 2018-01-25

Действительно, не все, что нам предлагают, стоит брать, особенно, если это бесплатно. Ведь кроме заявления о повышении безопасности и улучшении функциональности, эта "забота о ближнем" может содержать и "бонус" личного интереса производителя или злоумышленника. Сертификаты подделываются, описания обновлений часто содержат невнятные описания, напоминающие рекламные зазывалки.

Что делать? Быть или не быть? Обновляться или отказаться? Вот в чем вопрос! И как на них отвечать, что делать-то?!

Давать советы - это очень смелый поступок. Разные ситуации, но еще более разнообразные "потребители" советов.

Приведенное в выпуске Обращение в техническую поддержку показательно своей "содержательностью". Наверное, подобных обращений немало. Можно только восторгаться терпеливостью и профессионализмом сотрудников этой службы. Ведь действия получившего совет зависят от наличия (отсутствия) навыков работы с компьютером. А поэтому реакция на совет может быть совершенно не предсказуемой. И виновным в неудовлетворительном результате будет именно давший совет.

Дополнительно к рекомендациям Dr.Web предложу заметки собственного опыта.
Будьте осторожны в принятии решения о нажатии на "ОК".
Не верьте всему, что написано в пришедших сообщениях, особенно от источника, с которым вы раньше не общались.
В любом деле нужна опора, надежная и функциональная, проверенная временем, незыблемая в своей лояльности к вам. Такой опорой для вас может стать Dr.Web. Проверено тысячами и тысячами тысяч его потребителей, ставшими со временем его поклонниками. Ему можно доверять. Делитесь с его службами своими проблемами и недоразумениями, возникающими при работе с компьютером.

И да обойдет всех нас бесплатный бонус злоумышленника.

tigra Собкор
13:51:06 2018-01-25

@Karpensky, Отличная аналогия))) Как говорил мой батя: "-Век живи - век учись, и помрёшь дураком!"

Комментарии к другим выпускам | Мои комментарии

Вы используете устаревший браузер!

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM