Вредоносное ПО: зоопарк угроз
«Вирус» — слово, которое все знают, но часто используют неправильно. В профессиональной среде говорят малварь (malware = malicious software — вредоносное программное обеспечение). Вирус — лишь один из видов. Разобраться в видах важно: разные угрозы требуют разных мер защиты.
Классификация
Вирус — программа, самостоятельно копирующая себя в другие файлы. Заражает исполняемые файлы, документы с макросами. Для распространения требует действия пользователя (запустить файл).
Червь (worm) — самораспространяется без участия пользователя, используя сетевые уязвимости. WannaCry, Conficker — черви, заразившие миллионы компьютеров автоматически.
Троян (Trojan) — маскируется под полезную программу. Пользователь устанавливает «бесплатный конвертер» — получает бэкдор. Не размножается сам по себе.
Шпионское ПО (spyware) — тайно собирает данные: пароли, нажатия клавиш, скриншоты, записи с микрофона. Кейлоггер — частный случай, фиксирует всё, что вводится с клавиатуры.
Вымогатель (ransomware) — шифрует данные жертвы и требует выкуп за ключ расшифровки. Наиболее прибыльный вид малвари для преступников; убытки исчисляются миллиардами долларов ежегодно.
Руткит — прячет своё присутствие в системе, работая на уровне ядра ОС. Антивирус, работающий на том же уровне, может не обнаружить.
Векторы заражения
Электронная почта (фишинговые вложения и ссылки) — лидирующий вектор. Уязвимости в ПО (браузер, офисные пакеты, ОС). Заражённые USB-накопители. Вредоносные сайты (drive-by download). Уязвимые RDP и SSH-сервисы.
Защита
Антивирус/EDR, своевременные обновления, обучение сотрудников (фишинг), резервное копирование (от ransomware), принцип минимальных привилегий, сегментация сети.