На главную

Windows Defender спас сотни тысяч компьютеров от «майнингового рабства»

В марте защитные средства Microsoft предотвратили мощную атаку на пользователей Windows в России. В случае ее успеха как минимум сотни тысяч компьютеров использовались бы для майнинга криптовалюты в пользу злоумышленников.

Штатная программа защиты Windows Defender заблокировала волну заражения из 80 тысяч троянов. Через несколько часов была заблокирована вторая волна уже из 400 тысяч троянов. Основными целями атак стали компьютеры в России (73%), Турции (18%) и Украине (4%).

Вредоносные программы представляли собой несколько сложных разновидностей троянов, известных как Dofoil, или Smoke Loader. Их целью были компьютеры пользователей Microsoft Windows – злоумышленники планировали с помощью троянов тайно от владельцев установить на них ПО для добычи (майнинга) криптовалюты и создать из них распределенную сеть для собственного обогащения на чужих вычислительных мощностях.

География атаки Dofoil


Злоумышленники не впервые атакуют чужие компьютеры ради майнинга криптовалют – такие инциденты отмечались и раньше. Особенность этой атаки была в продвинутых способах проникновения вредоносного кода в систему и его защиты от обнаружения антивирусными средствами.

Все решили миллисекунды

Вирусная эпидемия была предотвращена благодаря тому, что ее вовремя обнаружили системы поведенческого анализа Microsoft. Сразу после выявления подозрительной активности Windows Defender отправил информацию о ней в облачную службу защиты. Почти мгновенно, за миллисекунды, служба приступила к блокировке угрозы.

В следующие секунды модели машинного обучения в облаке Microsoft проанализировали образцы и подтвердили правомерность отнесения их к зловредному ПО, затем эти выводы были еще раз подтверждены моделями на основе детонации. После этого служба обнаружения аномалий сообщила специалистам о возможной вспышке заражения, и сотрудники группы реагирования на инциденты проанализировали и классифицировали угрозу.

Подозрительная сетевая активность, отображаемая в Windows Defender

Специалисты Microsoft отмечают, что пользователи Windows 10, Windows 8.1 и Windows 7 с антивирусными программами Windows Defender или Microsoft Security Essentials были полностью защищены от этой угрозы. В основу их работы заложены механизмы упреждающей защиты, использующие искусственный интеллект.

Что должно было произойти

Такие многоуровневые кибератаки происходят в последнее время все чаще. Как правило, они тщательно планируются и проходят длительный этап подготовки. Наградой киберпреступникам становится «бесплатная» криптовалюта, стоимость которой достаточно высока, а добыча требует больших вычислительных ресурсов, затрат электроэнергии и времени. В данном случае атака готовилась с середины февраля.

Троян Dofoil распространяется несколькими способами, в том числе через спам и эксплойты. В этот раз он действовал иначе, используя для проникновения на компьютеры программу MediaGet с подставленным сертификатом, принадлежащим другой атакованной ранее компании.

Подозрительная сетевая активность, отображаемая в Windows Defender

MediaGet – это популярный битторрент-клиент, который используется для загрузки и распространения файлов в P2P-сетях. Одна из особенностей работы таких программ заключается в том, что их пользователи чаще других людей надолго оставляют свои компьютеры включенными с целью поддержки активных закачек и раздач файлов, и это должно было помочь злоумышленникам в майнинге криптовалют. По этой же причине у пользователей торрентов редко возникают вопросы относительно собственного интернет-трафика и загруженности системы, что можно было использовать для маскировки процесса майнинга. А закачки взломанных программ, на которые антивирусы иногда выдают ложные срабатывания, часто мотивируют их отключать защиту.

Интересно, что в этот раз хозяева трояна не стали загружать его обычным путем через torrent-файлы. Вместо этого они заразили обновление программы MediaGet на сервере и с его помощью попытались проникнуть на компьютеры. Дальше, по их замыслу, обновление должно было заразить исполняемый файл программы. Он, в свою очередь, подключался бы к серверу управления и контроля, загружал и запускал программу майнинга CoinMiner.

Средства защиты

Антивирус Windows Defender, как уже было сказано, использует многоуровневый подход к обеспечению защиты не только от известных, но и от новых зловредов. Для этого Microsoft применяет алгоритмы обнаружения угроз на основе анализа поведения, универсальных шаблонов и эвристического анализа, модели машинного обучения на клиентских устройствах и в облаке.

