Перейти к основному содержимому

2.08. Лечение компьютера от вирусов

ОБЯЗАТЕЛЬНОДЛЯ НОВИЧКОВНЕ ДЛЯ НОВИЧКОВВ РАЗРАБОТКЕ
Всем

Лечение компьютера от вирусов

Присутствие вредоносного программного обеспечения на компьютере — это нарушение целостности операционной среды, при котором посторонний код получает возможность выполнять действия без ведома или согласия пользователя. Такие программы могут изменять системные настройки, перехватывать данные, заменять легитимные компоненты системы, потреблять вычислительные ресурсы или обеспечивать удалённый доступ к устройству.

Современные вредоносные программы не стремятся быть заметными. Их эффективность напрямую зависит от способности оставаться незамеченными как можно дольше. Поэтому классические признаки — вроде появления всплывающих окон с требованиями выкупа — встречаются редко. Гораздо чаще вредоносное ПО действует скрытно: оно перехватывает нажатия клавиш, шифрует выбранные файлы постепенно, или использует ресурсы компьютера для добычи криптовалюты. Такой подход позволяет ему функционировать длительное время без обнаружения.

Для успешного противодействия необходимо понимать не только что делает вредоносная программа, но и как она это делает. Только тогда пользователь получает инструменты для осознанного вмешательства, а не просто механического запуска антивирусного сканера.

Признаки присутствия вредоносного ПО

Обнаружение угрозы начинается с наблюдения за поведением системы. Вредоносное ПО всегда оставляет следы — не в виде специального сигнала, а в виде изменений в работе операционной системы. Эти изменения могут быть как явными, так и косвенными.

Изменение производительности

Резкое снижение отзывчивости интерфейса, увеличение времени запуска программ и операций ввода‑вывода часто указывает на высокую загрузку процессора или дисковой подсистемы. В частности, если активность диска остаётся на уровне 90–100 % без видимых причин — например, при простое на рабочем столе — это повод для проверки. Аналогично, устойчивая загрузка одного или нескольких ядер процессора на 70 % и выше без запущенных пользовательских приложений требует анализа.

Вредоносные программы, выполняющие вычислительные задачи (например, майнеры криптовалют), создают устойчивую нагрузку на процессор или графический адаптер. Это приводит не только к замедлению работы, но и к повышению температуры компонентов. Повышение температуры — особенно при отсутствии активных приложений, интенсивной графики или больших объёмов данных — является косвенным, но важным признаком.

Аномалии в работе пользовательского интерфейса

Операционная система предоставляет стандартные механизмы взаимодействия с пользователем. Любое отклонение от ожидаемого поведения требует внимания.

Например, закрытие окна браузера может сопровождаться появлением дополнительного всплывающего окна с рекламным или мошенническим содержанием, даже если сам браузер уже завершил работу. Это указывает на то, что фоновый процесс продолжает функционировать и инициирует отображение окон напрямую через графическую подсистему.

Ещё один признак — изменение внешнего вида элементов интерфейса: исчезновение значков на панели задач, замена иконок приложений, появление новых пунктов в контекстном меню. Это может быть следствием подмены системных файлов ресурсов, внедрения кода в проводник Windows (explorer.exe) или модификации реестра.

Появление неизвестных объектов

В списке установленных программ, в папке «Автозагрузка», в диспетчере задач могут появляться объекты, которые пользователь не устанавливал и не запускал. Особенно подозрительны имена, имитирующие системные компоненты: svch0st.exe, expl0rer.exe, winl0g0n.exe, crtldll.exe. Замена цифр на похожие по начертанию буквы (нуль на букву o, единицу на l или i) — распространённый приём маскировки.

Также стоит обратить внимание на появление новых папок с непонятными названиями в профилях пользователей (C:\Users\<имя>), в каталогах %AppData%, %LocalAppData%, %ProgramData%. В этих местах вредоносное ПО часто размещает свои компоненты, так как они имеют необходимые права на запись и редко проверяются вручную.

Нестандартное поведение сетевых соединений

Вредоносное ПО часто устанавливает постоянное соединение с удалённым сервером — командным центром. Это может проявляться в виде постоянной активности индикатора сетевого подключения, даже когда пользователь не использует интернет. Более точно поведение можно оценить в диспетчере задач, на вкладке «Производительность» → «Ethernet» или «Wi-Fi», или через утилиту netstat -ano в командной строке. Наличие множества исходящих соединений к неизвестным IP‑адресам, особенно с использованием нестандартных портов, требует дополнительного исследования.

Подготовка к диагностике и лечению

Обнаружив признаки заражения, важно действовать последовательно. Любое вмешательство должно начинаться с минимизации потенциального ущерба.

Отключение от сети

Первый шаг — отключение компьютера от всех сетевых интерфейсов: проводного, беспроводного, Bluetooth. Это предотвращает передачу данных на удалённые серверы, останавливает обновление вредоносного кода и исключает возможность удалённого управления. Если физическое отключение невозможно, можно отключить сетевые адаптеры через «Диспетчер устройств» или завершить сеансы через команду netsh interface set interface "Имя интерфейса" admin=disable.

Включение отображения скрытых файлов и системных объектов

Маскировка — один из базовых механизмов уклонения от обнаружения. Вредоносное ПО использует атрибуты файловой системы: Hidden, System, Read-only. По умолчанию проводник Windows скрывает объекты с этими атрибутами.

Чтобы увидеть полную картину, необходимо включить отображение всех файлов:

  1. Откройте «Проводник».
  2. Перейдите в «Вид» → «Показать» → «Скрытые элементы».
  3. Нажмите «Параметры» → «Изменить параметры папок и поиска».
  4. Во вкладке «Вид» снимите галочку с пункта «Скрывать защищённые системные файлы (рекомендуется)» и выберите «Показывать скрытые файлы, папки и диски».
  5. Нажмите «Применить ко всем папкам».

После этого проводник будет отображать все объекты без исключения. Это особенно важно при анализе каталогов пользователя, где часто размещаются ярлыки с расширением .lnk, выдаваемые за папки. При внимательном рассмотрении видно, что ярлык имеет стрелку внизу иконки, а при наведении — путь к исполняемому файлу, а не к папке.

Использование внешних инструментов

Запуск антивирусного сканера на уже заражённой системе может быть неэффективным: вредоносное ПО способно блокировать или подменять работу антивирусных служб, удалять сигнатуры, перехватывать системные вызовы. Поэтому предпочтительнее использовать портативные сканеры, запускаемые с внешнего носителя.

Такие утилиты — например, Dr.Web CureIt!, Kaspersky Virus Removal Tool, ESET Online Scanner — не требуют установки, загружают собственные сигнатуры и движок непосредственно в оперативную память, минуя потенциально заражённые системные компоненты. Их следует скачивать на заведомо чистом устройстве и переносить на USB‑накопителе.

