Как стать автором
Обновить

Комментарии 86

Это давно известно. Лично я лет 10 как в принципе не пользуюсь антивирусом. Это бесполезная трата денег и ресурсов компьютера. Персональный файрволл решает 99% проблем в ручном режиме — почти все вирусы лезут сразу в интернет. А остальной 1% решает песочница от него-же для всех новых исполняемых файлов. Как результат — заражения отсутствуют у меня как класс.
Другое дело, что далеко не все разбираются в компьютерах. И им по идее нужен файрволл с эвристикой, но, к сожалению, такого пока нет. В любом случае антивирусы умерли как появился вмпротект и прочие виртуализаторы кода. Сейчас нет проблем заражать каждую машину «новой версией» вируса — т.е. для каждой машины у вируса будет своя сигнатура. И бороться традиционными методами с этим — не возможно по определению. Создатель антивируса может лишь говорить, что вирус у вас в машине будет работать скорее всего не более n минут. Но за это время он или соберёт/отправит данные заказчику, или наделает ещё каких дел, если это серийное заражение.
Всё когда-то бывает первый раз…
Вам его могут принести на флешке. И не вы сами, а жена, ребёнок или ещё кто-то.
Какая разница как принесут? Что с интернета, что на флешке. В 99% случаев он лезет в интернет. Соответственно сразу выбирается заблокировать и завершить выполнение. А потом удаляется как обычный файл. С песочницей всё тоже самое.
Ах, да — ещё есть J.A.C.K. и прочие таск киллеры. Они отображают все процессы, причём упорядочивают по порядку запуска. И при малейшем сомнении — можно посмотреть что происходит в компьютере и руками вычистить лишнее (привет кейгенам от китайцев).
В общем продвинутым пользователям опасаться нечего. А вот с обычными хз что делать. Ниша есть, заработать можно на ней много но ни кто туда пока не лезет. Пока все на антивирусах сосредоточены. Увы.
Хм… Ваше отношение к антивирусам очень мне напоминает отношение «водятлов» к ремням безопасности! «Я никогда в аварии не попадал и не попаду!», «Без ремня можно быстрее из машины выскочить», «Не был пристёгнут — вылетел через лобовое и живой».
Так что — на здоровье! Не пользуйтесь. Но потом — ССЗБ.
Вашу аналогию можно и развернуть:
Антивирус: покупайте наш суперфонарик с автоподсветкой опасностей на дорогах — с ним вы будете под надежной защитой. Теперь можно кататься и без ремней безопастности!
Обычный пользователь: я вот пользуюсь суперфонариком и теперь гоняю как хочу и где хочу. Сосед мой, правда, в аварию попал, но это он сам виноват, нечего в Гарлем было шастать.
Продвинутый пользователь: катайтесь дальше со своим фонариком, а я лучше ремень безопастности пристегну…
А вы мой комментарий внимательно прочитали? Антивирус = ремень безопасности. У вас же — противопоставление какой-то хренотени.
И ни кто никогда не говорил и не обещал, что ремень безопасности (антивирус) — гарантия от аварии (от возможности заражения компа).
У меня и антивирус стоит, и ремень я всегда пристёгиваю (и пассажиров своих заставляю).
А вот с мнением akadone я не согласен. Вреда от антивируса нет, а польза есть.
И вам повторю: что-то случится — ССЗБ.

Лагерь будет разделяться.
С мнением akadone я согласен по некоторым пунктам:
1. > Это бесполезная трата денег и ресурсов компьютера.


При условии полного отсутствия вирусной активности.
2. > далеко не все разбираются в компьютерах


Так как пользователей которые не желают разбираться с компьютером самостоятельно чаще всего становятся зараженными.
3. > В любом случае антивирусы умерли как появился вмпротект и прочие виртуализаторы кода.


Тут отвечу его словами. > Для каждой машины у вируса будет своя сигнатура.


Вроде все с чем я мог бы согласится.


