Тест разных антивирусов на способность обнаружения вируса-шифровальщика WANNACASH и его удаления
реклама
В этой статье я проведу практический тест-эксперимент нескольких популярных антивирусов по их способности обнаружения и нейтрализации вируса-шифровальщика WANNACASH.
Тело этого вируса у меня есть, оно осталось после моей попытки оказать помощь моему знакомому по спасению его зашифрованных данных этим вирусом-шифровальщиком. Подробнее об этом в моей предыдущей статье: «Заражение компьютера вирусом-шифровальщиком WANNACASH» по ссылке: https://overclockers.ru/blog/remont_accumulyatora_noutbuka/show/50081/zarazhenie-kompjutera-virusom-shifrovalschikom-wannacash-i-ustranenie-posledstvij-ego-deyatelnosti
реклама
Здесь только кратко поясню по этому случаю. Мой знакомый подверг свой компьютер заражению этим вирусом-шифровальщиком, скачав его с интернета под видом файла с ключами для активации антивируса ESET NOD32. И который имеет название: «Ключи для ESET[all versions] на 365 дней» с расширением exe. Судя по комментариям в этой статье, случай этот, читателей заинтересовал. И поэтому я решил дальше продолжить эту тему, так сказать провести следственный эксперимент по факту заражения вирусом-шифровальщиком компьютера моего знакомого. И выяснить, почему и как это произошло. Я максимально точно постарался повторить все его действия, для чистоты следственного эксперимента.
Подготавливаю для этого свой ноутбук. Отключаю и извлекаю из ноутбука SSD, на котором установлена система, не удивляйтесь его внешнему виду, на его микросхемы я установил теплоотводы.
реклама
Извлекаю HDD, на котором хранятся мои данные. Устанавливаю в ноутбук другой не задействованный HDD, который и будет участвовать в этом тесте-эксперименте. Устанавливаю на него операционную систему Windows 10 и антивирус ESET NOD32, именно под защитой этого антивируса у пострадавшего пользователя и произошло заражение компьютера. Заражение произошло, когда у антивируса ESET NOD32 лицензия была недействительна, закончившаяся. Но сначала проведу тест с действующей лицензией, чтобы увидеть, как этот антивирус с полностью рабочим функционалом продемонстрирует себя.
реклама
Загружаю тело вируса, который имеет название: «Ключи для ESET[all versions] на 365 дней.exe» на свою электронную почту, что бы для точного повторения действий пострадавшего иметь возможность скачать его с интернета на рабочий стол.
реклама
И здесь меня смутило, что на электронную почту, этот вирус-шифровальщик находящийся в архиве не закрытым паролем залился без проблем. Хотя насколько я понимаю, сервис электронной почты не должен был его туда пропустить, да еще и написали: «все файлы проверены, вирусов нет». Но это тема уже другой статьи.
Скачиваю его на рабочий стол.
Жду, жду, и ничего не происходит. Тогда открываю архив, открываю двойным нажатием левой кнопки мыши этот вирус и наконец, ESET NOD32 отреагировал, предотвратил открытие (исполнение)этого вирусного файла.
Но архив с вирусом не удалил, оставил так сказать его на память на рабочем столе. Тогда провожу сканирование этого архива антивирусом через контекстное меню.
Извиняюсь за качество фотографий, некоторые, как например эта, были сделаны путем фотографирования экрана смартфоном.
И вот, теперь архив с вирусом уничтожен антивирусом ESET NOD32, а если быть точнее, перемещен в карантин.
Теперь буду проводить точно такой же тест с участием антивируса ESET NOD32, но с закончившейся, просроченной лицензией, как это и было у пострадавшего пользователя в момент заражения компьютера. Удалить действующую лицензию из антивируса у меня не получилось. Заменить ее на просроченную тоже не получилось. ESET NOD32 подмену не принимал, и оставался на действующей лицензии. Тогда я изменил системную дату ноутбука на месяц вперед, и антивирус перешел в необходимое мне состояние и сказал, что ваш компьютер не защищен.
Я опять скачал на рабочий стол архив с вирусом-шифровальщиком, подождал минуту, ничего не произошло. Тогда я открыл архив, и открыл файл с вирусом. И вот оно! Следствие, которое вели колобки, определило причину беды. Файл с вирусом успешно открылся, показал мне якобы текстовый файл с лицензионными ключами для антивируса.
И пока по его замыслу я должен был копировать эти ключи в антивирус, и пытаться его активировать, он в это время должен был хорошо обосноваться в системе и начать шифровать данные. Именно это он и сделал, и результат в виде зашифрованных файлов не заставил себя долго ждать.