Безопасный режим

Безопасный режим — это конфигурация загрузки Windows, в которой запускается минимально необходимый набор драйверов и служб. Цель — исключить влияние стороннего программного обеспечения, включая потенциально вредоносного кода, на работу ядра и подсистем.

Существует несколько вариантов безопасного режима:

  • Безопасный режим — только базовые драйверы видеокарты и клавиатуры, без сети.
  • Безопасный режим с поддержкой командной строки — аналогично предыдущему, но вместо проводника запускается cmd.exe.
  • Безопасный режим с загрузкой сетевых драйверов — включает сетевой стек, что позволяет использовать сетевые инструменты, обновлять сигнатуры, загружать утилиты.

Для входа в безопасный режим на современных версиях Windows (10, 11) используется следующая процедура:

  1. Удерживая клавишу Shift, нажмите «Перезагрузка» в меню «Пуск».
  2. После перезагрузки появится меню выбора: «Поиск и устранение неисправностей» → «Дополнительные параметры» → «Параметры загрузки» → «Перезагрузить».
  3. После повторной перезагрузки нажмите клавишу F4 (безопасный режим), F5 (с сетью) или F6 (с командной строкой).

На более старых версиях (Windows 7 и ранее) вход осуществляется нажатием клавиши F8 на раннем этапе загрузки — до появления логотипа.

В безопасном режиме не загружаются драйверы сторонних устройств, не запускаются программы из автозагрузки, не инициализируются службы приложений (например, Skype, OneDrive, Steam). Это создаёт условия, в которых вредоносное ПО, зависящее от этих компонентов, не может функционировать. Многие сканеры работают именно в этом режиме, так как их эффективность возрастает при отсутствии активных угроз.

Полное сканирование

Быстрое сканирование — это проверка наиболее часто используемых мест: оперативной памяти, загрузочных секторов, каталогов автозагрузки, реестра на наличие известных сигнатур. Оно занимает несколько минут, но не гарантирует обнаружение всех угроз.

Полное сканирование охватывает все логические диски, включая системные разделы, архивы, сжатые файлы, сценарии, макросы в документах. Сканер распаковывает вложенные архивы (вплоть до нескольких уровней вложенности), анализирует содержимое исполняемых модулей, проверяет цифровые подписи, сопоставляет хэши с базами известных образцов и применяет эвристические алгоритмы для выявления аномального поведения кода.

Полное сканирование может занимать от получаса до нескольких часов — в зависимости от объёма данных и производительности дисковой подсистемы. Его целесообразно проводить в безопасном режиме, чтобы исключить сопротивление со стороны активных компонентов вредоносного ПО.

Лечение и удаление

Антивирусные сканеры предоставляют два основных варианта обработки обнаруженной угрозы: удаление и помещение в карантин. Эти действия отличаются по механизму и последствиям.

Удаление означает полное уничтожение файла с диска. Это прямое вмешательство: файл стирается, и его восстановление без использования специализированных средств невозможно. Такой подход целесообразен, когда объект является чисто вредоносным и не имеет легитимных функций — например, троян, бэкдор или майнер.

Помещение в карантин — это изоляция файла в зашифрованном и защищённом хранилище, недоступном для исполнения. Карантинные файлы не могут запускаться, не взаимодействуют с системой и не участвуют в автозагрузке. При этом сохраняется возможность их последующего анализа, восстановления (если обнаруживается ложное срабатывание) или передачи в лабораторию для исследования.

Карантин реализуется как специальный каталог (например, %ProgramData%\DrWeb\Quarantine\), в который копируется зашифрованная копия файла вместе с метаданными: хэшем, временем обнаружения, путём исходного размещения, сигнатурой угрозы. Доступ к содержимому ограничен правами операционной системы и шифрованием на уровне приложения.

Выбор между удалением и карантином зависит от уровня уверенности в классификации. При сомнениях — предпочтителен карантин: он снижает риск потери данных при ложноположительном срабатывании.

Очистка временных данных

Временные файлы — это данные, создаваемые операционной системой и приложениями для ускорения работы, кэширования, хранения сессий. К ним относятся: кэш браузеров, файлы подкачки, временные интернет-файлы, журналы установки, остатки от обновлений, фрагменты архивов.

Вредоносное ПО часто использует каталоги временных файлов как зону размещения: они доступны на запись, не требуют прав администратора, и редко проверяются вручную. Кроме того, некоторые угрозы внедряются в кэш обновлений Windows (C:\Windows\SoftwareDistribution\Download) или используют папку Prefetch для ускорения собственного запуска.

Очистка временных данных выполняется через встроенную утилиту «Очистка диска»:

  1. Нажмите Win + R, введите cleanmgr, подтвердите.
  2. Выберите системный диск (обычно C:).
  3. В списке отметьте пункты: Временные файлы Интернета, Временные файлы, Файлы кэша диагностики, Корзина, Эскизы, Файлы журнала обновления Windows.
  4. Нажмите «ОК», затем «Удалить файлы».

Эта процедура не только освобождает место, но и устраняет потенциальные точки внедрения, которые могли остаться после предыдущего сканирования.

Анализ автозагрузки

Автозагрузка — это механизм запуска программ при входе пользователя в систему или при старте Windows. Он реализован через несколько уровней:

  • Каталог Shell:Startup (%AppData%\Microsoft\Windows\Start Menu\Programs\Startup) — для текущего пользователя.
  • Каталог Common Startup (%ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup) — для всех пользователей.
  • Раздел реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.
  • Раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
  • Планировщик заданий (taskschd.msc).
  • Службы (services.msc) с типом запуска «Автоматически».

Программы в автозагрузке выполняются без участия пользователя. Это удобно для легитимных утилит — антивирусов, драйверов, облачных клиентов. Однако вредоносное ПО использует автозагрузку для обеспечения постоянства присутствия: даже после перезагрузки и удаления файла с диска — если запись в автозагрузке осталась — угроза восстановится из резервной копии или скачает себя заново.

Проверка автозагрузки:

  1. Откройте «Диспетчер задач» (Ctrl + Shift + Esc), перейдите на вкладку «Автозагрузка».
  2. В колонке «Влияние на запуск» оцените вес каждого элемента. Высокое влияние при неизвестном имени — повод для проверки.
  3. Щёлкните правой кнопкой по подозрительному элементу → «Открыть расположение файла». Это покажет физический путь к исполняемому модулю.
  4. Если файл находится в %AppData%, %Temp%, %ProgramData% с непонятным именем — это требует анализа.
  5. Отключите элемент через контекстное меню («Отключить»), но не удаляйте запись из реестра вручную без подтверждения вредоносности.

