Péntek éjjel kaptunk egy új zsarolóvírus-mintát Tamástól, aki azt írta nekünk, hogy a VirusTotal szerint ezt az új kártevőt egyik neves vírusirtó sem tudja megállítani. Nem hagyott bennünket nyugodni a dolog, úgyhogy több menetben összeeresztettük az új zsarolóvírust a G Data védelmével, hogy megtudjuk, megállítja-e valamelyik védelmi technológiánk.
A biztonsági szakemberek körében keményen tartja magát néhány hit. Az egyik ilyen, hogy ha a VirusTotal-on egy vírusirtó nem ismer fel egy új kártevőt, akkor a gépen sem ismeri fel. A helyzet azonban az, hogy a VirusTotal oldalon a vírusirtó szoftverek nem minden védelmi képességüket tudják használni, ezért a VirusTotal eredményeit nem kell szentírásnak tekinteni – ahogyan erre korábban is figyelmeztettünk.
Első menetben feltöltöttük mi is a kártevőt a VirusTotal oldalára, és megállapítottuk, hogy a G Data (az összes más neves gyártó mellett) valóban ártalmatlannak jelzi a fájlokat az oldalon.
Valódi környezetben azonban a vírusirtó szoftverek különböző összetett technológiákat használnak az új kártevők megállítására, ezért úgy döntöttünk, hogy vizsgáztatjuk a G Data zsarolásvédelmét.
A történethez hozzátartozik, hogy Tamás gépén egy másik gyártó jogtiszta, frissített vírusirtó szoftvere futott, amely sajnos ebben az esetben nem vizsgázott jól, a kártevő titkosítani tudja a dokumentumokat a szerveren. Ezért természetesen mi is egy – külön erre a célra létrehozott – virtuális környezetben teszteltük a kártevőt.
Amikor egy kártékony kód be akar jutni egy gépre, a vírusirtó szoftvernek több lépcsőben van arra lehetősége, hogy megállítsa. Az első a http (webes) forgalom átvizsgálása, azaz a legjobb, ha a kártevő már le sem tud töltődni a gépre. A második védelmi vonal a szignatúra alapú, hagyományos vírusvédelem, amelynek segítségével a védelmi szoftverek a már ismert kártevőket tudják blokkolni.
Kiderült, hogy a Tamástól kapott kártevő valóban nagyon friss: szignatúrák alapján a G Data sem ismerte fel az adott pillanatban. (Ez a helyzet akár óráról órára változhat, ahogy az új variációk megjelennek, és ahogy a gyártók elkészítik a szignatúrákat.)
Jöjjön az igazi meccs! A szignatúra alapú védelmen túl azonban ott van a viselkedés alapú védelem, amely heurisztikus módszerekkel szimulálja, hogy mi történne egy adott kód lefuttatásakor, és így képes megállítani a még ismeretlen kártevőket is.
A második menetben Tamás zsarolóvírusát összeeresztettük a G Data működő vírusvédelmével, hogy kiderüljön: a viselkedés alapú védelem azonnal megállította.
A zsarolásvédelemre még csak szükség sem volt, a G Data belső szimuláció alapján, azonnal blokkolta a kártevőt, és nem engedte lefutni a gépen. (Természetesen büszkék vagyunk a saját fejlesztésű heurisztikánkra!)
A harmadik menetben ennél is tovább mentünk. Úgy döntöttünk, hogy megizzasztjuk a G Data védelmét, és kikapcsoljuk a víruspajzsot, az exploit protection technológiát és a viselkedés alapú védelmet is! Egyedül a G Data Zsarolásvédelmi technológiája maradt bekapcsolva: az az intelligens védőháló, amelyet azért fejlesztettünk, hogy ha minden kötél szakad, akkor se legyen baj!
Elindítottuk a zsarolóvírust, és vártunk az aktiválására. Hallgattuk a merevlemez kerregését, és néztük a dokumentumainkat. A titkosítás helyett azonban a G Data figyelmeztetése ugrott fel: a G Data zsarolásvédelem blokkolta a kártevőt, és az összes hozzá tartozó folyamatot megállította. Minden dokumentum sértetlen maradt, a technológia jelesre vizsgázott!
Végül nem bírtunk magunkkal. Eltávolítottuk a G Data védelmét a gépről, és megnéztük, hogy a Windows Defender mit tud kezdeni Tamás zsarolóvírusával. Ennek a legutolsó kísérletnek az eredménye a videó végén látható.
A meccs: G Data vs. Tamás zsarolóvírusa (videó)