Гонка кибервооружений
18 июня 2018
Какие ассоциации у вас возникают при слове «крипт» или «криптор»?
Скорее всего, вам не доведется повстречать их на просторах Всемирной паутины – если, конечно, вы не завсегдатай форумов вирусописателей, сотрудник отдела информационной безопасности или преданный читатель выпусков проекта «Антивирусная ПравДА!».
Вы наверняка заметили, что слова «крипт» и «криптор» имеют тот же корень, что и «криптография». Корень «крипт» произошел от греческого «криптос» – скрытый. Получается, эти термины обозначают что-то, предназначенное для сокрытия информации. Но какой именно? Давайте разберемся.
Вполне очевидно, что любой оказавшийся в «дикой природе» троянец рано или поздно попадет в поле зрения разработчиков антивирусов и будет проанализирован. Сигнатуры вредоносной программы внесут в вирусные базы, тем самым лишив её главного козыря – скрытности.
Естественно, такая ситуация не устраивает ни вирусописателей, получающих с продажи своих «творений» неплохой доход, ни их клиентов, желающих заразить как можно больше компьютеров и поскорее вернуть потраченные на покупку троянца средства. Ведь не будешь же раз в несколько дней с нуля переписывать сложную и дорогостоящую вредоносную программу!
И вот тут на помощь злоумышленникам приходит крипт. Его основная задача – сокрытие вредоносных программ от обнаружения антивирусами. Крипт может производиться как вручную, так и с использованием специального автоматизированного инструментария – криптора.
В процессе крипта используются различные технологии: это и шифрование отдельных частей кода, и встраивание механизмов, направленных на избежание запуска в песочнице или игнорирование «ханипотов», и модификация структуры файла с целью затруднения реверс-инжиниринга.
На выходе получается «чистый» билд, который на момент сборки, в зависимости от качества крипта, не определяют все популярные антивирусы (или, по крайней мере, большинство из них). В приведенном выше объявлении вы можете увидеть слова: «…с детектом 1/37…». Это значит, что готовый вредоносный файл смог «засечь» только 1 антивирус из 37 протестированных.
Криптованные билды быстро теряют актуальность, время их жизни, как правило, составляет от 1 до 10 дней, после чего они попадают в базы антивирусов. Но в том-то и заключается прелесть крипта, что его можно проводить раз за разом! Особенно активные изготовители и распространители троянцев выпускают новые криптованные билды ежедневно. Услуги криптования файлов обычно являются платными, однако бонусом к некоторым вредоносным программам может полагаться и бесплатная «чистка».
Но как проверить чистоту готового билда?
Мы уже писали о том, что в комплекте с популярным скрытым майнером пользователи получают подписку на платный вирусный сканер. Это сделано отнюдь не ради безопасности покупателей – подписка требуется, чтобы пользователи могли самостоятельно проверять свои билды на предмет их обнаружения антивирусами и при необходимости заново перекриптовывать их.
#киберпреступление #вредоносное_ПО #майнингАнтивирусная правДА! рекомендует
Мир киберкриминала так или иначе эволюционирует, изыскивая новые способы заработка с использованием вредоносных программ и прочих темных технологий. В своем «развитии» преступникам приходится ориентироваться и на достижения антивирусной индустрии. Антивирусы, в свою очередь, совершенствуют свой инструментарий, чтобы оставаться на шаг впереди злоумышленников.
По статистике, традиционный антивирус, чье детектирование основано только на сигнатурной базе, способен выявлять и обезвреживать не более 30% ежедневно появляющихся вредоносных программ. Но все ли так плохо? На самом деле нет: сегодня для обнаружения угроз используется не только сигнатурная проверка, но и целый комплекс других инструментов. Современный антивирус не просто сканирует файлы, но и отслеживает действия исполняемых программ, выявляя малейшие отклонения от нормальных сценариев и предотвращая наступление негативных последствий, что позволяет противостоять даже тем вирусам и троянцам, которые используют самые продвинутые методы крипта.
Работа над Dr.Web для Windows 11.5 шла более года, и новая версия вобрала в себя важнейшие наработки в борьбе с современными интернет-угрозами и новые технологии, которые позволяют бороться с угрозой заражений еще на «дальних подступах» к системе.
Если вы еще не являетесь пользователем Dr.Web, ознакомьтесь с возможностями версии 11.5 при помощи 3-месячной бесплатной демолицензии!
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Денисенко Павел Андреевич
20:11:46 2018-07-24
Ruslan
12:00:49 2018-06-29
duduka
16:46:06 2018-06-19
Пaвeл
15:02:16 2018-06-19
Хорошо, что не сбой.
