I was sitting one evening, drinking tea, browsing forums. I came across a thread where a guy was complaining, "I noticed my computer is slowing down, my antivirus is silent, and there are some random processes running in Task Manager." I messaged him privately and said it looked like spyware. He asked what it was and how to fix it. I started explaining, but then I realized it was easier to write a long post than to tell everyone privately.
This is a really important topic. Spyware isn't the kind of virus that hacks everything and asks for a ransom. It sits quietly in your system, collecting your passwords, messages, and card details, and then it all goes to whoever ordered it.
I've been through this myself. A couple of years ago, I got infected, and for a long time I couldn't figure out why my emails were flooded with spam, and someone was trying to log in to my social media accounts. It turned out I'd had a spyware program sitting there for a month, reliably leaking everything.
I decided to delve into the matter thoroughly. I combed through a ton of forums, tried various protection methods, and even tested them on virtual machines. Now I'm sharing everything I've learned.
What is spyware and where does it come from?
Spyware is spyware. It doesn't hack your system, doesn't encrypt files, and doesn't demand ransom. It simply sits quietly in the background and collects information. What exactly? Everything:
Website, email, and social media passwords
Bank card details
Messaging conversations
Browser history
Photos and documents
Keystrokes
Screenshots
Camera and microphone data
All of this is packaged and sent to the owner. It's up to them to decide what to do with it: cash it out themselves or sell it on the black market.
Where do they come from? There are tons of ways.
Pirated software. I downloaded "free" Photoshop from a torrent, ran the installation, and received a spyware program as a gift. The installer may look beautiful, but there's no reason to suspect anything.
I once downloaded a dozen popular programs from Rutracker as an experiment. Eight of them contained spyware or stealers.
Phishing emails. You receive a message: "Your order has been placed," "Invoice," "Photos from a party." Inside is an attachment or a link. You open it, and there's a spyware program on your computer.
I once received an email from Russian Post with a tracking number. Inside was an archive. I opened it on a virtual machine, and a Trojan emerged that immediately started collecting data.
Hacked websites. You visit a website, and there's a script that detects vulnerabilities in your browser or plugins. If your browser isn't updated, it can infect you without your knowledge.
Browser extensions. You install a useful extension, and it collects all your data. They especially like to disguise themselves as VPNs, ad blockers, and weather programs.
Флешки. Кто-то оставил флешку в офисе, вы её подключаете, и всё.
Как определить наличие шпионского ПО
Прямых признаков практически нет; в противном случае их бы быстро обнаружили. Но есть некоторые вещи, которые могут насторожить.
Ваш компьютер тормозит. Шпионское ПО потребляет много ресурсов, особенно если оно ещё и делает скриншоты. Если ваш компьютер раньше работал быстро, а теперь стал медленным, пора проверить.
Антивирусное программное обеспечение самопроизвольно завершает работу. Некоторые шпионские программы могут подавлять вашу защиту, чтобы избежать обнаружения. Если ваше антивирусное программное обеспечение перестает работать или постоянно выключается, это тревожный знак.
Странная сетевая активность. Если ваше интернет-соединение мерцает, когда вы ничего не делаете, возможно, происходит утечка данных. Вы можете проверить диспетчер задач, чтобы увидеть, какие процессы занимают большую часть вашей сети.
В диспетчере задач могут появиться необычные процессы. Они могут посмотреть в диспетчере задач и увидеть что-то с подозрительными названиями. Если вы не знаете, что это за процессы, погуглите каждый незнакомый процесс.
Браузер ведёт себя странно. Открываются лишние вкладки, меняется стартовая страница, появляются новые панели инструментов.
Вы получаете уведомления о входе в систему с новых устройств. Если это происходит без вашего вмешательства, ваши пароли, возможно, уже были скомпрометированы.
Но самый надежный способ — просканировать вашу систему с помощью специализированных программ. Возможно, вы ничего не заметите невооруженным глазом.
Как проверить наличие шпионского ПО
Стандартный антивирус часто пропускает шпионское ПО, особенно если оно новое. Вам понадобятся специализированные утилиты.
Malwarebytes. Лучшая бесплатная программа для сканирования на наличие всякого мусора. Я всегда начинаю с неё. Скачиваю, устанавливаю и запускаю сканирование. Она находит то, что пропустил антивирус.