После отключения автозагрузки перезагрузите систему и проверьте, исчезла ли подозрительная активность.

Файл hosts: перехват сетевых запросов

Файл hosts — это локальная база соответствия доменных имён и IP‑адресов. Он имеет приоритет над DNS‑серверами и используется операционной системой для разрешения имён на раннем этапе сетевого взаимодействия.

Путь к файлу:
C:\Windows\System32\drivers\etc\hosts

Стандартное содержимое файла — одна или несколько строк:
127.0.0.1 localhost
::1 localhost

Вредоносное ПО модифицирует hosts, чтобы перенаправлять запросы к легитимным ресурсам (например, google.com, mail.ru, sberbank.ru) на подконтрольные злоумышленникам серверы. Это позволяет:

  • Подменять страницы входа в аккаунты и красть учётные данные.
  • Блокировать доступ к антивирусным сайтам, обновлениям, центрам обновления Windows.
  • Перенаправлять рекламные запросы на монетизируемые домены.

Пример подозрительной записи:
185.212.47.32 google.com
0.0.0.0 update.microsoft.com
127.0.0.1 avast.com kaspersky.com drweb.ru

Чтобы проверить файл:

  1. Откройте Блокнот от имени администратора (иначе сохранение невозможно).
  2. В меню «Файл» → «Открыть», укажите путь выше (в проводнике может не отображаться — введите вручную).
  3. Проанализируйте содержимое. Любая строка, кроме стандартных записей localhost, требует проверки.
  4. Удалите все подозрительные строки.
  5. Сохраните файл.

После изменения рекомендуется сбросить DNS‑кэш:
Откройте командную строку от имени администратора и выполните:
ipconfig /flushdns

Ручное обнаружение и удаление

Антивирусные сканеры полагаются на сигнатуры и эвристику. Когда угроза использует полиморфный код, упаковку, или известна только в узких кругах, ручной анализ становится необходимым.

Поиск подозрительных процессов

  1. Откройте «Диспетчер задач» → вкладка «Процессы».
  2. Включите отображение всех столбцов: кликните правой кнопкой по заголовку → «Выбрать столбцы» → включите PID, Имя описания, Командная строка, Путь к исполняемому файлу.
  3. Отсортируйте по ЦП, Память, Диск.
  4. Обратите внимание на:
    • Процессы с высокой загрузкой, но без имени или с именем, похожим на системный (например, svchost.exe должен быть в C:\Windows\System32\, а не в %AppData%).
    • Исполняемые файлы, расположенные в нетипичных каталогах: AppData, Temp, ProgramData, корень диска C:\.
    • Процессы с пустым полем «Имя описания» или описанием на другом языке, особенно с техническими неточностями.

Например, легитимный explorer.exe запускается из C:\Windows\explorer.exe. Если в списке есть explorer.exe, запущенный из C:\Users\Timur\AppData\Roaming\Microsoft\, это явный признак подмены.

Принудительное завершение процесса

  1. Выделите процесс → «Снять задачу».
  2. Если операция не выполняется, перейдите на вкладку «Подробности», найдите соответствующий PID и используйте контекстное меню → «Завершить дерево процессов».
  3. При отказе — используйте командную строку от имени администратора:
    taskkill /PID <номер> /F

Удаление файлов вручную

После завершения процесса можно удалять файл.

Если система сообщает: «Файл используется другим процессом» или «Доступ запрещён»:

  1. Проверьте, не остаётся ли дочерний процесс (например, через Process Explorer от Sysinternals).
  2. Перезагрузите компьютер в безопасном режиме — без загрузки вредоносного компонента.
  3. Используйте утилиту Unlocker или встроенную возможность del после завершения всех связанных задач через handle.exe (из набора Sysinternals):
    handle -p <имя_процесса> → найти дескриптор файла → handle -c <номер> -p <PID> -y → затем del.

Проверка замаскированных объектов

Вредоносное ПО часто:

  • Создаёт ярлыки с иконками папок и расширением .lnk, но в свойствах — путь к .exe.
  • Переименовывает оригинальные папки (например, DocumentsDocuments_) и создаёт ярлык с именем Documents, ведущий к вредоносу.
  • Скрывает оригинальные файлы, устанавливая атрибут Hidden + System, и создаёт подмену с тем же именем, но исполняемым.

Чтобы выявить такую подмену:

  1. Включите отображение расширений файлов (в параметрах папок — снимите галочку «Скрывать расширения для зарегистрированных типов файлов»).
  2. Включите отображение скрытых и системных файлов (как описано ранее).
  3. Сравните имена объектов. Если рядом с Documents есть Documents_ (скрытая папка) и Documents.lnk (ярлык) — это признак атаки.
  4. Удалите ярлык, снимите атрибуты Hidden и System с оригинальной папки через свойства или команду:
    attrib -h -s -r "C:\Users\Timur\Documents_"
    Затем переименуйте её обратно.

Реестр Windows

Реестр — иерархическая база конфигурации Windows. Вредоносное ПО использует его для:

  • Настройки автозагрузки (разделы Run, RunOnce).
  • Подмены обработчиков файлов (например, чтобы .docx запускался через вредоносный лаунчер).
  • Внедрения DLL через AppInit_DLLs.
  • Подмены системных путей (UserInit, Shell в Winlogon).
  • Скрытия процессов через фильтры (редко, но встречается в руткитах).

Ключевые разделы для проверки:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run (для 32‑битных приложений на 64‑битной системе)
  • HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (должно быть explorer.exe)
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit (должно быть C:\Windows\system32\userinit.exe)

Редактирование реестра требует осторожности. Перед внесением изменений создайте точку восстановления системы или экспорт раздела (Файл → Экспорт в regedit).

При обнаружении подозрительной записи — проверьте путь к исполняемому файлу. Если он ведёт в %AppData%, %Temp%, или имеет случайное имя — удалите запись.

Завершающие действия после лечения

Лечение — это восстановление доверия к системе.

  1. Сброс паролей. Вредоносное ПО могло перехватывать данные ввода. Смена паролей на всех критически важных ресурсах (почта, банки, облачные сервисы) обязательна. Рекомендуется использовать двухфакторную аутентификацию.

  2. Обновление системы. Установите все накопленные обновления Windows (Параметры → Обновление и безопасность). Многие вредоносные программы эксплуатируют уязвимости, для которых уже выпущены исправления.

  3. Проверка целостности системных файлов. Запустите:
    sfc /scannow — проверка и восстановление системных файлов.
    DISM /Online /Cleanup-Image /RestoreHealth — восстановление хранилища образов.

  4. Настройка защиты в реальном времени. Установите проверенное антивирусное решение с функцией активного мониторинга: контроль запуска исполняемых файлов, проверка загрузки DLL, защита веб‑сессий.

