Антивирус как часть системы
28 апреля 2018
Как известно, Microsoft ведет борьбу работу с антивирусными компаниями. В частности, предоставляет всем вендорам одинаковые условия ограничивет доступ к внутренностям операционной системы и требует использовать ограниченный API. В числе прочего требования компании включают: вывод сообщений через интерфейсы операционной системы, интеграцию с Центром безопасности, использование для самозащиты специального сервиса от Microsoft. Новые ограничения требования к антивирусным продуктам появляются буквально каждую неделю.
С одной стороны это хорошо – ведь в мире полно «антивирусов». Но с другой – унифицированные интерфейсы предоставляют широкие возможности для злоумышленников. За примерами далеко ходить не придется: Trojan.Encoder.24939 и Trojan.Encoder.24938. Он же AVCrypt – новый образец троянцев-шифровальщиков.
AVCrypt не только пытается удалить антивирусные программы перед шифрованием файлов жертвы, но и удаляет некоторые службы Windows.
https://www.anti-malware.ru/news/2018-03-27-1447/25836
Троянец устанавливается на компьютерах с помощью файлов Microsoft Word с поддержкой макросов, которые якобы отправлены от доверенных поставщиков интернет-услуг. Известно, что угроза запускается как «av2018.exe» на взломанных компьютерах
Внимание! Из-за ошибки этот троянец не может соединяться с серверами злоумышленников. Поэтому вы не дождетесь расшифровки, даже если отправите выкуп.
AVCrypt пытается удалить антивирусную защиту и отключить ряд служб Windows, в том числе MBAMProtection, Schedule, TermService, WPDBusEnum, WinDefend и MBAMWebProtection. Эти службы необходимы для работы антивирусов, в том числе Windows Defender.
Пример удаления сервиса:
cmd.exe /C sc config "MBAMService" start= disabled & sc stop "MBAMService" & sc delete "MBAMService";
Затем шифровальщик проверяет, зарегистрированы ли какие-либо антивирусные программы в Центре обеспечения безопасности Windows (Windows Security Center) и пытается удалить найденные решения через командную строку. Например, так:
cmd.exe /C wmic product where ( Vendor like "%Emsisoft%" ) call uninstall /nointeractive & shutdown /a & shutdown /a & shutdown /a;
Все просто.
Антивирусная правДА! рекомендует
Антивирус – привлекательная цель для злоумышленников. Среда, в которой он работает, не должна позволять удалять сервисы или компоненты антивируса, отключить или остановить его, заблокировать сообщения системы защиты.
Как показывает практика той же ОС Android, хакеров не сдерживают искусственные ограничения производителей операционных систем.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Денисенко Павел Андреевич
13:01:12 2018-08-03
mfaer
23:20:29 2018-07-12
kandiron67
12:27:16 2018-05-16
anatol
20:22:57 2018-05-15
cruise
11:54:25 2018-05-14
Вот и ситуация с корпорацией Microsoft не исключение. Являясь полноправным владельцем ОС, Microsoft может диктовать любые условия, даже заведомо абсурдные и ничего с этим не поделать :-(
Неуёмный Обыватель
13:37:00 2018-05-10
в принципе, я нашел его в соцсетях, но уверенности 100% нет, поэтому не писал. К тому же не хотел пугать неожиданным сообщением пожилого человека.
За ссылки спасибо. Обнадеживает, что даже в непростых условиях люди не забывают этот великий праздник и достойно вспоминают героев.
Людмила
12:31:37 2018-05-10
а вот как праздновали в Ясиноватой День Победы: https://cont.ws/@chekistsv/940541
а вот ДОнецк https://cont.ws/@tachyon/940559
Ответ я пока не получила.
Пaвeл
15:18:39 2018-05-09
GREII
01:25:59 2018-05-09
Людмила
14:50:48 2018-05-08
написала жителю Ясиноватой и попросила разрешение передать вам его адрес.
Пaвeл
14:37:06 2018-05-08
@Неуёмный_Обыватель, спасибо Вам за неравнодушие!
Неуёмный Обыватель
17:01:23 2018-05-07
Речь идет о UT5YG (Федор Юхимец) оставившему слова благодарности компании "Доктор Веб" под новостью https://news.drweb.ru/show?c=5&lng=ru&i=12577
Можно, я как-нибудь сообщу (не в открытом эфире, скажите куда) вам серийный номер, который хочу передать?
А вы уже передадите ему от меня в честь Дня Победы серийник. Так можно?
Пaвeл
09:14:12 2018-05-07
Александр
11:13:23 2018-05-06
Александр
10:10:04 2018-05-04
Alexander
16:44:44 2018-05-03
Вячeслaв
11:16:38 2018-05-03
user
09:57:00 2018-05-03
Сергей
09:03:51 2018-05-03
Смотрим:
Сергей, "17:45:29 2018-04-28
Всё равно без антивируса не обойтись, это мы знаем точно."
Я, полагаю это другой Сергей или ?!?
Сергей
08:58:21 2018-05-03
Ольга
17:46:43 2018-05-02
Пaвeл
15:37:44 2018-05-02
Ну и конечно же, не забудьте выйти на Парад 9 Мая!
Ruslan
10:39:06 2018-05-02
Lia00
01:48:41 2018-05-01
МЕДВЕДЬ
13:27:58 2018-04-30
Ч...ч
10:04:52 2018-04-30
Artem
05:23:52 2018-04-30
У меня Mint стоит два года, до этого еще два года стоял openSUSE. Даже не понимаю, нахрена нужен виндовоз для домашних нужд? Сейчас я смотрю на виндовоз с содроганием - ужас какой-то, и по сравнению со старыми версиями, и уж тем более по сравнению с Линукс.
anatol
20:25:07 2018-04-29
Littlefish
13:55:42 2018-04-29
А как же волк в овечьей шкуре?
Littlefish
13:21:09 2018-04-29
uropb
06:44:25 2018-04-29
razgen
00:53:44 2018-04-29
Neith
23:32:51 2018-04-28
I46
22:18:23 2018-04-28
I23
22:14:32 2018-04-28
Zserg
21:46:54 2018-04-28
aleks_ku
21:42:23 2018-04-28
Lenba
21:42:04 2018-04-28
Любитель пляжного футбола
21:39:22 2018-04-28
vla_va
20:54:55 2018-04-28
Marsn77
20:53:57 2018-04-28
Любитель пляжного футбола
20:33:55 2018-04-28
А так ограничений немало. На тех же андроидах у антивирусов изначально нет всех прав. Как-то купил мой брат себе смартфон, а там уже вшитый в "прошивку" вирус оказался, распространявший рекламу. Dr.Web его определял, но удалить не мог, поскольку для этого нужно было рутировать смартфон, чтобы у антивируса появились соответствующие права на удаление. А рутирование смартфона ведет к потере гарантии и ещё чего-то, как я читал в интернете, не помню уже. Если бы я был на его месте (брата), то перед покупкой в магазине скачал бы бесплатную версию Dr.Web для проверки "прошивки" на вирусы, чтобы не брать кота в мешке.
В...а
20:25:00 2018-04-28
НинаК
19:59:11 2018-04-28
Влад
19:35:07 2018-04-28
и пора свою систему создать и не зависеть от кого либо_
Дмитрий
19:21:40 2018-04-28
orw_mikle
18:46:10 2018-04-28
Toma
18:37:24 2018-04-28
razgen
17:51:56 2018-04-28
А ведь многие, для которых потерянная информация представляет особо важную ценность, готовы платить соизмеримый выкуп. Но получается что в итоге нет никаких шансов на расшифровку.
Сергей
17:45:29 2018-04-28