Прощайте, стилеры / майнеры!

Приветствую. Я практически полностью уверен в том, что после скачки какого-либо файла вы бежите проверять его используя VirusTotal / Windows Defender и/или прочие антивирусы. Спешу вас огорчить, новый вирус НИКОГДА не покажет детектов. Антивирусы работают по своим базам, чтобы код был "слит" в базы, вирусу нужно посетить минимум 1.000 компьютеров для адекватного анализа.
Да и о чём тут говорить, сейчас крипт за 10$ обходит крупнейшие антивирусы.
Но что же тогда делать? Рассмотрим универсальное решение, приятного чтения!
Не забываем поддерживать проект донатом на LZT / Подпиской на канал.

Анализируем работу вирусов

Чтобы противостоять потенциальной угрозе, нам нужно узнать основной принцип работы. Под мою руку попал RedLine Stealer (лидер рынка), который был скачан "пальцем в небо" на площадке YouTube. Что объединяет большинство вирусов? Они бесполезны без доступа к сети. Сделав дамп памяти я увидел, что Stealer`ы используют заготовленные пути, по которым они воруют данные и отправляют их протоколом TCP, используя случайный порт. В теории, мы могли бы использовать портативные версии приложений для того, чтобы "обмануть" вредонос, но это костыли. Есть идеальный, универсальный вариант — ограничить неизвестному приложению доступ к сети. Даже если ему удастся украсть данные, он не сможет их никуда отправить. Аналогичная ситуация с майнерами, кейлоггерами и прочими вирусами. Нагрузка будет минимальной, в отличие от антивирусов, которые шерстят всю систему каждых 2 секунды и вредят не хуже майнера.
Для этого мы будем использовать Firewall, который многие считают старьем,
но при правильной настройке эта штука утирает нос любому антивирусу!

Как работает Firewall

Предположим, мы скачали вирус, который отправляет ваши данные на какой-то сервер / майнит с вашего устройства. Фаервол создает "каменную стену", блокируя трафик для неизвестных приложений. Фактически, вирус сможет задействовать себя, собрать нужные файлы и совершить post запрос, но бесполезно. Запрос не сможет "пробить" нашу стену и останется в нашей оперативной памяти до тех пор, пока мы не перезагрузим устройство. Таким образом большинство вирусов стают бесполезными и безвредными:)

Реализация

Попытавшись настроить встроенный Firewall от Windows я не добился адекватного результата. Нужно было создавать правила доступа к сети для каждого приложения, что в принципе очень неудобно и непрактично. Все же, альтернатива нашлась: TinyWall. При выборе у меня были такие требования: бесперебойная работа, открытые исходники, без бесящих уведомлений. Я проверил около 7 аналогов которые либо платные и кидают кучу уведомлений с просьбой о подписке, либо пропускают трафик и не прошли моё личное тестирование. Скачать TinyWall можно на официальном сайте, исходники тут.

Настройка

Изначально софт не настроен и блокирует то, что в теории не нужно. (речь о браузере, мессенджерах и т.д.) Я бы посоветовал использовать "Автоматическое обучение". Это работает по такому принципу: вы используете систему несколько часов, как обычно. Firewall запоминает используемые программы и добавляет их в White-List. Обязательно проверьте перед этим систему антивирусом, чтобы не добавить уже присутствующие вирусы в "белый список"! Когда вы попользовались устройством несколько часов, смените режим работы на "Normal". Если какое-то новое приложение попытается соединиться с сервером, Firewall автоматически ограничит ему доступ к сети и сообщит вам об этом. Если вы считаете что программа безвредна, можно удобно выбрать её процесс и разрешить доступ к сети (пока вы не разрешите, она будет оффлайн). Так же можно разрешить принимать трафик в одностороннем режиме, без отправки. Использую это приложение более года и оно не подвело меня ни разу.

Итоги работы

Теперь нам не страшен никакой вирус, который взаимодействует с сетью. Все новые приложения будут "отключены" от сети. Даже самый дорогой крипт не сумеет такое обойти. Статья написана по просьбе нашего подписчика, который был взволнован после того, как мы маскировали Stealer под любой файл. Кстати, вы тоже можете предложить идею для новой статьи написав мне в Telegram.

НАШ КАНАЛ: t.me/hack2day