  5. Резервное копирование. После подтверждения чистоты системы создайте полную резервную копию — например, через wbadmin или сторонний инструмент. Это обеспечит возможность быстрого восстановления в будущем.

Профилактика как продолжение лечения

Лечение компьютера — это реактивная мера. Устойчивая защита строится на проактивных принципах:

  • Минимизация прав: использование учётной записи без прав администратора для повседневных задач.
  • Контроль источников: установка программ только из официальных сайтов, проверка цифровых подписей.
  • Обновление: своевременное применение обновлений не только ОС, но и приложений (браузеры, Java, Adobe Reader, офисные пакеты).
  • Резервное копирование: регулярное создание копий важных данных на внешние носители или в зашифрованное облачное хранилище.

Вредоносное ПО эволюционирует, но его методы остаются ограниченными возможностями операционной системы. Понимание этих возможностей — ключ к осознанному и эффективному противодействию.

Типология угроз

Вредоносное ПО не является единым классом. Его можно классифицировать по целям, способу внедрения и методам устойчивости. Понимание типа угрозы помогает выбрать тактику противодействия.

Трояны-загрузчики (droppers)

Это программы, внешне безвредные, чья единственная функция — доставить и запустить основной вредоносный модуль. Часто распространяются под видом установщиков, патчей, активаторов, «бесплатных» версий платного ПО.

Особенности:

  • Небольшой размер (от 10 КБ до 1 МБ).
  • Отсутствие цифровой подписи или подделанная подпись.
  • После запуска создаёт каталог в %AppData%\Local\Temp\ или %ProgramData%, копирует туда основной модуль, запускает его и удаляет себя (или остаётся на диске, но без активности).
  • Может отключать защиту Windows Defender через групповые политики или реестр (DisableAntiSpyware, DisableBehaviorMonitoring).

Обнаружение: проверка недавно созданных каталогов в профилях пользователей, анализ записей автозагрузки с нестандартными путями, поиск файлов с атрибутом Hidden + System, созданных в последние сутки.

Бэкдоры и раты (Remote Access Trojans)

Программы, предоставляющие злоумышленнику полный контроль над компьютером: запуск команд, просмотр экрана, перехват ввода, работа с файлами.

Особенности:

  • Постоянное сетевое соединение с удалённым сервером (часто через нестандартные порты: 4444, 5555, 8080, 8443).
  • Использование шифрования трафика (TLS поверх нестандартного порта) для обхода DPI.
  • Наличие служб с общими именами (WindowsUpdateService, SystemServiceHost), но с путями в %ProgramData%.
  • Модификация параметров брандмауэра (netsh advfirewall firewall add rule) для разрешения входящих подключений.

Обнаружение: анализ исходящих соединений через netstat -ano, сопоставление PID с процессами в диспетчере задач; проверка правил брандмауэра (wf.msc или netsh advfirewall firewall show rule name=all); поиск файлов с именами, имитирующими системные, но в недопустимых каталогах.

Криптоджекеры (майнеры)

Программы, использующие ресурсы ЦП, ГП или даже процессоров FPGA для добычи криптовалют (в первую очередь Monero, поскольку его алгоритм оптимизирован под CPU).

Особенности:

  • Постоянная загрузка ядер процессора на 70–100 %; повышение температуры; шум вентиляторов.
  • Отсутствие видимого интерфейса; процесс работает в фоне.
  • Использование легитимных утилит командной строки (например, xmrig.exe, cpuminer.exe) или внедрение кода в системные процессы через DLL‑инъекцию.
  • Попытки маскировки под системные процессы: svchost.exe, dllhost.exe, runtimebroker.exe, но с отличным путём или хэшем.

Обнаружение: в диспетчере задач — процесс с высокой загрузкой ЦП, но без описания или с описанием на английском, не соответствующим функции (например, «Windows Host Process» у процесса в %AppData%). Проверка командной строки (wmic process where "name='svchost.exe'" get ExecutablePath,CommandLine) выявляет аргументы вроде --coin monero --url pool.supportxmr.com:5555.

Рекламное ПО и браузерные угонщики (adware, browser hijackers)

Программы, модифицирующие поведение браузера: подменяют домашнюю страницу, поисковую систему, внедряют рекламу, перенаправляют трафик.

Особенности:

  • Установка расширений без согласия.
  • Модификация ярлыков браузеров: добавление параметров вида --homepage=https://ads-site.ru.
  • Изменение файла hosts и настроек прокси (через реестр: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings).
  • Создание DLL, внедряемых в процессы браузеров (chrome.dll, firefox.exe).

Обнаружение: проверка ярлыков браузеров (свойства → «Объект»), анализ установленных расширений в режиме инкогнито, проверка прокси-настроек (Параметры → Сеть и интернет → Прокси), поиск неизвестных DLL в каталогах %LocalAppData%\Chromium\User Data\Default\Extensions\.

Руткиты (уровень ядра и пользовательского режима)

Программы, скрывающие своё присутствие путём модификации низкоуровневых компонентов ОС — драйверов, системных вызовов, таблиц дескрипторов.

Особенности:

  • Отсутствие видимости в диспетчере задач, даже при высокой нагрузке.
  • Невозможность удалить файлы — система сообщает, что они не существуют, хотя dir /a их показывает.
  • Блокировка запуска антивирусных утилит: drweb-cureit.exe не запускается, выдаёт ошибку инициализации.
  • Изменение системных таблиц: SSDT (System Service Descriptor Table), IDT (Interrupt Descriptor Table) — на уровне ядра.

Обнаружение: использование специализированных утилит — GMER, TDSSKiller, RKUnhooker. Запуск из-под LiveCD (например, Kaspersky Rescue Disk) позволяет обойти маскировку, так как руткит не загружен вместе с основной ОС.

Инструменты системного анализа

Встроенные средства Windows ограничены в диагностических возможностях. Для углублённого анализа применяются утилиты из набора Sysinternals Suite от Microsoft — они бесплатны, не требуют установки, и работают с полными правами доступа к ядру.

Autoruns

Эта утилита отображает все точки автозагрузки в системе: не только Run, но и:

  • Драйверы (Drivers).
  • Услуги (Services).
  • Планировщик заданий (Scheduled Tasks).
  • Браузерные расширения (ExplorerBrowser Helper Objects).
  • DLL, загружаемые при запуске процессов (AppInit DLLs, KnownDLLs).
  • Контекстные меню (ContextMenuHandlers).
  • Фильтры файловой системы и дисков (File System, Boot Execute).

Особенности использования:

  • Зелёная иконка — объект имеет цифровую подпись Microsoft или известного вендора.
  • Жёлтая — подпись есть, но от неизвестного издателя.
  • Красная — подпись отсутствует.
  • Серая — объект отключён.

