Gyakori téma ügyfeleink körében és sokszor kapjuk meg kérdésként, hogy melyik vírusvédelemre érdemes előfizetni. Abban az egyben mindenki egyet ért, hogy a semmilyennél a bármilyen védelem is jobb, szerencsére ma már a Windows 10-ben alapértelmezésben megtalálható az a Windows Defender, ami így már a frissen telepített gépünket is védi a támadásoktól és nem fordulhat elő az a gyalázat, mint annak idején, hogy a számítástechnikában kevésbé jártas felhasználók gépe védtelen maradjon. A Defender időközben szerencsére sokat is fejlődött az elődjéhez, a Security Essentials-höz képest, így a védelem hatékonysága is javult, de azért még nagyon messze van az igazán jó, fizetős védelmektől.
Manapság már elmondható az is, hogy az igazán profi vírusirtók nem feltétlen minta alapján ismernek fel vírusokat, azt szinte 100% körüli hatásfokkal hozza mindegyik. Az igazán jó védelmek azonban nem ebben alkotnak nagyot, hanem a kiegészítő technológiák alkalmazásában, azon belül is leginkább a viselkedés elemzés az, ami nagyon fontos. A friss vírus megjelenik az interneten és böngészés közben összeszedjük, vagy megkapjuk a támadótól egy csatolmány részeként e-mail-ben, és ha mindez még azelőtt történik, hogy az adott vírus mintája bekerült a víruslaborba elemzésre, elkészül hozzá a minta a felismeréshez, majd vírusdefiníciós fájl formájában a védelmünk felkészül rá, akkor baj van. Egy gyenge vírusirtóval ha nem vagyunk figyelmesek már kész is a baj. Ha a viselkedés elemzést követően nem kerül blokkolásra, akkor megfertőzi a gépünket. Egy jobb védelem esetében ezen felül is vannak még további védelmi vonalak, pl. a G Data esetében ha a leveleink letöltését egy beépülő modullal figyeltetjük akár már a letöltés pillanatában elkaphatjuk a betolakodót, ha mégis sikerül lementeni vagy nem használunk, esetleg nincs elérhető modul a kliens programhoz, akkor következő körben a fájlrendszert felügyelő védelem kaphatja el, ha nincs hozzá minta, akkor jön a viselkedés alapú védelem. Ha netán túljutna rajta és a kártékony program egy zsarolóvírus, akkor a G Data-nak például van kifejezetten zsarolóvírusokra fejlesztett AntiRansomware modulja is, még ezen a ponton is fennakadhat a rostán.
Ezúttal belefutottunk egy olyan esetbe, ahol levelező beépülő nem lévén (nem Outlook-ot használ a felhasználó) a következő kört a minta alapú védelem futotta egy nagyon friss vírussal, ami minta hiányában még átengedte, de a nemrég fejlesztett, BEAST névre keresztelt viselkedés alapú védelem elkapta. Hiába próbálta a felhasználó még 3 alkalommal elindítani, ez nem jött össze neki.
Az események időpontjából az is jól látható, hogy míg délelőtt még csak a BEAST védelem viselkedés elemzése volt sikeres, addig a délutáni ellenőrzés során már név szerint azonosította a védelem minta alapján a vírust, tehát a laborból is gyorsan megjött a minta hozzá, egyes fórumok és weboldalakon talált információk alapján egy aznapi kiadású vírus variánst sikerült összeszedni.
A fájl szerveren futó védelem később megtalálta a gép asztalán lévő, és így a fájlszerverre is felszinkronizált lomtárban az eredeti .7z fájlban becsomagolva, és a felhasználó által kicsomagolt exe példányt is. A letöltés és kicsomagolás alkalmával pedig a felhasználó temp mappájába is bekerült 1-1 példány, amiket már a gépen futó havi ellenőrzés dobott ki. Ezzel együtt megtalálta a Thunderbird levelei közt is, ahonnan szintén törölte, mire a jelentést megkaptuk róla már rég le is kezelte magától az egész incidenst.
A fenti példa is bizonyítja, hogy egy jó vírusvédelem nem csak két motorból áll, nem csak 100% körüli hatékonysággal detektálja minta alapján a vírusokat, de több ponton, többféle módszerrel, köztük egy rendkívül hatékony viselkedés elemzési technológiával is képes megvédeni minket akár a friss fenyegetésektől is. Ha az ominózus eset egy ócska, vagy csak fél funkcionalitással rendelkező, ingyenes vírusirtó mellett történik és ez egy zsarolóvírus (ez esetben nem az volt), akkor most nagy valószínűséggel a felhasználó éppen azon matekozna, hogy megér-e neki milliókat fizetni az adataiért a zsarolóknak. Esetleg a cége tönkre is mehetett volna miatta, hacsak nincs óriási szerencséje vagy egy jó offline mentése. Egy jó vírusvédelem manapság elengedhetetlen adataink védelméhez, és abból is mindig igyekezni kell a legjobbat, hozzáértők tapasztalatai és a független tesztek szerint is a lehető legjobbat választani. Ezért ajánljuk mi a G Data védelmeit!
A sztoriban pedig a tanulság, hogy SOHA, de SOHA ne nyissunk meg és futtassunk idegen forrásból jövő exe fájlokat!