HitmanPro. Тоже отличный инструмент. Сканирует в облаке, сравнивает поведение программ с базами данных. Часто находит даже самые свежие образцы.
Инструмент для удаления вирусов «Лаборатория Касперского». Бесплатная утилита от лаборатории «Лаборатория Касперского». Хорошо справляется с удалением зараженных вирусов.
AdwCleaner. Специализируется на рекламном ПО и нежелательных программах. Иногда обнаруживает и шпионское ПО.
Spybot Search & Destroy. Старая, но всё ещё полезная программа. Она специально предназначена для поиска шпионского ПО.
Process Explorer. Расширенный диспетчер задач от Марка Руссиновича. Позволяет просматривать скрытые процессы и видеть, какие файлы открыты программой.
Автозапуск. Также от Русиновича. Отображает все, что запускается при включении системы. Если шпионская программа зарегистрировалась в автозагрузке, она будет там видна.
Как удалить шпионское ПО
Если программы обнаруживают заражение, они обычно предлагают удалить его самостоятельно. Но иногда это невозможно, потому что файлы заблокированы или шпионское ПО глубоко проникло в систему.
Затем мы предпринимаем действия вручную.
Немедленно отключите интернет. Чтобы предотвратить отправку собранных данных и получение команд шпионским ПО.
Загрузитесь в безопасном режиме. Нажмите клавишу F8 при запуске (для старых версий Windows) или воспользуйтесь системными настройками. Многие шпионские программы не запускаются в безопасном режиме и могут быть удалены.
Найдите файлы. Используйте пути, которые показывает программа. Удалите все подозрительные файлы.
Очистите реестр. Щелкните «Пуск» -> regedit, найдите название шпионской программы и удалите соответствующие ключи. Будьте осторожны, чтобы не удалить ничего лишнего.
Проверьте автозагрузку. Используйте AutoRuns или msconfig, чтобы посмотреть, что ещё осталось.
Очистите планировщик задач. Иногда шпионские программы регистрируются там для запуска по расписанию.
Удалите все расширения из вашего браузера. Перейдите в настройки, просмотрите список расширений и удалите все подозрительные.
Перезагрузите браузер. В крайнем случае, вы можете сбросить настройки до заводских значений.
После выполнения всех этих шагов перезагрузите систему и проверьте ее еще раз.
Если вы не уверены, проще переустановить Windows. Это более надежный вариант.
Как защитить себя от шпионского ПО
Лучшая защита — это предотвращение заражения. Но гарантий нет, поэтому используйте комплекс мер.
Не скачивайте с торрентов. Да, это пустая трата денег на качественное программное обеспечение. Но потеря данных может обойтись дороже. Существует множество бесплатных альтернатив, не требующих взлома.
Не открывайте несанкционированные электронные письма. Даже если письмо от друга, и он пишет что-то странное, лучше позвонить и спросить. Взлом аккаунтов происходит постоянно.
Обновление. Чем новее ваша система, тем меньше лазеек, через которые шпионское ПО может установиться без вашего ведома. Включите автоматические обновления Windows.
Используйте антивирус с поведенческим анализом. Не только сигнатур, но и анализа действий программы. Kaspersky, Dr.Web, ESET — все они обладают этой функцией.
Включите брандмауэр. Он может блокировать попытки шпионских программ передавать данные за пределы системы. В Windows брандмауэр есть по умолчанию, просто убедитесь, что он включен.
Проверьте расширения вашего браузера. Не устанавливайте всё подряд. Если расширение запрашивает доступ ко всем веб-сайтам и данным, оно, скорее всего, что-то собирает.
Используйте менеджер паролей. Это избавит вас от необходимости каждый раз вводить пароли вручную. Менеджер автоматически вставляет их в формы, и шпионское ПО видит только бессмысленную последовательность символов.
Включите двухфакторную аутентификацию. Даже если ваш пароль украдут, злоумышленники не смогут войти в систему без второго фактора. Это сэкономит вам 90% времени.
Перед тем как открывать флеш-накопители, проверьте их содержимое. Для этого можно даже использовать отдельный компьютер.