Проверка: отсортируйте по столбцу Publisher и найдите записи без подписи или с подозрительными именами. Щелчок правой кнопкой → «Jump to Entry» — переход к соответствующему разделу реестра или файла. «Delete» удаляет запись; «Verify» — проверяет подпись.

Process Explorer

Заменяет стандартный диспетчер задач, показывая:

  • Дерево процессов с наследованием.
  • Все загруженные DLL (вкладка «DLLs» у процесса).
  • Дескрипторы: открытые файлы, ключи реестра, мьютексы, семафоры.
  • Верификацию цифровых подписей (столбец Verified Signer).
  • Путь к исполняемому файлу даже при маскировке.

Полезный приём: наведите курсор на процесс — всплывающая подсказка покажет полную командную строку запуска. Это помогает выявить трояны, запущенные через cmd /c start "" malware.exe.

TCPView

Отображает все активные TCP и UDP‑соединения с указанием:

  • Локального и удалённого адреса и порта.
  • Состояния соединения (ESTABLISHED, TIME_WAIT, LISTENING).
  • Процесса и PID, инициировавшего соединение.

Если процесс неизвестен, а удалённый IP принадлежит стране, не связанной с вашей деятельностью (например, Китай, Россия, Вьетнам, Бразилия), — требуется проверка. Щелчок правой кнопкой → «Close Connection» позволяет принудительно разорвать соединение без завершения процесса.

Анализ через VirusTotal

Когда файл вызывает сомнения, но антивирусы его не находят, применяется анализ через VirusTotal (https://www.virustotal.com).

Процедура:

  1. Скачайте подозрительный файл (предварительно отключив сеть и запустив в изолированной среде, если возможно).
  2. Загрузите его на VirusTotal (до 650 МБ; для больших — хэш SHA-256).
  3. Получите отчёт от 70+ антивирусных движков.
  4. Изучите вкладки:
    • Details — цифровая подпись, компилятор, секции PE‑файла.
    • Relations — файлы, найденные вместе с ним на других машинах.
    • Behavior (если доступно) — действия в песочнице: создание файлов, запуск процессов, сетевые запросы.
    • Community — комментарии исследователей.

Если 5 и более антивирусов помечают файл как вредоносный (например, Trojan.GenericKD, Malware.AI, Heur.AdvML), это весомый аргумент для удаления.

Важно: VirusTotal не заменяет локальное сканирование — файл может быть полиморфным и не совпадать по хэшу. Но он даёт контекст: если файл ранее встречался в атаках на предприятия — это сигнал.

Пошаговое ручное лечение

Рассмотрим типичный случай: компьютер тормозит, вентиляторы шумят, в диспетчере задач — процесс winupdate.exe, загружающий ЦП на 92 %, расположенный в C:\Users\Timur\AppData\Roaming\Microsoft\.

Шаг 1. Отключение от сети
Физическое отключение кабеля или отключение Wi-Fi.

Шаг 2. Анализ процесса
Запуск Process Explorer → поиск winupdate.exe → проверка пути и подписи. Подпись отсутствует. Командная строка:
"C:\Users\Timur\AppData\Roaming\Microsoft\winupdate.exe" --pool=rx.unmineable.com:3333 --wallet=4...

Это xmrig — майнер Monero.

Шаг 3. Завершение процесса
В Process Explorer: правая кнопка → «Kill Process Tree».

Шаг 4. Поиск источника автозагрузки
Запуск Autoruns → вкладка Logon → поиск записи winupdate. Найдена запись в HKCU\...\Run со значением:
"C:\Users\Timur\AppData\Roaming\Microsoft\winupdate.exe"

Шаг 5. Удаление

  • В Autoruns: выделить запись → Delete.
  • В проводнике: удалить папку Microsoft\winupdate.exe и сопутствующие файлы (config.json, msvcr120.dll).
  • Если файл не удаляется — загрузка в безопасном режиме и повторное удаление.

Шаг 6. Проверка реестра
В regedit — поиск winupdate.exe по всему дереву. Обнаружена запись в HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden — изменена на 0 (скрытие файлов). Восстановлено значение 1.

Шаг 7. Сброс настроек браузера и hosts
Очистка hosts, сброс домашней страницы, удаление расширения SearchAssist.

Шаг 8. Проверка целостности
sfc /scannow → ошибок не найдено.

Система возвращена в штатное состояние.

Почему лечение может не сработать

Иногда даже после полного удаления файлов и записей система продолжает проявлять признаки заражения. Причины:

  • Резервные копии в скрытых разделах. Некоторые трояны создают копию в C:\Recovery\, \EFI\, или MBR.
  • Внедрение в прошивку (UEFI/BIOS). Редко, но встречается: вредоносный код в NVRAM переживает переустановку ОС. Диагностика — через CHIPSEC или перепрошивка BIOS.
  • Заражение загрузочного сектора (MBR, VBR). Проявляется как перенаправление на вредоносный загрузчик. Лечение: bootrec /fixmbr, bootrec /fixboot.
  • Синхронизация через облачные сервисы. Если профиль пользователя синхронизируется (OneDrive, Google Drive), вредоносный файл может вернуться. Требуется проверка облака и отключение синхронизации на время лечения.

Этические и правовые аспекты

В рамках образовательного проекта важно подчеркнуть: действия по лечению должны ограничиваться собственными устройствами. Анализ, модификация или удаление ПО на чужих компьютерах без согласия — нарушение закона «О персональных данных» и УК РФ (ст. 272, 273). Все утилиты, описанные в главе, предназначены для диагностики и восстановления, а не для атаки.

Восстановление после шифровальщиков (ransomware)

Шифровальщики — класс вредоносного ПО, который шифрует пользовательские файлы (документы, изображения, базы данных) и требует выкуп за ключ расшифровки. Современные реализации не просто шифруют — они стирают теневые копии, деактивируют точки восстановления и удаляют резервные копии.

Этапы атаки

  1. Проникновение — через фишинг, уязвимость RDP, эксплойт в документе.
  2. Развёртывание — запуск основного модуля, часто с пониженными привилегиями, затем эскалация через CVE-2020-1472 (Zerologon) или PrintNightmare.
  3. Подготовка — удаление резервов:
    • vssadmin delete shadows /all /quiet
    • wbadmin delete catalog -quiet
    • bcdedit /set {default} bootstatuspolicy ignoreallfailures (отключение восстановления при неудачной загрузке)
  4. Шифрование — итеративный обход дисков с применением алгоритмов AES-256 (для файла) + RSA-2048 (для ключа).
  5. Уведомление — создание README.txt, HOW_TO_DECRYPT.html, изменение обоев.