Пример от zuborg я думаю лучше рассматривать так.
Антивирус: я обнаружу любую опасность, да так что вы этого не заметите.
Обычный пользователь: я пользуюсь антивирусом и у меня нет никаких проблем.
Сосед мой: как же у него все плохо работает, но он сам виноват что так сделал.
Продвинутый пользователь: ну и пользуйтесь дальше своим антивирусом, а я лучше сам разберусь как себя обезопасить.


Так что Rohan66 у многих есть свои методы защиты от угроз и каждый из этих методов хоть как-то защищает от угроз.

Вот мне интересно. Откуда растет миф о том, что антивирус может ловить все в момент проникновения. Ходишь по заказчикам — одновременно требуют выполнения данного положения и одновременно знают, что есть неизвестные антивирусу трояны.
Вменяемые производители антивирусов тоже этого не утверждают (а иначе их привлекут за невыполнение).
Читаю когда основы антивирусной безопасности — практически все стремятся ставить безопасность на основе исключительно ав. ни ограничения прав, ни фильтрации по типам. Да простой пример — тот же антиспам срезает подавляющее количество писем с вирусами как фишинговые — не рассматривается он ка антивирусная защита.
Откуда растет миф о том, что антивирус может ловить все в момент проникновения.

Не только вас интересует этот вопрос.


Читаю когда основы антивирусной безопасности — практически все стремятся ставить безопасность на основе исключительно ав.

На то и основы антивирусной безопасности.


ни ограничения прав, ни фильтрации по типам. Да простой пример — тот же антиспам срезает подавляющее количество писем с вирусами как фишинговые — не рассматривается он ка антивирусная защита.

Ну это уже ИБ, а не АВБ. По мнению авторов книг по АВБ.

> А вот с мнением akadone я не согласен. Вреда от антивируса нет, а польза есть.

Ну да. Он никогда не поломает ваши файлы, никогда не будет блокировать вам вполне нормальные установщики, никогда не будет мешать компилировать ваши программы, всегда позволит вытащить нужную программу из карантина в два клика, никогда не будет мешать и так далее.

От него тонны вреда и это я даже не учитываю, что некоторые антивирусы жрут как майнеры. И все равно не помогают.
Так о том и есть разговор, что выбор мер антивирусной защиты — многовариантен и зависит от многих параметров — уровня подготовки пользователя, наличия ресурсов на машине, требований по реалтайму, требований по уровню защиты и тд и тп.

И все это будет антивирусная защита, где антивирус лишь компонент. И не всегда обязательный

Проблема антивируса:


  1. Он никогда не поломает ваши файлы
    Ну да в попытках бесполезного лечения может и удалить файл.


  2. никогда не будет блокировать вам вполне нормальные установщики
    Ну если нормальный установщик не заражен(Были случаи когда официальное приложение с нормальным установщиком было заражено. Пример этому Transmission для macOS был таким некоторое время назад.)


  3. никогда не будет мешать компилировать ваши программы
    Даже если ты пытаешься скомпайлить прогу которая заведомо заражает собственный ПК.


  4. всегда позволит вытащить нужную программу из карантина в два клика
    Это чудо не всегда способно это сделать, т.к повреждает саму программу.


  5. никогда не будет мешать и так далее.
    Да помнится "свинья" Антивируса Касперского которая шумела если что-то находила.

От него тонны вреда и это я даже не учитываю, что некоторые антивирусы жрут как майнеры. И все равно не помогают.

Тонны вреда тут нет, просто он нужен тогда когда он нужен, а не всегда до применения должен стоять.

Ну да в попытках бесполезного лечения может и удалить файл.

Подавляющая часть вредоносных программ сейчас — трояны. Их не лечат. Только удаляют или карантинят

Это чудо не всегда способно это сделать, т.к повреждает саму программу.

Такие случаи — саппорт. Операции помещения в карантин и лечения — раздельные (как минимум должны быть). Тоесть помещается файл в карантин зараженный, а не после попытки лечения
Но естественно за все антивирусы я не отвечаю

Кстати, какая проблема вылечить троянец? Почему только удаление?

А что, в вашем понимании, должно остаться после "лечения" троянца?

