Лучшая защита от ******а / майнера и пр. — Firewall.

Вступление
Приветствую. Я практически полностью уверен в том, что после скачки какого-либо файла вы бежите проверять его используя VirusTotal / Windows Defender и/или прочие антивирусы. Спешу вас огорчить, новый вирус НИКОГДА не покажет детектов. Антивирусы работают по своим базам, чтобы код был "слит" в базы, вирусу нужно посетить минимум 1.000 компьютеров для адекватного анализа. Да и о чём тут говорить, сейчас крипт за 10$ обходит крупнейшие антивирусы.
Но что же тогда делать? Рассмотрим универсальное решение, приятного чтения!
Не забываем поддерживать проект донатом на LZT / Подпиской на канал.


Анализируем работу вирусов
Чтобы противостоять потенциальной угрозе, нам нужно узнать основной принцип работы. Под мою руку попал RedLine ******* (лидер рынка), который был скачан "пальцем в небо" на площадке YouTube. Что объединяет большинство вирусов? Они бесполезны без доступа к сети. Сделав дамп памяти я увидел, что *******`ы используют заготовленные пути, по которым они воруют данные и отправляют их протоколом TCP, используя случайный порт. В теории, мы могли бы использовать портативные версии приложений для того, чтобы "обмануть" вредонос, но это костыли. Есть идеальный, универсальный вариант — ограничить неизвестному приложению доступ к сети. Даже если ему удастся украсть данные, он не сможет их никуда отправить. Аналогичная ситуация с майнерами, кейлоггерами и прочими вирусами. Нагрузка будет минимальной, в отличие от антивирусов, которые шерстят всю систему каждых 2 секунды и вредят не хуже майнера. Для этого мы будем использовать Firewall, который многие считают старьем,
но при правильной настройке эта штука утирает нос любому антивирусу.​

Как работает Firewall
Предположим, мы скачали вирус, который отправляет ваши данные на какой-то сервер / майнит с вашего устройства. Фаервол создает "каменную стену", блокируя трафик для неизвестных приложений. Фактически, вирус сможет задействовать себя, собрать нужные файлы и совершить post запрос, но бесполезно. Запрос не сможет "пробить" нашу стену и останется в нашей оперативной памяти до тех пор, пока мы не перезагрузим устройство. Таким образом большинство вирусов стают бесполезными и безвредными:)​

Реализация
Попытавшись настроить встроенный Firewall от Windows я не добился адекватного результата. Нужно было создавать правила доступа к сети для каждого приложения, что в принципе очень неудобно и непрактично. Все же, альтернатива нашлась: TinyWall. При выборе у меня были такие требования: бесперебойная работа, открытые исходники, без бесящих уведомлений. Я проверил около 7 аналогов которые либо платные и кидают кучу уведомлений с просьбой о подписке, либо пропускают трафик и не прошли моё личное тестирование.
Скачать TinyWall можно на официальном сайте, исходники тут.​

Настройка Firewall
Изначально софт не настроен и блокирует то, что в теории не нужно. (речь о браузере, мессенджерах и т.д.) Я бы посоветовал использовать "Автоматическое обучение". Это работает по такому принципу: вы используете систему несколько часов, как обычно. Firewall запоминает используемые программы и добавляет их в White-List. Обязательно проверьте перед этим систему антивирусом, чтобы не добавить уже присутствующие вирусы в "белый список"! Когда вы попользовались устройством несколько часов, смените режим работы на "Normal". Если какое-то новое приложение попытается соединиться с сервером, Firewall автоматически ограничит ему доступ к сети и сообщит вам об этом. Если вы считаете что программа безвредна, можно удобно выбрать её процесс и разрешить доступ к сети (пока вы не разрешите, она будет оффлайн). Так же можно разрешить принимать трафик в одностороннем режиме, без отправки.
Использую это приложение более года и оно не подвело меня ни разу.​

Итоги работы
Теперь нам не страшен никакой вирус, который взаимодействует с сетью. Все новые приложения будут "отключены" от сети. Даже самый дорогой крипт не сумеет такое обойти. Статья написана по просьбе нашего подписчика, который был взволнован после того, как мы маскировали ******* под любой файл. Кстати, вы тоже можете предложить идею для новой статьи написав мне в Telegram. Всем удачи и мирного неба над головой!

ВАЖНО

Модераторы начали удалять мои темы из-за "нарушения закона", присоединяйся к моему Telegram, и читай больше полезной информации. Таким образом вы сможете поддержать развитие проекта, ждём тебя в "Библии Хакера"(там в разы лучше и читабельней оформление) Развивайся, сделай одну подписку и получай новые знания каждую неделю!

​