Позбулися Superfish? На жаль, це тільки початок!

Якщо ви були одним з користувачів, порушених проблемами з Superfish, ймовірно, ви вже встигли подбати про небезпечний програмному забезпеченні у вашій системі. На жаль, це ні в якому разі не повинно заспокоювати, бо після скандалу з Superfish і Lenovo багато дослідників в області комп'ютерної безпеки звернули свою увагу на подібний вид вразливостей. В результаті стало ясно, що Superfish тільки верхівка разюче величезного айсберга, що містить десятки або більше подібних adware-додатків, таких як Wajam, Geniusbox, Content Explorer, Komodia, PrivDog.

Всі вони працюють за одним і тим же принципом, який називається HTTPS-hijacking, тобто перенаправлення всіх запитів з браузера користувача через додатковий проксі-сервер. Таким чином, перехоплюючи всі запити на доступ, що відправляються користувачем в інтернет, зловмисники можуть керувати вмістом його браузера, наприклад, для вставки рекламних оголошень на сторінки, які він відкриває.

Ця, здавалося б, відносно безневинна практика може мати вкрай серйозні наслідки, так як вона повністю обходить і ігнорує протоколи для безпечного серфінгу на так званих https-сайтах, включаючи ті, які надають послуги онлайн-банкінгу. Відповідно, при заході на такий https-сайт, вважаючи, що перегляд відбувається через зашифрований, захищений режим, користувач насправді обмінюється з сайтом виключно важливими особистими даними, причому повністю вільно. Це дозволяє зловмисникам легко перехоплювати номера банківських рахунків, кредитних і дебетових карт, адреси, телефони та інше.

Як дізнатися, чи є у вас проблеми?

В даний час одним з найпростіших і швидких способів перевірити наявність встановленого HTTPS-hijacking adware-додатки є сайт https://filippo.io/Badfish/

Він має вбудований сценарій сканування комп'ютера, який через кілька секунд повідомить про наявність (або відсутність) у вашій системі встановлених небезпечних додатків, таких як Superfish.

Так що якщо ви побачите повідомлення такого роду:

значить ваша система в порядку.

Однак якщо повідомлення буде таким:

це означає, що комп'ютер вразливий, і потрібно вжити відповідних заходів.

Що можна зробити?

Видалення цього типу загрози не сильно відрізняється від методу усунення Superfish.

Перший крок полягає в тому, щоб видалити всі знайдені adware-додатки в меню "Програми та засоби". Потім потрібно відкрити Microsoft Management Console і вручну видалити всі підозрілі SSL-сертифікати, встановлені adware-програмами.

Для цього натисніть Win + R, щоб відкрити діалог "Виконати" і в поле запуску введіть команду mmc, щоб відкрити консоль. У вікні консолі виберіть "Файл" -> "Додати або видалити оснастку", виділіть секцію "Сертифікати" в лівій панелі ( "Доступні оснастки") і перемістіть в праву панель ( "Вибрані оснастки") натисканням кнопки "Додати". У наступному діалоговому вікні виберіть "немає облікового запису комп'ютера" і натисніть "Далі" -> "Готово" -> "OK".

Це покаже всі SSL-сертифікати, встановлені на комп'ютері. Знайдіть розділ "Довірені кореневі центри сертифікації" і перевірте список на наявність підозрілих записів. Що я маємо на увазі? Йдеться про сертифікати, виданих будь-який з наступних компаній:

  • Sendori
  • Purelead
  • Rocket Tab
  • Super Fish
  • Lookthisup
  • Pando
  • Wajam
  • WajaNEnhance
  • DO_NOT_TRUSTFiddler_root (Fiddler is a legitimate developer tool but malware has hijacked their cert)
  • System Alerts, LLC
  • CE_UmbrellaCert

Зверніть увагу, що це порівняно обмежений список, актуальний на момент публікації цього матеріалу, але цілком можливо, що в майбутньому він збільшиться.

Якщо ви знайдете одне з таких імен в списку сертифікатів, клацніть на ньому правою кнопкою миші і виберіть "Видалити".

Як захистити себе?

Як уже згадувалося, список небезпечних adware-програм по типу Superfish постійно зростає. Іншими словами, якщо ви видалите загрозу для безпеки комп'ютера сьогодні, це не означає, що завтра йому не загрожуватиме інший різновид Superfish.

Слід вжити необхідних заходів обережності, щоб звести до мінімуму ризики для вашої особистої інформації.

Як профілактичний засіб перевіряйте систему на наявність інфекції за допомогою сценаріїв сканування на https://filippo.io/Badfish/. Просто додайте цей сайт до списку вибраного і час від часу відвідуйте його. Якщо ви дійсно турбуєтеся про безпеку вашого комп'ютера, тоді зробіть цей сайт стартовою сторінкою, щоб вона відкривалася автоматично кожного разу при завантаженні браузера.

Скачайте і встановіть одне з Click-to-play-розширень. Це невеликі і дуже корисні інструменти, які заважають автоматичного виконання різних сценаріїв, вбудованих в веб-сторінки. Часто вони використовуються для прихованої установки різних рекламних додатків, замаскованих під анімовані рекламні оголошення або інший зміст. Опція Click-to-play дозволяє вибрати, які Flash-скрипти повинні виконуватися, що значно знижує ризик прихованого зараження комп'ютера.

Серфінг з розумом - це одна з найбільш важливих і конструктивних заходів обережності, які ви можете зробити. Будьте обережні з тим, які сайти ви відкриваєте, що з них завантажуєте і що встановлюєте. Багато безкоштовні програми часто містять можливості для установки додаткових додатків як частина їхнього власного процесу установки. Якщо ви не дивіться, що вибираєте під час установки, то можете стати мимовільним володарем і купи програм, які не ясно коли і яким чином опинилися на вашому комп'ютері. Щоб бути повністю впевненим, що цього не станеться, я рекомендую завантажувати та встановлювати freeware (безкоштовні) програми за допомогою програми-посередника. В даний час найкраща з них називається Ninite.

Через неї можна завантажити і встановити величезну кількість вільного програмного забезпечення, але без страху, що воно навмисно або випадково заразить систему рекламними або шкідливими програмами.

Якщо ви хочете ще більше підвищити рівень безпеки при перегляді інтернету, можете завантажити і встановити інструменти, такі як Microsoft Enhanced Mitigation Experience Toolkit (EMET) і / або Malwarebytes Anti-Exploit. Вони служать для активації додаткових механізмів захисту від шкідливих атак і фільтрації вхідного і вихідного інтернет-трафіку.

Нарешті, переконайтеся, що у вас включена автоматична установка критично важливих оновлень Windows, щоб бути впевненим, що операційна система захищена від потенційних загроз для її безпеки.

Відмінного Вам дня!