В частности, компания разработала Windows Defender Advanced Threat Protection (Windows Defender ATP) – набор инструментов безопасности нового поколения, которые обеспечивают защиту клиентов в реальном времени. Защита корпоративных клиентов от зараженного трояном ПО MediaGet была обеспечена антивирусом Windows Defender AV с функцией защиты от потенциально ненадежных приложений.

При анализе сорванной атаки выяснилось, что расширенные библиотеки обнаружения в Windows Defender ATP определяли вредоносное поведение Dofoil на всех этапах заражения. В данном случае вредоносным поведением было проникновение трояна в систему, его защита от обнаружения и внедрение программы для майнинга криптовалют. Windows Defender ATP также предоставляет встроенные инструменты защиты Windows Defender AV, Windows Defender Exploit Guard и Windows Defender Application Guard для управления системой безопасности на всех уровнях.

другие СТАТЬИ

Павел Ершов
главный операционный директор Microsoft в России

Стремительное развитие технологий привело к расширению возможностей и для киберпреступников: в настоящее время угрозы возникают все чаще, они приобретают новые формы и более широкий масштаб. Поэтому критически важно, особенно для бизнеса, пользоваться только самой актуальной версией ОС, которая способна адекватно отвечать на вызовы киберпреступников. Например, согласно исследованию Webroot, даже домашняя версия Windows 10 в два раза безопаснее Windows 7. Это обусловлено тем, что мы постоянно работаем над развитием функций и возможностей безопасности в Windows 10, добавляем новый инструментарий для противодействия новым видам атак. В Windows Defender Advanced Threat Protection для обнаружения и блокирования даже новых видов угроз используются прогрессивные алгоритмы машинного обучения, а не только статический сигнатурный метод. По итогам независимого исследования, за тестовый период в пять месяцев им не было пропущено ни одного образца вредоносных программ. Так вирус-вымогатель WannaCry, принесший бизнесу во всем мире убытки на сумму в более $4 млрд, не затронул компьютеры с Windows 10

Дмитрий Кравченко
генеральный директор Acer в России

Обеспечение безопасности бизнес-устройств – комплексная задача, которую можно решить эффективно только сочетанием нескольких составляющих: надежности оборудования, защиты данных и высокого уровня сервиса. Наши корпоративные ноутбуки серии TravelMate и Extensa проходят специальное тестирование на повышенную устойчивость системы к внешним воздействиям: вибрации, ударам, проливу жидкостей на клавиатуру. Защиту данных обеспечивают использование операционной системы Windows 10 Pro и оригинальное программное решение Acer ProShield с трехуровневой защитой информации от кражи. Операционная система Windows Pro также интегрирована в ультрабуках бизнес-класса серии Swift и Spin, ориентированных на широкий спектр мобильных сценариев использования. Наконец, мы уделили особое внимание обеспечению работоспособности бизнес-устройств и предложили покупателям программу качества «Двойная защита капитала». В ее рамках мы не только осуществляем бесплатный ремонт вышедшей из строя техники в первый год ее использования. В случае поломки мы возвращаем полную стоимость устройства, находящегося на гарантии, и исправный продукт при этом остается у клиента. Такие условия гарантии может предлагать только компания, полностью уверенная в качестве своей продукции.

Михаил Степанюк
директор департамента «Программное обеспечение», Merlion

Современный пользователь компьютера – вне зависимости от того, бизнесмен это или человек творческой профессии, школьник, студент или пенсионер, работник крупной компании или индивидуальный предприниматель – привык, благодаря разработчикам ПО и производителям оборудования, к максимальному комфорту. К тому, что в любое время, на любом устройстве можно получить доступ к нужным данным и воспользоваться любым привычным программным инструментом, будь то бизнес-приложение, аналитический, коммуникационный либо любой другой модуль. Все разнообразие популярных программ, которые задействует пользователь настольного или мобильного компьютера постоянно расширяется. В такой ситуации Windows 10 является той самой базовой платформой, которая способна обеспечить, с одной стороны, максимальный выбор удобных и полезных приложений, а с другой­ – максимальную безопасность при работе с ними. Windows 10 – идеальная возможность задействовать весь спектр популярных офисных и развлекательных программ, надежно защищенных встроенной в ОС антивирусной защитой, брандмауэром и антифишинговой технологией.