Почему оплата выкупа не рекомендуется

  • Нет гарантии получения ключа — статистика Europol: 20 % заплативших так и не получили расшифровку.
  • Финансирование преступных групп усиливает угрозу в целом.
  • Ключи часто генерируются на стороне жертвы, и сервер злоумышленника хранит только хэш — при его уничтожении восстановление невозможно.

Альтернативные пути восстановления

1. Теневые копии (Volume Shadow Copy)

Если атакующий не успел удалить их или использовал слабый скрипт — копии могут сохраниться.

Проверка наличия:

vssadmin list shadows

Восстановление файла из теневой копии:

  • Откройте свойства зашифрованного файла → «Предыдущие версии».
  • Выберите версию до атаки → «Восстановить» или «Копировать».

Если интерфейс недоступен — использование утилиты ShadowExplorer (портативная версия): она монтирует теневые копии как диск и позволяет копировать файлы вручную.

2. Расшифровка с помощью No More Ransom

Проект nomoreransom.org — инициатива Europol, Kaspersky, McAfee и других. Он предоставляет бесплатные декрипторы для сотен шифровальщиков:

  • STOP/Djvu — если использован офлайн-ключ (часто при отсутствии интернета во время шифрования).
  • Alcatraz Locker, GandCrab, Phobos, TeslaCrypt — для них есть готовые утилиты.

Процедура:

  1. Определите тип шифровальщика по расширению (.locked, .id-123456789.[email].xtbl) и по содержимому README.
  2. Найдите его в каталоге No More Ransom.
  3. Скачайте декриптор на чистый компьютер.
  4. Перенесите на заражённый ПК, запустите в безопасном режиме.
  5. Укажите папку с зашифрованными файлами — утилита найдёт подходящий ключ или восстановит структуру.

3. Восстановление по сигнатуре файла (file carving)

Если шифровальщик не зашифровал файлы полностью — например, только заголовки (как делал CTB-Locker) — можно восстановить содержимое по сигнатурам.

Утилиты:

  • PhotoRec — восстанавливает файлы по сигнатурам (JPEG, PDF, DOCX), игнорируя ФС.
  • Foremost, Scalpel — аналоги с настраиваемыми шаблонами.

Пример для PDF:

photorec /d C:\recovery /cmd C: search jpeg, pdf, docx

Результат — каталог с восстановленными файлами без имён и путей, но с содержимым.

4. Локальные резервные копии

Проверьте:

  • Внешние диски, отключённые во время атаки.
  • Облачные синхронизации с историей версий (Google Drive, Dropbox, OneDrive — вкладка «Версии»).
  • Автоматические резервы в приложениях: Outlook (.pst), 1С (.dt), Photoshop (автосохранение).

UEFI- и прошивочные угрозы

Вредоносное ПО, внедрённое в прошивку (SPI‑флеш-память), выживает после переустановки ОС, замены диска и даже сброса BIOS. Примеры: LoJax, MoonBounce, BlackLotus.

Признаки

  • Компьютер «заражается заново» через несколько часов после чистой установки.
  • Антивирусы находят угрозу в C:\Windows\Boot\EFI\ или C:\EFI\Microsoft\Boot\.
  • Система загружается медленнее обычного, появляется задержка перед логотипом.
  • В логах загрузки (через bcdedit /enum firmware) — подозрительные записи.

Диагностика

  1. Проверка целостности прошивки
    Утилита CHIPSEC (Intel Security):

    python chipsec_main.py -m common.uefi.access_uefivar
    python chipsec_main.py -m common.bios_smi

    Обнаруживает модификацию переменных UEFI и SMI‑обработчиков.

  2. Анализ содержимого SPI‑флеш
    Через UEFITool или UEFIExtract: извлеките образ прошивки (с помощью flashrom на Linux или RWEverything на Windows), распакуйте, проверьте наличие неизвестных DXE‑модулей.

Лечение

  1. Официальная перепрошивка BIOS/UEFI
    Скачайте последнюю версию с сайта производителя (ASUS, MSI, Dell). Используйте режим Q-Flash Plus (для материнских плат) или BIOS Recovery (для ноутбуков) — он обходит текущую прошивку и перезаписывает SPI‑память напрямую.

  2. Аппаратный сброс
    Для материнских плат — снятие перемычки CLR_CMOS, для ноутбуков — отключение аккумулятора CMOS на 10 минут + удержание кнопки питания 60 секунд.

  3. Замена чипа SPI
    В крайних случаях — выпайка и перепрограммирование чипа через программатор (CH341A). Требует оборудования и навыков.

Отказоустойчивые трояны

Некоторые угрозы применяют многоуровневую архитектуру, где компоненты взаимно контролируют друг друга. Пример: Emotet, TrickBot, QakBot.

Механизмы самовосстановления

  • Watchdog-процессы — один процесс следит за другим; при завершении — перезапускает.
  • Резервные копии в нескольких местах — файлы в %Temp%, %ProgramData%, C:\Windows\Fonts\, C:\Windows\System32\catroot2\.
  • Регистрация как служба и задача планировщика — дублирование точек автозагрузки.
  • Использование легитимных процессов для внедрения — через regsvr32.exe, mshta.exe, powershell.exe -enc ....

Поэтапное устранение

  1. Картирование всех копий
    Используйте Everything (https://www.voidtools.com) — индексирует имена файлов мгновенно. Поиск по части хэша (a3f9...) или имени (*.tmp, svch0st_*) выявит дубликаты.

  2. Анализ связей через Process Monitor
    Запустите ProcMon (Sysinternals), настройте фильтр:
    Process Name contains svchost.exe + Operation is Process Create.
    Это покажет, какой процесс порождает вредоносный svchost.exe.

  3. Блокировка на уровне ядра
    Через fltmc (фильтр файловой системы) или создание правила в брандмауэре:

    netsh advfirewall firewall add rule name="Block Malware C2" dir=out remoteip=185.212.47.32 action=block

  4. Полная очистка через LiveCD
    Загрузка с Kaspersky Rescue Disk или Ubuntu Live USB. В этом режиме:

    • Вредоносный код не активен.
    • Можно безопасно удалять файлы, редактировать разделы, проверять MBR.

Построение среды для безопасного анализа

Для изучения подозрительных файлов без риска заражения применяется изолированная среда.

Виртуальная машина (VM)

  • Hypervisor: VirtualBox, VMware Workstation, Hyper-V.
  • Конфигурация:
    • Отключение общих папок, drag-and-drop, буфера обмена.
    • Сеть: NAT → Host-only → отсутствие сети (в порядке убывания риска).
    • Снимок состояния до запуска (Take Snapshot).
  • Инструменты внутри VM:
    • Process Monitor, Process Explorer, Wireshark, API Monitor.
    • Отладчик x64dbg — для анализа распаковки.
    • Fakenet-NG — эмуляция сетевых ответов (чтобы вредонос не «понял», что в песочнице).