Гм… я несколько раз встречал обнаружение троянца в инсталляторах и внутри исполняемых файлов. Почему-то оба раза антивирус не предлагал вылечить исполняемые файлы, а просто грохнуть их. Разумеется, мне все-таки хотелось бы запустить программу на исполнение, без вызова троянца.
Если что, я использую это определение троянца

Читаем определение по вашей ссылке:


Троя́нская программа (также — троя́н, троя́нец, троя́нский конь) — разновидность вредоносной программы, проникающая в компьютер под видом легального программного обеспечения, в отличие от вирусов и червей, которые распространяются самопроизвольно.

… и видим, что троянец — это не какой-то код внутри другой программы. Троянец — это и есть программа, которая лишь прикидывается нужной.


Если есть острое желание запустить троянца — надо использовать виртуальную машину, причем без проброса видеокарты, шаринга файлов и вообще лучше без "гостевых" расширений.


А вырезать вредоносный код из троянца можно только декомпиляцией, вручную.

Инсталлятор это по сути исполняемый архив. Лечить архивы насколько я помню может Касперский, но как лечить? Архив перепаковывается в zip с удалением вредоносного файла. Крайне сомневаюсь, что это и возможно и для инсталлятора и что будет работать без одного файла, который он хотел установить
Троян не имеет функции заражения. Он всегда целиком вредоносный файл, а не ранее чистый файл зараженный вирусом. Поэтому лечить там нечего
Руки из ж… — а вина на антивирусе!
Руки из ж… — а вина на антивирусе!

Не руки из ж..., а просто человек нашел альтернативу и вы её сразу в штыки.
Мол что только АВПО может остановить вирус.
Без комплекса ПО, АВПО это пустышка в небе над черным морем.

Ну да. Ведь собрать hello world как вирус так легко. И вот такие истории — тоже из-за криворукости пользователей антивируса, а не их создателей.
Антивирус = ремень безопасности

Я читал Ваш комментарий. Дело в том, что антивирус != ремень безопасности. Это все лишь аналогия. Точно так же можно провести не менее корректную аналогию антивируса с фонариком, который находит часть опасных объектов, но не дает защиты в случае проникновения, а файрвол с ремнями безопасности, который дает кое-какую защиту в случае происшедшего проникновения, хотя и не помогает избежать его.
но не дает защиты в случае проникновения