Vlad X
10:21:35 2018-06-19
Biggurza
09:54:14 2018-06-19
Если с выпуском новым не очень-то густо…
Всё очень просто – у всех выходной,
Когда Россия в футболе всех рубит в капусту!
Неуёмный Обыватель
07:51:41 2018-06-19
Sasha50
07:44:08 2018-06-19
Пaвeл
07:01:57 2018-06-19
Это ж сколько времени вы используете DrWeb? Предполагаю лет двадцать? ...
Я тоже помню, это было в конце 90-х. Правда потом я некоторое время пользовался "Касперским", но последние 10-ть лет - только Dr.Web!
Пaвeл
06:54:13 2018-06-19
Dr.Web Security Space 11.5 круче, несомневайтесь!
tigra
04:43:03 2018-06-19
I46
01:39:25 2018-06-19
I23
01:35:18 2018-06-19
Lenba
00:37:24 2018-06-19
Zserg
00:20:38 2018-06-19
razgen
00:13:28 2018-06-19
Это ж сколько времени вы используете DrWeb? Предполагаю лет двадцать?
razgen
00:08:43 2018-06-19
== Конечно Dr.Web Security Space 11.5. (ИМХО) ==
dyadya_Sasha
22:56:20 2018-06-18
Andromeda
22:39:29 2018-06-18
НинаК
22:35:41 2018-06-18
Альфа
22:20:46 2018-06-18
vla_va
22:18:00 2018-06-18
kva-kva
22:06:12 2018-06-18
Геральт
22:05:48 2018-06-18
Шалтай Александр Болтай
21:28:07 2018-06-18
mk.insta
21:22:17 2018-06-18
Любитель пляжного футбола
21:21:11 2018-06-18
Dvakota
20:55:55 2018-06-18
anatol
20:16:22 2018-06-18
Сергей
19:51:57 2018-06-18
GREII
19:42:42 2018-06-18
Littlefish
19:36:06 2018-06-18
zsergey
19:33:58 2018-06-18
Littlefish
19:30:47 2018-06-18
Lex
19:26:31 2018-06-18
B0RIS
18:03:08 2018-06-18
Татьяна
17:52:28 2018-06-18
Damir
17:24:29 2018-06-18
La folle
16:59:22 2018-06-18
Toma
15:45:43 2018-06-18
Biggurza
14:42:05 2018-06-18
Мода на это к нулю не сведется…
Очень удобно держать под секретом
Вещи, опасные крипто-запретом.
Крипто-валюта – уже по плечу.
Могу расплатиться я, где захочу.
И крипто-такси тоже очень неплохо.
А крипто-ружьё я возьму на охоту.
Вот крипто-актёр репетирует сказку.
А крипто-суфлер читает подсказку.
Крипто-кассир выдаст крипто-зарплату.
Крипто-жене денег дам на квартплату…
Конфуз с крипто-чем-то уж не за горами.
Возможно, примеряно это ворами!
Спасибо, паук разберется с криптами,
Крипто-троянчики хрустнут хребтами.
…«Картина с природой и звездами чья?»
«Ребята, поверьте, это мой крипто-я!»…
Masha
13:57:10 2018-06-18
DrKV
13:54:46 2018-06-18
sanek-xf
13:52:54 2018-06-18
Natalya_2017
13:49:24 2018-06-18
Людмила
13:42:37 2018-06-18
ни одно обновление (даже самое рядовое!) не выходит без улучшений. от так улучшают и улучшают изо дня в день - а потом и версию не о чем выпускать:) все уже улучшено:))
Sasha50
13:36:12 2018-06-18
Sasha50
13:33:15 2018-06-18
Людмила
13:31:31 2018-06-18
"а какой критерий должен быть выполнен для присвоения версии антивируса номера 12? "
Чтобы произошла мажорная смена версии (с 11 на 12), нужно чтобы от количества и качества радикальных нововведений у самих разработчиков закружилась голова от собственной крутости. Вот тогда они считают, что можно менять цифру версии. И сейчас я не шучу. Видимо новая технология детектов на основании алгоритмов машинного обучения (кстати, много лет использовавшихся внутри лаборатории для анализа подозрительных файлов) не слишком показалось крутой для разрабов:)) Если немного приоткрывать завесу тайны над версией 12 - в ней будет принципиально новая защита от энкодеров - настолько принципиально новая, что будет смена версии.
Дмитрий
13:06:40 2018-06-18