Физическая изоляция

  • Отдельный компьютер без подключения к локальной сети и интернету.
  • Использование HDD-док-станции для анализа заражённого диска без загрузки.
  • Только USB-накопители для передачи данных — и только после сканирования.

Автоматизация диагностики

Ниже — пример скрипта для первичного аудита (запускать от имени администратора):

# 1. Сбор автозагрузки
Get-CimInstance Win32_StartupCommand | 
  Select-Object Name, Command, Location, User |
  Export-Csv -Path "$env:USERPROFILE\Desktop\startup.csv" -NoTypeInformation

# 2. Проверка hosts
$hosts = Get-Content "$env:SystemRoot\System32\drivers\etc\hosts" | 
  Where-Object { $_ -notmatch '^\s*#|^$|127\.0\.0\.1|::1' }
if ($hosts) {
  Write-Host "Подозрительные записи в hosts:" -ForegroundColor Red
  $hosts
}

# 3. Поиск скрытых ярлыков-подмен
Get-ChildItem -Path "$env:USERPROFILE" -Recurse -Include *.lnk -ErrorAction SilentlyContinue |
  ForEach-Object {
    $sh = New-Object -ComObject WScript.Shell
    $target = $sh.CreateShortcut($_.FullName).TargetPath
    if ($target -match '\.exe$' -and $_.BaseName -match '^[Dd]ocuments|[Pp]ictures|[Dd]esktop') {
      Write-Host "Подмена: $($_.FullName) → $target" -ForegroundColor Yellow
    }
  }

# 4. Проверка процессов вне системных каталогов
Get-Process | 
  Where-Object { $_.Path -and -not $_.Path.StartsWith("$env:SystemRoot") } |
  Select-Object Id, ProcessName, Path |
  Export-Csv -Path "$env:USERPROFILE\Desktop\external_processes.csv" -NoTypeInformation

Скрипт формирует отчёты на рабочем столе, не вмешиваясь в систему. Его можно адаптировать под конкретные сценарии.

Организационные меры

Лечение эффективно, только если оно систематизировано. Рекомендуется ввести внутренний протокол:

ЭтапДействиеОтветственный
1. ОбнаружениеФиксация симптомов, скриншоты, логиПользователь
2. ИзоляцияОтключение от сети, перевод в автономный режимСистемный администратор
3. ДиагностикаАнализ через Autoruns, Process Explorer, VirusTotalИТ-специалист
4. ЛечениеУдаление, очистка, проверка целостностиИТ-специалист
5. ВосстановлениеВозврат данных, сброс паролейПользователь + ИТ
6. ПостмортемАнализ вектора проникновения, обновление политикРуководитель ИТ

Этот протокол снижает время простоя и предотвращает повторные инциденты.

1. Принцип наименьших привилегий

Пользовательская учётная запись с правами администратора — одна из главных причин успешных атак. В Windows по умолчанию первая учётная запись имеет полные права, что позволяет вредоносному ПО немедленно получать контроль над системой.

Стандартная учётная запись (Standard User)

  • Может запускать приложения, редактировать файлы в профиле, использовать сеть.
  • Не может устанавливать ПО глобально, изменять системные параметры, редактировать реестр в HKLM, модифицировать службы.
  • При попытке выполнить привилегированное действие запрашивается UAC (контроль учётных записей), требующий ввода пароля администратора.

Настройка:

  1. Создайте вторую учётную запись с типом Администратор (для обслуживания).
  2. Основную запись переведите в Стандартный пользователь: 
    net user <имя> /domain /add
    net localgroup "Пользователи" <имя> /add
    net localgroup "Администраторы" <имя> /delete
    Или через «Параметры → Учётные записи → Семья и другие пользователи».

Контроль доступа к исполняемым файлам

По умолчанию любой процесс, запущенный пользователем, наследует его права. Это позволяет трояну, запущенному из браузера, писать в %ProgramFiles% — если пользователь администратор.

Решение — ограничение прав на запись в системные каталоги:

  • C:\Program Files\, C:\Windows\ должны иметь права Только чтение для группы Пользователи.
  • Изменение прав через icacls: 
    icacls "C:\Program Files" /deny "Пользователи:(OI)(CI)(W,WDAC)"
    Где (OI) — наследование на объекты внутри, (CI) — на подкаталоги, (W) — запись, (WDAC) — создание/удаление дочерних объектов.

Такой подход блокирует большинство dropper’ов, которые рассчитывают на возможность записи в Program Files без эскалации.

2. Контроль целостности

Система должна уметь отличать легитимные компоненты от подменённых. Для этого используются механизмы контроля целостности.

Windows Defender Application Control (WDAC)

WDAC — технология, встроенная в Windows Pro/Enterprise (начиная с 1709), которая разрешает выполнение только подписанного и доверенного кода.

Работает на уровне ядра: до загрузки любого модуля проверяется его цифровая подпись и соответствие политике.

Разработка политики:

  1. Включите аудит:

    New-CIPolicy -FilePath Audit.xml -Audit -Level PcaCertificate

    Система запишет все запущенные исполняемые файлы за сутки.

  2. Проанализируйте Audit.xml — исключите ложные срабатывания (например, внутренние утилиты).

  3. Сформируйте политику разрешения:

    New-CIPolicy -FilePath WDAC.xml -Level Publisher -Fallback Hash -FilePaths "C:\Trusted\app.exe"

    Здесь разрешены:

    • Программы с подписью Microsoft, Intel, Adobe, Mozilla.
    • Файлы по хэшу (для внутренних утилит без подписи).
    • Запрещено всё остальное — включая скрипты без подписи (*.ps1, *.vbs).

  4. Примените политику:

    ConvertFrom-CIPolicy WDAC.xml WDAC.bin
    Copy-Item WDAC.bin "$env:Windir\System32\CodeIntegrity\SIPolicy.p7b"
    Restart-Computer

Результат: запуск любого неавторизованного .exe, .dll, .sys блокируется на уровне загрузчика. Даже если троян скопирует себя в System32 — он не запустится.

SELinux и AppArmor в Linux

В дистрибутивах на основе Red Hat (RHEL, CentOS, Fedora) используется SELinux — система мандатного контроля доступа.

Каждый процесс работает в контексте (например, httpd_t для веб-сервера), и политика явно разрешает:

  • Какие файлы может читать/писать.
  • С какими процессами может взаимодействовать.
  • Какие сетевые порты открывать.