Константин Кимельман
директор подразделения персональных систем, HP в России

Для полноценной защиты устройства, особенно когда речь идет о корпоративных данных, необходим комплексный подход. Система безопасности должна бесперебойно обеспечивать сохранность информации на всех этапах. Со своей стороны, HP обеспечивает надежную защиту своих устройств на аппаратном уровне, но она не может быть всеобъемлющей без операционной системы, обеспечивающей самые актуальные алгоритмы отражения любых атак. Только современные устройства в сочетании с новейшим программным обеспечением могут обеспечить всестороннюю защиту бизнес-данных компании

Виктория Тарантина
генеральный менеджер iRU

Для iRU, как производителя оборудования, важнейшей задачей является обеспечение стабильности работы наших устройств, которая гарантируется не только надежными комплектующими и высоким качеством сборки, но и совместимостью «железа» и ПО. В этой связи мы акцентируем внимание наших клиентов на том, что новые линейки процессоров предназначены для совместного использования с ОС Windows 10. Кроме того, для нас безусловным приоритетом является безопасность данных наших клиентов. Особенно это актуально для корпоративных сетей, где атака на один компьютер может привести к выходу из строя всех устройств в цепи, потере критических данных и денежных средств. Как производитель оборудования мы уделяем максимальное внимание безопасности, которая обеспечивается и на этапе авторизации и при работе самой системы, благодаря функционалу ОС Windows 10 Pro. Проактивные совместные действия производителей оборудования и программного обеспечения позволяют гарантировать корпоративным клиентам максимальную безопасность данных и высокую скорость работы, от которых во многом зависит успех самого бизнеса.

Олег Поддубный
директор по развитию корпоративного бизнеса «АСБИС»

Компания «АСБИС» Россия предустанавливает на свой продукт - интерактивные панели для бизнеса и образования Prestigio Multiboard – только операционную систему Windows 10 Pro. На то есть несколько причин. Во-первых, Windows 10 Pro позволяет полностью раскрыть функционал устройства и процессора Intel, полностью интегрируется в корпоративную сеть и позволяет без проблем и незамедлительно использовать привычные пользователю приложения для продуктивных совещаний и совместной работы. Во-вторых, на сегодняшний день Windows 10 Pro – это самая адаптивная ОС для решений с функциями Ink (цифровое перо) и Touch (количество одновременных касаний) Благодаря широкому функционалу системы, мы можем просто сказать клиентам: «Включите в розетку и сразу пользуйтесь» В третьих, если говорить об использовании панелей в образовании (детские сады, школы, вузы), то вопроса о выборе по сути не стоит – под другие ОС нет образовательного контента, который бы позволил извлекать из решения реальную практическую выгоду для учащихся. По нашим оценкам, средний уровень восприятия информации учащимися увеличивается при использовании интерактивных технологий до 37% И, наконец, нельзя не сказать о безопасности – выпускаемые Microsoft обновления реально делают Windows 10 Pro надежным защитником устройства.

Александр Буравлев
технический директор, «Аквариус»

«Аквариус» завершает обновление линеек своих клиентских систем в связи с переходом на новое поколение процессоров Intel и AMD. Новые процессоры предлагают нам на аппаратном уровне не только новый уровень производительности, но и новый уровень защиты как от программно-аппаратных сбоев, так и от злонамеренных действий хакеров. Все эти новые возможности можно реализовать только с Windows 10. Более того, многие из новых процессоров и чипсетов вообще не поддерживают какие-либо версии Windows, кроме 10. Сама Windows 10 также фокусируется на реализации повышения производительности и безопасности работы приложений на уровне операционной системы. Поэтому выбор новых процессоров и Windows 10 – это наиболее правильный выбор».

Александр Катаев
генеральный менеджер Lenovo в России

В условиях современного бизнеса нельзя отставать от последних технологических трендов. Безопасность, скорость и энергоэффективность – главное, к чему сейчас стремятся производители ПК нового поколения. Соответствуя высочайшим запросам современных пользователей, Lenovo в своих последних разработках поддерживает только новейшую операционную систему, чтобы гарантировать максимально высокий уровень скорости, надёжности и продуктивности устройств. Своевременно обновляя ОС, пользователи оценят новые возможности и продуктивность своих устройств, скорость и безопасность браузера, смогут решать свои задачи максимально эффективно и быть уверенными в безопасности своих данных

ПОЧЕМУ
WINDOWS 10 PRO?
ЗАЩИТА ОТ КИБЕРУГРОЗ
с Windows 10 Pro
Эволюция систем
безопасности Windows