Файлы до заражения
Файлы после заражения
Подведем предварительный итог. Если антивирус ESET NOD32 находится в актуальном состоянии (с действующей) лицензией, то вероятность подвергнуть заражению компьютер, по вышеуказанному сценарию равна нулю. Но если лицензия недействительна (просрочена), то заражение возможно, точнее сказать оно произошло, хотя такого и не должно было быть, даже если лицензия закончилась. Антивирус все равно должен обеспечивать защиту. Но что имеем, то имеем.
А какова же роль защитника Windows (встроенная в систему антивирусная программа Microsoft Defender) спросите вы. А ответ достаточно прост. Она отключается при установке любого другого антивирусного приложения, и при каких либо косяках этого антивирусного программного обеспечения помочь ничем не сможет. При удалении этого антивирусного приложения антивирусная программа Microsoft Defender (извините за каламбур) включится автоматически, и уже она будет обеспечивать антивирусную безопасность системы.
Движемся дальше.
И теперь интересно как отработает по вирусу-шифровальщику защитник Windows? Проверю это все по той же схеме, предварительно установив чистую систему вместо системы зараженной вирусом-шифровальщиком. И не устанавливаю никакое антивирусное программное обеспечение.
Скачиваю с почты архив с вирусом, открываю архив, открываю файл с вирусом. И защитник Windows предотвращает открытие и исполнение этого вирусного файла.
Дальше провожу сканирование архива с вирусом через контекстное меню.
Он обнаруживается защитником Windows, изолирует его, и предлагает три варианта действия с этим вирусом на выбор пользователю.
Отсюда и возникает вопрос, а стоит ли вообще вместо защитника Windows использовать различные антивирусы, учитывая какие они, порой могут выкидывать фортеля по окончанию срока действия лицензий.
Дальше я решаю подвергнуть проверке парочку бесплатных антивирусов, и начну с Avast Free Antivirus.
Делаю все, как и ранее, скачиваю архив с вирусом, открываю его, Avast Free Antivirus его обнаруживает и предотвращает исполнение этого файла. Но в этом случае сам архив с вирусом не удаляет, впрочем, точно так же, как и все ранее проверенные антивирусы.
Провожу сканирование архива через контекстное меню.
В этом случае он угрозу находит, изолирует архив с вирусом, и предлагает, что дальше с ним необходимо сделать.
Но что меня в нем насторожило, так это то, что на диске он занимает 1,35 Гб. Не многовато ли?
Проверю еще один бесплатный антивирус 360 Total Security.
Все делаю так же, скачиваю зловредный архив, открываю его, и 360 Total Security, предотвращает его проникновение в систему. И если пользователь в течение 20 секунд не принимает никакого решения, что нужно с этим вирусом сделать, то 360 Total Security самостоятельно удаляет его.
Далее, как и прежде сканирую вирусный архив через контекстное меню. 360 Total Security угрозу находит и отправляет вирус в карантин.
Вроде бы все нормально, но!
Это антивирус или программа для показа различной рекламы? Как по мне, это не антивирус с элементами рекламы, а программа-реклама с элементами антивируса и непонятными, не нужными антивирусу функциями оптимизации системы.
Пожалуй, на этом тестирование закончу, и можно сделать некоторые выводы по результатам проделанной работы.
1. Если вы используете стороннее антивирусное программное обеспечение, то следите, чтобы у него лицензия всегда была в актуальном состоянии (не с окончившимся периодом действия). Так как тест-эксперимент показал, что антивирус с недействительной, окончившейся лицензией не гарантирует защиту компьютера. И мало того, что сам не обеспечивает защиту, так еще и своим присутствием в системе блокирует работу защитника Windows (Microsoft Defender).
2. А нужно ли вообще использовать различное антивирусное программное обеспечение, если в Windows 10 есть свой, встроенный в систему антивирус, именуемый защитником Windows. Это вопрос спорный.
Что вы думаете по этому поводу? Пишите в комментариях.
реклама
Лента материалов
Соблюдение Правил конференции строго обязательно!
Флуд, флейм и оффтоп преследуются по всей строгости закона!
Комментарии, содержащие оскорбления, нецензурные выражения (в т.ч. замаскированный мат), экстремистские высказывания, рекламу и спам, удаляются независимо от содержимого, а к их авторам могут применяться меры вплоть до запрета написания комментариев и, в случае написания комментария через социальные сети, жалобы в администрацию данной сети.
Комментарии Правила