Проверка текущего режима:

sestatus

Перевод в строгий режим:

setenforce 1
semanage permissive -a httpd_t  # временно разрешить для отладки

В Ubuntu, Debian применяется AppArmor — профильная система:

  • Профиль /etc/apparmor.d/usr.bin.firefox явно перечисляет разрешённые пути.
  • Запуск Firefox вне профиля — блокируется.

Активация профиля:

sudo apparmor_parser -r /etc/apparmor.d/usr.bin.chromium-browser
aa-status  # проверка загруженных профилей

Эти механизмы предотвращают эксплуатацию уязвимостей: даже при проникновении в процесс — атакующий не получает доступа к файлам пользователя или сети.

3. Изоляция

Даже при успешном внедрении вредоносный код должен быть лишён возможности повлиять на систему в целом.

Windows Sandbox

Встроенная среда изоляции (требует Windows 10 Pro/Enterprise 1903+, виртуализация включена в BIOS).

  • Запускается за 2 секунды.
  • Полностью изолирована: нет доступа к дискам, сети (по умолчанию), буферу обмена.
  • Все изменения уничтожаются при закрытии.

Использование:

  1. Включите:
    «Включение или отключение компонентов Windows» → Песочница Windows.
  2. Запустите .exe, .msi, веб-страницу из подозрительного письма — внутри Sandbox.
  3. Если процесс ведёт себя агрессивно — закройте окно: следов не остаётся.

Можно настроить конфигурацию через XML:

<SandboxConfiguration>
  <vGPU>Disable</vGPU>
  <Networking>Disable</Networking>
  <MappedFolders>
    <MappedFolder>
      <HostFolder>C:\Temp</HostFolder>
      <ReadOnly>true</ReadOnly>
    </MappedFolder>
  </MappedFolders>
</SandboxConfiguration>

Сохраните как config.wsb, двойной клик — запуск с заданными параметрами.

Firejail (Linux)

Лёгковесный изолятор на основе namespaces, seccomp, cgroups.

Запуск браузера в изоляции:

firejail --private --net=none firefox
  • --private — создаёт пустой домашний каталог.
  • --net=none — отключает сеть.
  • --caps.drop=all — удаляет все привилегии ядра.

Проверка изоляции:

firejail --tree  # показать иерархию изолированных процессов

Firejail предустановлен в Ubuntu, Debian; в Arch — pacman -S firejail.

Контейнеризация через Docker (для разработчиков)

Если вы запускаете непроверенный код (например, скрипт из GitHub), делайте это в контейнере:

docker run --rm -it --network none -v "$(pwd):/work" --read-only alpine:latest sh
  • --network none — без сети.
  • --read-only — файловая система только для чтения.
  • -v — монтирует текущую папку в /work, но без записи.

Это гарантирует, что даже rm -rf / внутри контейнера не затронет хост.

4. Управление приложениями

Когда WDAC недоступен (например, в Windows Home), применяются более старые, но рабочие механизмы.

AppLocker (Windows Pro/Enterprise)

Позволяет разрешить выполнение программ только из доверенных каталогов:

  • C:\Program Files\*
  • C:\Windows\*
  • C:\TrustedApps\*

Запрещает запуск из:

  • %AppData%
  • %Temp%
  • C:\Users\*
  • Съёмных носителей

Настройка:

  1. secpol.msc → «Политики приложений» → «Правила AppLocker».
  2. Создайте правило:
    • ПутьC:\Users\*\AppData\*\*.exe → Действие: Запретить.
    • Издатель → Все подписи Microsoft → Действие: Разрешить.
  3. Примените групповую политику: 
    gpupdate /force

Эффект: 95 % троянов (которые размещаются в %AppData%) не запустятся.

Software Restriction Policies (все версии Windows)

Работает через реестр и групповые политики. Пример правила по хэшу:

  1. Вычислите SHA-1 хэш легитимного файла: 
    Get-FileHash -Algorithm SHA1 C:\MyTool\clean.exe
  2. В secpol.msc → «Политики ограничения программ» → «Дополнительные правила» → «Новое правило по хэшу».
  3. Вставьте хэш — только этот файл будет разрешён.

Можно также задать правила по сертификату или пути.

5. Защита от скриптовых атак

Современные угрозы всё чаще используют легитимные интерпретаторы для обхода антивирусов.

Ограничение PowerShell

По умолчанию PowerShell разрешает выполнение любых скриптов (ExecutionPolicy: Unrestricted). Это опасно.

Рекомендуемые настройки:

Set-ExecutionPolicy RemoteSigned -Scope LocalMachine
# или строже:
Set-ExecutionPolicy AllSigned
  • RemoteSigned — локальные скрипты запускаются, удалённые — только если подписаны.
  • AllSigned — все скрипты должны иметь подпись.

Ещё строже — отключение скриптов:

Set-ExecutionPolicy Restricted

Отключение Windows Script Host (WSH)

Многие трояны используют wscript.exe и cscript.exe для запуска .vbs, .js.

Полное отключение:

[HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings]
"Enabled"=dword:00000000

Или через GPO:
«Конфигурация компьютера → Административные шаблоны → Система → Упрощённый запуск → Отключить Windows Script Host».

Блокировка HTA-приложений

HTML Application (*.hta) — устаревший, но опасный формат: запускает JavaScript/VBScript с правами процесса.

Отключение:

  1. Удалите ассоциацию: 
    assoc .hta=
    ftype htafile=
  2. Или через реестр: 
    [-HKEY_CLASSES_ROOT\htafile]

Это предотвращает запуск .hta даже при двойном клике.

6. Аудит и мониторинг

Профилактика включает не только блокировку, но и раннее обнаружение.

Ведение журналов событий (Windows Event Log)

Включите аудит критически важных действий:

  • Запуск исполняемых файлов (журнал Microsoft-Windows-Sysmon/Operational).
  • Изменение реестра (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run).
  • Создание служб.

Установка Sysmon (от Sysinternals):

sysmon64.exe -accepteula -i sysmon-config.xml

Пример минималистичного sysmon-config.xml:

<Sysmon schemaversion="4.80">
  <EventFiltering>
    <ProcessCreate onmatch="include">
      <Image condition="contains">AppData</Image>
      <Image condition="contains">Temp</Image>
    </ProcessCreate>
    <FileCreate onmatch="include">
      <TargetFilename condition="contains">.exe</TargetFilename>
      <TargetFilename condition="contains">AppData</TargetFilename>
    </FileCreate>
  </EventFiltering>
</Sysmon>

Журналы можно собирать централизованно через Windows Event Forwarding или ELK-стек.

Linux: auditd

Система аудита ядра:

sudo auditctl -a always,exit -F arch=b64 -S execve -F path=/usr/bin/bash
sudo auditctl -w /etc/passwd -p wa

Проверка логов:

ausearch -k suspicious_exec