Как раз наоборот. Антивирус — средство обнаружения вредоносных программ, прошедших сквозь вашу защиту и ранее неизвестных (в том числе и самому антивирусу). Отсюда кстати вытекают правильные требования к антивирусу
Если вирь у меня потрёт важную информацию при официально купленном касперском антивире, то Женя Касперский возместит мои потери? Не смешите мои тапочки, мне щекотно.
За последние лет 10 видел зверька 3, которые не распознавал ни один антивирус — 2 на стороне и один у меня. Один из них серьёзно ухандокал мне винду. В ручном режиме я всё починил, а все эти cureit, касперские и пр — это была бесполезная трата моего времени и надежд. Хотя зверёк был описан почти полностью на 2 профильных форумах. На других компьютерах мне естественно было проще винду переставить, а не разбираться почему нод с последней базой в «ус не дует», и все бесплатные лечилки-проверяльщики тоже.
Так что антивирь наверно стоит больше сравнивать с таблеткой плацебо, а не ремнём безопасности.
А можно подумать, что Гейтс или Джобс деньги вернут!
Вот в жизни не поверю, что уже описанный на 2-х форумах (!) вирус отсутствует в базах веба или каспера. Ну а если пользоваться крякнутым НОДом или Авастом (да ещё и не обновляться) — то ничего удивительного.
А так — забавно слушать сказки про убитую винду, которую в «ручном» режиме «починили». Скажите уж — накатили поверх или переставили.
А может не зверёк неуловимый был, а ручки кривоватые?
Ручки кривые на столько, что без накатывания винды сами всё исправили (ужАс, понимаю). Это действительно криво. Надо как все: полный формат всего и вся, и потом установка с нуля. Ну и дня 4-5 допиливание ОС под нужны. Времени на это не было, решил с халтурить. Сорри.
P.S. У меня ни когда не было особой проблемой лицензия. Работаю на пиратках, так как удобнее. Снимает кучу головняка. Но тогда корпоративный нод первым расписался, потом каспер, потом къёрит фряшный. Хотя на сайте веба как раз зверёк описан был подробно, что удивило. Аваста тот раз по моему не напрягал, но точно не помню.
P.P.S. Эти антивири прибивали потомков, которые рожал главный зловред, но откуда появлялись эти 5 (если мне память не изменяет) exe каждый раз при перезагрузке — вычислить не смогли. А я, почитав про очередную дыру explorer+реестр — вычислил минут за 40. Вот и сказке конец.
Тогда потом с другом долго обсуждали что дальше с вируснёй делать на рабочих машинах. Но так же как и здесь ни к чему здравому не пришли. Винда настолько дырява, что даже стартуя через crc-правильные библиотеки (не подменённые ни кем) нет АБСОЛЮТНО НИ КАКОЙ гарантии, что запустится процесс именно из этого exe. И пока такое будет — от антивирусов точно нет ни какого прока. Это лишь плацебо. Не более. Действительно, как тут в комментариях, пока дилетанты пишут массовые вирусы — проблем особо не будет. Для массового пользователя — возможно. Но профи заняты таргетированными атаками на конкретные компьютеры. И ставки тут высоки. В этой сфере ИБ — я вообще не вижу роли антивирусов в их нынешней инкарнации. Разве что только админу свой зад прикрыть перед слабо разбирающимся в IT начальством.
Ради честности надо сказать, что возмещение возможно. Циско (Лукацкий) во всяком случае про это упоминал. Но при условии:
— проведении у вас до установки аудита
— выработки требований к вашему поведению, настройкам и тд
— поддержании вами данных требований
Согласитесь — это возможно, но цена вопроса будет другая. Понимаете в чем проблема. Не проблема взять на себя ответственность. Проблема в том, что пользователи не обновляются, отключают антивирус, ставят диск с в исключения — а виноват всегда в пропуске антивирус. Не он один виноват, вот в чем дело
«Вреда от антивируса нет» — во-первых это вред кошельку. Во вторых скажите это Касперскому который ПК с характеристиками ниже среднего превращает в абсолютную помойку по производительности…
Вот-как бы ответить. Попробую

Наличие антивируса на компьютере — результат оценки рисков. Как сказала моя жена вчера, почитав комментарии — «это же страховка!». Если вы не опасаетесь пожара/залива соседей и тд — или наоборот, считаете риск минимальным и можете его устранить мгновенно — да почему нет. А если у вас на машине документы чрезвычайной важности?
Хранить документы на отдельном переносном жёстком диске + самое важное бэкапить на флэшку? Лично я делаю так.
НЛО прилетело и опубликовало эту надпись здесь
не то что бы неверно, но:
— уязвимости у антивирусов есть. Но я вот лично (а я в антивирусах с 1998года) могу вспомнить всего одну атаку через них. За все годы и то в мохнатых годах
— гигиена не спасает от неизвестных уязвимостей. Хотя естественно существенно снижает риск
— антивирус в первую очередь не средство защиты от заражения, это средство лечения ранее неизвестных угроз. Кроме него это делать из средств защиты никто не может (ну кроме бекапа). Это кстати типичная ошибка при оценке рисков и выборе мер защиты
Прорекламируйте пожалуйста файерволл, песочницу и таск киллеры названиями/ссылками (J.A.C.K. не нашёл).

Есть вариант в виде Linux-дистрибутив(NetFilter встроен в Liunx) с iptables(как средство управления NetFilter) + firejail(Песочница) + htop(в качестве средства управления процессами).
Вроде многие дистрибутивы это в себе уже содержат.

В под Linux я так и не нашёл удобного способа задавать различные правила для различных приложений. В андроиде каждое приложение запускается от имени отдельного пользователя, и используется -m owner модуль для NetFileter. Для десктопа лучшее что предлагается, это использовать SeLinux или AppArmor. Либо как-то извращаться с виртуализацией или с множеством пользователей под каждую программу. Всё это, по сравнению с файерволами под винду, чёрт побери, не удобно.
Firejail попробую.