Для важных действий используйте виртуальную клавиатуру. Некоторые банковские сайты предлагают такую опцию. Шпионское ПО обычно не перехватывает нажатия клавиш экранной клавиатуры.
Проверяйте свою систему раз в месяц. Malwarebytes и HitmanPro могут быть полезны.
Не входите в систему постоянно как администратор. Создайте обычную учетную запись без прав администратора для выполнения повседневных задач. Это затруднит доступ к вашей системе для злоумышленников.
Аппаратное шпионское ПО — это отдельная тема.
Несколько слов об оборудовании. Существуют устройства, которые устанавливаются между клавиатурой и компьютером и записывают все нажатия клавиш. Антивирусное программное обеспечение их не обнаруживает. Их можно обнаружить только физически.
Защита проста: осмотрите системный блок, не подключайте чужие клавиатуры и используйте беспроводные клавиатуры с шифрованием.
Что делать, если данные уже были утечены?
Если вы подозреваете, что шпион уже отправил данные, действуйте быстро.
Смените пароли. На всех важных сервисах: электронной почте, в социальных сетях, банках, на форумах.
Включите двухфакторную аутентификацию везде, где это возможно.
Проверьте подключенные устройства. Вы можете посмотреть, где были выполнены входы в систему, в настройках вашей учетной записи.
Отслеживайте подозрительную активность. Если вы отправляете какие-либо странные переводы в свой банк или электронную почту, немедленно заблокируйте их.
Мои ошибки
Как обычно, были допущены некоторые ошибки.
Проблема 1. Я скачал программу с торрента и отключил антивирус, чтобы он перестал выдавать предупреждения. Он шпионил за мной. Я узнал об этом месяц спустя, когда заметил странные транзакции в банке.
Проблема 2. Я думал, что антивирус защитит меня от всего. Но он не сработал, потому что шпионское ПО было новым и еще не было добавлено в базы данных.
Проблема 3. После заражения я долгое время не менял пароли. Через месяц они снова появились. Пришлось всё перевыпускать.
Проблема 4. Я не включил двухфакторную аутентификацию. Из-за лени. Позже я об этом пожалел.
Проблема 5. Я использовал один и тот же пароль для всего. После кражи мне пришлось сменить пароль для пятидесяти учетных записей.
Проблема 6. Я вставил чужую флешку в свой рабочий компьютер в офисе. Позже мой начальник объяснил, почему в нашей сети появился вирус.
Проблема 7. Я думал, что режим инкогнито защищает от отслеживания. Но он только не сохраняет историю, и шпионское ПО всё равно видит, что вы печатаете.
Практический пример: как я поймал шпиона на виртуальной машине.
Я решил посмотреть, как работает современное шпионское ПО. Я скачал свежий образец с форума и запустил его на виртуальной машине.
Программа немедленно зарегистрировалась в автозагрузке под видом системного драйвера. В диспетчере задач она отображалась как svchost.exe, но с другой цифровой подписью. Она создала скрытую директорию в папке Windows, где хранила журналы.
Журналы отправлялись на сервер раз в час. Если не было подключения к интернету, они сохранялись локально, и система ожидала подключения.
Кроме того, приложение делало скриншоты каждые 10 минут и отправляло их.
Malwarebytes обнаружил это только после обновления своих баз данных. До этого антивирус хранил молчание.
Так это и работает.
Кратко по теме
Шпионское ПО представляет собой реальную угрозу. Оно может незаметно проникать в вашу систему и передавать всю информацию, которую вы печатаете и делаете.
Лучшая защита — не заразиться. Не скачивайте несанкционированное программное обеспечение, не открывайте подозрительные электронные письма и не посещайте сомнительные веб-сайты.
Используйте двухфакторную аутентификацию и менеджер паролей.
Проверяйте свою систему раз в месяц с помощью специализированного программного обеспечения.
И помните: антивирусное программное обеспечение — не панацея. Оно может пропустить заражение, особенно новое. Лучшая защита — ваш собственный разум.
Сообщите о них в службу поддержки. Банки и другие сервисы могут помочь, если вы оперативно отреагируете.
Обычно я делаю так: запускаю Malwarebytes, затем HitmanPro, а потом проверяю AutoRuns. Если ничего не найдено, но подозрения остаются, я перехожу в Process Explorer и вручную просматриваю процессы.
