Лжеантивирусы

Лжеантивирусы

Лжеантивирус — одно из манипулятивных вредоносных средств. С его помощью злоумышленники могут украсть данные пользователя, получить финансовую выгоду, обнаружить или создать в программном обеспечении уязвимости для проведения дальнейших атак. 

Что такое лжеантивирус?

Лжеантивирусы представляют собой вирусные программные продукты, которые замаскированы под программное обеспечение (ПО) для обнаружения угроз информационной безопасности. Они копируют оформление антивирусных решений крупных разработчиков и появляются в виде уведомлений, предупреждающих пользователей, что их устройство заражено.

Доверчивые пользователи спешат установить или приобрести программу, надеясь обезопаситься, но загружают вредоносный файл. В результате злоумышленники добиваются нескольких целей — заражают пользовательское устройство, получают оплату и сведения банковской карты.

Как работают лжеантивирусы?

В основе работы лжеантивирусов лежат техники социальной инженерии: злоумышленники обманом стремятся напугать жертву, развить панику и заставить срочно принять единственно возможное решение — приобрести предлагаемое ПО. В частности, во всплывающих окнах лжеантивирусов мошенники:

• применяют логотипы и названия, похожие на принадлежащие известным антивирусным программам;

• демонстрируют снимок экрана, на котором показаны заражённые файлы, которые якобы обнаружены на компьютере жертвы;

• показывают индикатор загрузки, имитирующий процесс проверки пользовательского архива;

• используют мигающие изображения красных оттенков, заглавные буквы и восклицательные знаки в предупреждениях о необходимости действовать без промедлений.

Помимо всплывающих окон, злоумышленники могут распространять код в фишинговых письмах и рекламных объявлениях. После оплаты и скачивания лжеантивируса возможно два варианта: будет загружено бесполезное либо вирусное ПО. В первом случае пользователь просто совершит ненужную покупку и скомпрометирует платёжные данные, во втором — рискует стать жертвой дальнейших атак. Киберпреступники могут украсть персональную информацию, получить доступ к банковским продуктам или заблокировать жёсткий диск и потребовать выкуп. 

Признаки лжеантивируса

Разработчики антивирусного ПО не запугивают клиентов и не настаивают на срочном совершении покупки, поэтому при столкновении с настойчивыми предупреждениями в интернете можно быть уверенным — это лжеантивирус. Помимо многочисленных уведомлений и баннеров, направленных на разжигание паники, распознать мошенническое ПО позволяют следующие признаки: 

• резкое снижение производительности компьютера, замедления и сбои вследствие дополнительной нагрузки на оперативную память и процессор;

• изменения в системных настройках, появление ярлыков посторонних программ, отображение в браузере новых страниц;

• произвольное открытие вкладок в браузерах, сообщающих об угрозах кибербезопасности;

• невозможность получить доступ к собственным файлам и программам, в том числе реальным антивирусам, которая сопровождается сообщениями об угрозах и ошибках;

• навязчивые запросы на платное обновление.

Примеры распространения 

Чаще всего лжеантивирусы распространяются через всплывающие окна на сайтах и рекламные баннеры в социальных сетях. Цель этих инструментов — убедить жертву, что её устройство заражено вирусом, перейти по ссылке и загрузить «защитное» ПО.

Другой метод распространения — фишинг. Жертве поступает электронное письмо, которое выглядит, как сообщение от надёжного источника: службы безопасности или производителя антивируса. В тексте сообщается, что устройство пользователя и его данные находятся в опасности, и чтобы их защитить, нужно срочно установить ПО по ссылке или предоставить «службе техподдержки» определённую конфиденциальную информацию.

Как удалить лжеантивирус и минимизировать ущерб?

В случае попадания на устройство лжеантивируса действовать нужно так же, как и с другим вредоносным ПО:

1. Отключить устройство от интернета. Это позволит предотвратить отправку сведений владельцу вирусного ПО.
2. Очистить компьютер с помощью настоящего антивируса. Его можно скачать на официальном сайте, причём часто бесплатно: производители предлагают облегчённые программы для лечения или дают возможность использовать полный пакет в течение пробного периода.
3. Изменить все учётные данные — логины и пароли.
4. При подозрении на кражу платёжной информации — заблокировать и перевыпустить банковские продукты.

Если компьютер заблокирован и лжеантивирус не получается удалить самостоятельно, стоит обратиться к специалисту по кибербезопасности. Он просканирует жёсткий диск при помощи другого компьютера, найдёт и устранит вредоносные программы, не запуская операционную систему.

Если лжеантивирус оказался программой-вымогателем, то дело хуже: она шифрует не только файлы, которые могут быть важны для владельца, но и их резервные копии, что усложняет восстановление. Стоит учитывать, что программы-вымогатели развиваются, чаще всего применяя гибридное шифрование — сочетание симметричного и асимметричного. Такое ПО является серьёзной угрозой: оно уже приводило к отключению глобальных инфраструктур компаний. Противостоять ему можно только путём соблюдения правил кибербезопасности.

Как не допустить лжеантивирус?

Чтобы защитить устройство от лжеантивирусов, достаточно соблюдать базовые правила кибергигиены: устанавливать ПО только из проверенных источников, регулярно обновлять систему, браузер и программы, пользоваться блокировщиками веб-уведомлений, межсетевыми экранами и фильтрами электронных писем. Не следует нажимать на рекламные баннеры, а при случайном нажатии — пытаться закрыть их при помощи встроенных в рекламу кнопок. Чтобы избежать непреднамеренной загрузки, можно снять задачу через диспетчер задач, для вызова которого в Windows применяется сочетание клавиш Ctrl + Alt + Delete.