Настройка NetFilter да неудобна, но работать будет так как задумано вами, а не как об стену камень бросить. (Хотя тут не понятно что крепче, либо камень либо стена.)


И да ни на SELinux, ни на AppArmor лучше не полагаться. Стандартный ACL справляется лучше.

Я пользуюсь comodo firewall (бесплатный со своим sand box). J.A.C.K. — официальный сайт умер, но на руборде есть обсуждение, там много интересного и про оригинал и про него.
akadone, Можно парочку хороших экземпляров?
… ещё есть J.A.C.K. и прочие таск киллеры. Они отображают все процессы, причём упорядочивают по порядку запуска. И при малейшем сомнении — можно посмотреть что происходит в компьютере и руками вычистить лишнее...
За 1 секунду троян перепишет Вам MBR и Винда не будет корректно запускаться. 2-3 продукта обещают защиту от такой наглости.

MBR нужно бэкапиьт сразу же после разметки диска и после установки загрузчика. Тогда всё будет нормально.

По голосованиям на конференциях в среднем по России бекап используют примерно 10 процентов компаний. Исключение Челябинск. Не знаю почему

Одним лень делать бэкапы, у других нет места под бэкапы, у третьих нет софта для этого и так далее.

у третьих нет софта

Даже не рассматривая софт «Архивация и восстановление» встроенного в windows или robocopy (для любителей консоли) можно просто выделить свои файлы в проводнике и куда то их скопировать.
Другой вопрос, что есть большой класс людей, которые даже зарабатывая на компьютере не считают нужным уделять этой железке и данным в ней какое-то значительное время. По аналогии, они хотят кататься, а не техосмотр делать.
Даже не рассматривая софт «Архивация и восстановление» встроенного в windows или robocopy (для любителей консоли) можно просто выделить свои файлы в проводнике и куда то их скопировать.

Просто третьи думают что для бэкапов нужен специфический софт, вот и вся загвоздка.


что есть большой класс людей, которые даже зарабатывая на компьютере не считают нужным уделять этой железке и данным в ней какое-то значительное время.

В некотором смысле да это так.

Бекапить нужно, кажется флешка одна (в смысле комплект прог на ISO, что я туда записал) даже умела это делать.

SystemRescueCD я так понимаю. Хороший дистрибутив для подобных целей.

Нет, я тогда при убийстве себе MBR обычным Trojan.HDDKill, спасал инфу диском Parted Magic.
Но никак восстановить возможность загрузки Винды не смог, так что переставлял.

Я и забыл про PartedMagic, спасибо за напоминание о его существовании.


Но никак восстановить возможность загрузки Винды не смог

А жаль, 440 Байт восстановить в начале можно было. (Хотя порой в случае восстановления Windows нужна к сожалению сама WIndows.)

Вероятность есть. Слабая. Надо как минимум sandbox хакнуть. Да и как показывает автор статьи, запущенный вирус может не детектиться последними базами антивирусов в течении нескольких часов. И вот тут вероятность получить изменённый MBR как-то выше. Сильно. Причём подобные команды обычно даются из сети, к которой он доступ получить так же не сможет, не хакнув firewall.
Почитал комментарии. Много думал…
Господа! Да на здоровье! Не пользуйтесь антивирусом, не пристёгивайтесь, переходите дорогу на красный свет! Вы же все о п ы т н ы е пользователи! Вы всё умеете и знаете. Круче вас только горы!
Только потом не плачьтесь. Будете ССЗБ.
За сим — откланиваюсь.

Не понимаю вашего "нытья".
Да без АВПО жить можно и как в случае с akadone Firewall совместно с noAutorunExecution решают 70% проблем связанных с появлением вирусного ПО, обновленное ПО решает ещё 10% проблем, бэкап дополнительно избавляет ещё от 10% проблем, грамотное управление правами также избавляет от 9% проблем, простое желание провести профилактику может в комплексе с предыдущими избавить от проблем с безопасностью.


Если брать чистого рода антивирус то я могу сказать с 80% вероятностью что вы сами можете пострадать от АВПО.

Хм… А где я ныл?
Просто несколько возмутила вот эта фраза
Это бесполезная трата денег и ресурсов компьютера.

