Лжеантивирус (Scareware) представляет собой вредоносный программный продукт, основной задачей которого является манипулирование конечными пользователями с целью заставить их загрузить или купить программное обеспечение, потенциально зараженное вредоносным кодом. Злоумышленники используют такие инструменты для обмана жертв, маскируя вирусы под полезное программное обеспечение из сферы кибербезопасности.
Целью применения лжеантивирусов является финансовая выгода за продажу поддельных программ либо получения доступа к устройствам жертвы с целью создать дополнительные уязвимости для проведения дальнейших атак на систему. Взаимодействие scareware после установки на компьютер с жертвой часто происходит с использованием всплывающих в системе предупреждений безопасности, которые неподготовленному конечному пользователю сложно отличить от реальных предупреждений антивирусных программ.
Если жертва попадается на уловку и доверяет информации, присутствующей во всплывающем окне, то скачивает дополнительные вредоносные программные продукты, которые часто не распространяются бесплатно. Таким образом злоумышленники решают сразу две задачи: получение финансовой выгоды и заражения компьютера пользователя. После попадания вируса на сервер или в сеть, все личные и корпоративные данные, учитывая учетную информацию и платежные реквизиты, оказываются под угрозой повреждения, шифрования или кражи.
Тактика применения лжеантивирусов основана на использовании шаблонов социальной инженерии. Злоумышленники создают вредоносные программные продукты, которые маскируются под логотипами и дизайном полезного антивирусного ПО, что призвано убедить жертву в подлинности используемых программ. В некоторых случаях, scareware могут проводить сканирование файловой системы, в том числе системных файлов. Всплывающие в системе окна сообщают жертве, что конкретный файл был подвержен кибератаке и заражен вирусом.
Кроме всплывающих окон существуют другие методы обмана конечных пользователей, в том числе фишинговые электронные письма и вредоносная реклама в интернете. После открытия вложения в электронном письме или скачивания файлов по ссылке, компьютер жертвы подвергается заражению. При несвоевременном обнаружении, scareware может функционировать длительное время, предоставляя хакеру доступ к конфиденциальным данным и следя за действиями конечного пользователя.
Рассмотрим ряд признаков, по которым пользователи могут определить, что стали жертвами атаки с использованием лжеантивирусов:
Блокировка доступа к файлам и системе. Пользователь не может воспользоваться оригинальными антивирусными программами, попасть на официальные веб-сайты разработчиков. При попытке доступа к системным файлам могут появляться предупреждения о небезопасном пути или сообщения об ошибках.
Вредоносная реклама. Оригинальные антивирусные программные продукты не используют уведомления, которые основаны на страхе и манипуляции, как это происходит со лжеантивирусами. Откровенные угрозы и психологическое давление во всплывающих подсказках могут свидетельствовать о заражении scareware.
Произвольное открытие вкладок в браузерах. Антивирусные программы не отправляют уведомлений в браузер и не открывают дополнительных окон и вкладок без команды пользователя. Если при использовании браузера появляются несанкционированные рекламные баннеры с угрозами кибербезопасности, то эти уведомления являются поддельными.
Запросы на обновления. Вредоносные программы пытаются манипулировать пользователями, предлагая установить новую версию обновлений, которые, как правило, бывают платными. Предложение обновлений в большинстве случаев навязчивы и вызывают неудобства в работе.
Измененные системные настройки. Современные версии scareware получают доступ к системным файлам жертвы и имеют возможность изменять системные настройки. Измененные параметры работы компьютера могут свидетельствовать о заражении лжеантивирусом либо другими вредоносными программными продуктами.
Снижение производительности. Резкое ухудшение показателя производительности компьютера может свидетельствовать о появлении дополнительной нагрузки на процессор и оперативную память. Если перед этим не предпринимались никакие системные изменения, то это признак постороннего вмешательства в работу системы.
Самый простой способ борьбы со scareware — использование оригинального антивирусного программного обеспечения с актуальными обновлениями и лицензиями, которое проводит регулярное сканирование файловой системы на предмет присутствия вредоносного кода. Пользователи также могут попытаться удалить лжеантивирус вручную. Как правило, данный процесс не занимает много времени и не требует профессиональных знаний или навыков — достаточно умения пользоваться системными настройками.
Для удаления scareware в системе Windows необходимо следовать следующему алгоритму:
Зайти в настройки программ, используя системную панель управления.
Сортировать имеющиеся записи по дате установки, кликнув на соответствующую колонку таблицы.
Среди последних установленных программ выбрать ту, что выдает себя за антивирус и после установки которой появились проблемы со всплывающими окнами и другими признаками заражения.
При помощи панели инструментов или правой кнопки мыши выбрать опцию «Удалить».
После удаления рекомендуется перезапустить компьютер и проверить наличие признаков заражения. Если все осталось неизменным, необходимо продолжить удаление последних установленных программ.
Процесс удаления scareware на Mac ОС не отличается от предыдущего, за исключением системного интерфейса:
В категории «Приложения» найти последние установленные программы, среди которых выбрать наиболее похожую на вредоносную.
Переместить выбранное ПО в корзину.
Очистить приложение «Корзина».
Перезагрузить устройство и проверить наличие факторов заражения. Если все без изменений — повторить процесс с другой программой.
Для предотвращения заражения лжеантивирусами необходимо выполнять все фундаментальные правила кибербезопасности, включая установку ПО только из доверенных источников и от доверенных разработчиков, регулярно устанавливать актуальные пакеты обновлений системы и используемого ПО, применять межсетевые экраны и блокировщики всплывающих окон, фильтры электронной почты. Соблюдение этих правил безопасности существенно снизит риск заражения scareware и позволит сохранить данные в безопасности.