Так водятлы говорят о ремнях безопасности (да и много ещё о чём).
Уподобились им — ну и молодцы! Я нигде не писал, что антивирус — панацея. Но то, что он должен быть — на мой взгляд (да и руководящие документы так же говорят) однозначно!
я могу сказать с 80% вероятностью что вы сами можете пострадать от АВПО
— а вот с этого места, пожалуйста, по подробнее! АВ вам зашифровал файлы? Потёр БИОС? Снёс систему?
За четверть века (с начала 90-х) пользовался и всех заставлял и требовал пользоваться АВ — пользу от этого видел постоянно, а вот что бы кто-то пришёл и сказал «Твой АВ удалил мои файлы» — что-то ни разу не было.
Знаменитая эпидемия Чернобыля (если застали такое) прошла мимо моего отдела (50+ машин) тихо и спокойно, а вот другие ко мне на восстановление машин в очередь на неделю вперёд записывались.
АВ вам зашифровал файлы? Потёр БИОС? Снёс систему?

Просто не обнаружил вирус и сам его по системе распространил, хотя был с обновленными БД. (Банально эвристический сканер не смог тогда обнаружить Neshta, пришлось вручную вылечивать собственный ПК, да и в этом случае АВПО способно нанести вред. Полечить может полечит, но программы работать уже не будут.)


За четверть века (с начала 90-х) пользовался и всех заставлял и требовал пользоваться АВ

Сейчас другие реалии что требуй что не требуй толку будет ноль если пользователь использует рабочую станцию как ему пожелается.


Знаменитая эпидемия Чернобыля (если застали такое) прошла мимо моего отдела (50+ машин) тихо и спокойно, а вот другие ко мне на восстановление машин в очередь на неделю вперёд записывались.

Чернобыльский не застал, но слышал от преподавателя по ТОР КСК что он ещё где-то живет.

и сам его по системе распространил

Сам копировал его и запускал???
если пользователь использует рабочую станцию как ему пожелается

Бардак в конторе на антивирус сваливать не стоит.
слышал от преподавателя по ТОР КСК что он ещё где-то живет.

Заглянет в гости — поделитесь впечатлениями! ))) (Если АВ нет)
И еще раз возвращаюсь к начальному тезису
Это бесполезная трата денег и ресурсов компьютера.

Слова «настоящего опытного» пользователя!
Сам копировал его и запускал???

Вы вероятнее не знаете как этот вирус распространяется по системе.


Бардак в конторе на антивирус сваливать не стоит.

Бардак тогда везде, а не только в конторе.


Заглянет в гости — поделитесь впечатлениями! ))) (Если АВ нет)

Ко мне точно не заглянет, превентивные меры в виде что не знаю не даю разрешения на запуск.


И еще раз возвращаюсь к начальному тезису
Это бесполезная трата денег и ресурсов компьютера.

То что это трата денег да согласен, ресурсы без условно.


Слова «настоящего опытного» пользователя!

Только, Слова пользователя использующего превентивные методы защиты.

Чернобыльский не застал, но слышал от преподавателя по ТОР КСК что он ещё где-то живет.

Периодически старье появляется в статистике. Может быть коллекции попадают под сканирование
напомнить avast, который прибивал какой-то файл WinXP (то ли tcpip.sys то ли что) после чего случался синий экран? :)

Файл svchost.com прибит, а реестр не почищен от него. Вот и всея магия. (Хотя я чувствую что мог ошибиться.)

нет: forum.avast.com/index.php?topic=110804.0 forum.avast.com/index.php?topic=110781.0
ну и фейл поменьше
ну а так еще eset порой любил прибивать систему, бросая синий экран с ошибкой в своем драйвере, лечилось удалением и повторной установкой…
нет: forum.avast.com/index.php?topic=110804.0, forum.avast.com/index.php?topic=110781.0 ну и фейл поменьше ну а так еще eset порой любил прибивать систему, бросая синий экран с ошибкой в своем драйвере, лечилось удалением и повторной установкой…

Ну с такими приколами от антивирей я не сталкивался.


Из того что мне попортило АВПО с вирусом Neshta на пару весь софт что у меня был пришлось к чертям выбрасывать.
Так как не возможна была дальнейшая нормальная работа с ним, а также возможное повторное заражение системы(Тоже кстати стояла XP).
С этого дня прошло ~6 лет.

От лавсана, увы, не спасал антивирь.
А с грамотным дроппером, ещё и через Ki функции перекроет доступ к файлу.
Все верно, но небольшая поправка
да и руководящие документы так же говорят

это в общем-то миф. если читать 17й приказ, то там по порядку нужно определить риски и выбрать компенсирующие меры. Антивирус одна из них, но не обязательная.
Как миф и необходимость использования только сертифицированных решений
Другой вопрос, что 17й приказ не рассказывает о назначении антивируса правильно — для чего он нужен на самом деле. Но это другой вопрос
а вот что бы кто-то пришёл и сказал «Твой АВ удалил мои файлы» — что-то ни разу не было

У вас не было, у меня было.


Однажды антивирус в ЦОПе (центре оперативной печати) в универе удалил все мои файлы с флешки. Сначала в одном ЦОПе какой-то вирус файлы скрыл и переименовал, заменив своими копиями — а потом в другом ЦОПе антивирус нашел скрытые файлы и удалил их на всякий случай. Ну, может, не удалил, а переместил к себе в карантин — один фиг я этих файлов больше не видел, хорошо что дома остались копии.


С этими ЦОПами вирусы на моей флешке были постоянно — но ни один из них не нанес мне больше вреда чем это сделал антивирус.

В этом случае лучше указывать название такого продукта. Уж больно сомнительно, что чистые файлы удалялись по наличию атрибута
Как результат — заражения отсутствуют у меня как класс.


Не поделитесь откуда у вас присувствует такая уверенность в этом? Может вы имеете ввиду что определенного класса зловредов нет? Или просто не заражения о котором ВЫ ЗНАЕТЕ?
Тут две вещи
1. Статистика. То, что кому-то не попался троян — статистика и не более. Уязвимости есть всегда. Умный пользователь может уменьшить риск — но исключить его полностью невозможно. Другой вопрос — что антивирус — это то, что антивирус — это не равно антивирусные средства защиты — и выбирать средства защиты нужно нужные
2. Большинство пользователей -не специалисты в ИТ. Но тем не менее меня поражает, что антивирус ставят — и выключают.
Если начальство разрешит, надо будет сделать пост с анализом обращений в техподдержку — много, кто выключает или не обновляет антивирус
Отвечать на работе параллельно с другими делами вредно для качества ответа

К сожалению опросы на конференциях, документы регуляторов — показывают, что антивирус считается единственным средством антивирусной защиты. Это не так и не может быть так. Это базовое средство защиты, но 100% защиты он дать не может и должны использоваться дополнительные к нему или заменяющие его средства.
Ваша статистика — типичная статистика. Диаграмма от Майкрософта — "% компьютеров, отметившихся как незащищенные". Сколько это в процентах от всех компьютеров — 5? 50? 90?
По статистике от CureIt! примерно 60% пользователей антивирусы не приобретают и не ставят. За нашу статистику я могу отвечать, поэтому верю, что статистика от Microsoft достоверна.
Если интересно, то в четверг в Екатеринбурге я буду делать презентацию на Коде ИБ по статистике обращений в саппорт на примере эпидемии WannaCry (почему так — мы его ловили сразу, поэтому очень хорошо идентифицировались пользователи по этой эпидемии). Презентации через некоторое время выкладывают, можно будет посмотреть
Я чо-то не понял. Людей у которых антивирус есть, он включен и обновлён на графике нет вообще? Мне кажется, график врёт и его надо проигнорировать.
От 27% на WinVista до 3~5% на Win10:
image

Иллюстрация из этой статьи
Антивирус ловит редко очень то что принесли на флешке и то оно не запустилось бы т.к автозапуск отключен.
А так больше всего помогает файрволл. Он не пускает в инет проги под которые заточены скрипты загрузчики + закрывает лишние порты и уязвимости служб не так страшны.
А еще полезно в системе отключить выполнение скриптов.

Антивирус — не ремень безопасности. Антивирус — это замок. Говорят, замки — от честных людей. Не только. Они ещё от дилетантов. А это — существенный процент угроз.

Почему бы просто не изучить ос, которую вы используете? Узнать, что там есть настройка прав на файловую систему, процессы. В винде есть integrity levels, в линуксе — selinux. Еще есть штатный firewall. Описанный в статье «троян» в нормально настроенной системе работать не будет. Конечно, есть вариант, что будут использованы уязвимости для поднятия прав в системе, но тут надо просто вовремя обновляться.
Описанный в статье «троян» в нормально настроенной системе работать не будет.

Уточните, пожалуйста, что такое «нормально настроенная система» против вируса шифровальщика, например wanna cry?
Сегодня я живу в мире иллюзий, что шифровальщике можно на java написать и слать майл спамом постоянно. Не надо шифровать весь компьютер: рабочий стол, мои документы и фото с видео. Сработает не у всех, заплатят не все, но некоторые пользователи заплатят выкуп. При этом защит только две: архивация с проверкой архивов и ничего никогда не запускать вне доверенных закачек.
Wanna Cry использовал уязвимости в smb, причем первой версии, которую можно выключить + нужно апдейты ставить.
Если у вас можно запускать исполняемые файлы или скрипты, присланные по почте, скачанные браузером и т.п. значит система точно нормально не настроена.
НЛО прилетело и опубликовало эту надпись здесь
добавлю, что в случае домашней винды, где нет SRP, можно запретить запуск исполняемых файлов правами файловой системы, а в случае скриптов — запретить запуск mshta, wscript и cscript. Если для ПО требуются эти компоненты, можно создать пользователя, настроить разрешения и запускать ПО от этого пользователя через runas.
еще можно для директории с важными документами задать высокий IL no writeup
Большое спасибо за ответы.
По моему аналогия с ремнём безопасности не уместна.
— То есть обозначим с чем боремся. Я пишу программу, которая читает файловую структуру «мои документы», считает размер каждого файла и записывает мусор в документы + выводит окно «перечисли деньги — отдам файлы». При этом начинаю рассылать программу в офис, где 100 компьютеров и 2 админа. Через почту, социалки, мессенджеры и раскидываю флешки. Админам надо защититься от шифровальщика.
Из предложенных способов midda2 защита от локера будет только AppLocker. Не думал о таком методе, явно это очень сложно настраивать (не для дома решение), но в офисе, где админ на зарплате вполне пригодится, спасибо. Правами файловой системы запретить запуск программ, также совет понятен, но он очень трудоёмкий (не могу сообразить как его автоматизировать).
Насчёт запрета скриптов — сносная идея для офиса. Только могут прислать файл на pyton, java или чём угодно. Тем не менее, спасибо.
можно для директории с важными документами задать высокий IL no writeup

Этого совета не понимаю. Что это?
Через почту, социалки, мессенджеры и раскидываю флешки.

Включенные и настроенные SRP не дадут запуститься.
Еще можно настроить доступ к съемным дискам, например запретить запуск исполняемых файлов.
Насчёт запрета скриптов — сносная идея для офиса. Только могут прислать файл на pyton, java или чём угодно.

Если это скрипт, то его должен кто-то выполнять(и его можно запретить). В случае SRP можно добавить расширение jar и py в список контролируемых.
Этого совета не понимаю. Что это?

Вот. У всех с уровнем ниже «высокий» не будет возможности изменять папку. Еще можно сомнительное ПО запускать с уровнем «низкий».
Скажите, пожалуйста, а имеется ли в windows способ логирования запуска любых программ на компьютерах в локальной сети в домене и без домена и вывод лога администратору.
То есть, имеется 100 компьютеров, какую бы программу не запустил пользователь администратор может просмотреть у себя лог типа: «дата- время», «полный путь к файлу», «md5 сумма файла».
для домена да.

Установила 3 года назад антивирус Dropbox. Довольна. Он ещё помогает от вируса: "внесла необдуманное изменение в файл — сохранила — закрыла". А это кстати единственный тип опасности, который я видела за последние 10 лет.

Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации

Истории