ПРОФЕСИОНАЛНА ГИМНАЗИЯ ПО ЕЛЕКТРОТЕХНИКА И

ЕЛЕКТРОНИКА

“МИХАЙЛО ВАСИЛИЕВИЧ ЛОМОНОСОВ”

ДИПЛОМЕН ПРОЕКТ

ТЕМА: Компютърни вируси. Видове. Защита от компютърни вируси

На:

Явор Пламенов Величков

Професия: Техник на компютърни системи

Специалност: Компютърна техника и технологии

Дипломант: …………… Ръководител-консултант: ……………

Дата:24.04.2023г. /инж. Красимир Пенев/

Горна Оряховица

2023
 Съдържание

 Увод………………………………………………………………………3
 Хронология на развитието на компютърните вируси…………….5
 Видове вируси…………………………………………………………..6
o Полиморфни………………………………………………………6

o Stealth вируси……………………………………………………..8
o Boot Sector вируси...……………………………………………..10
o Файлови инфектори……………………………………………..12
o Рансъмуери………………………………………………………14
o Макро вируси……………………………………………………22
 Вирусоподобни………………………………………………………...25
o Червеи……………………………………………………………25
o Троянски коне……………………………………………………30

 Защита и предпазване от различни групи вируси……….……….34

o Защита и предпазване от Троянски коне и
Червеи……………..34
o Защита и предпазване от Рансъмуер……………………………
34

o Защита и предпазване от Макро вируси, Полиморфни вируси и

Файлови инфектори……………………………………………..35

o Защита и предпазване от Stealth

вируси………………………..35

 Антивирусни програми………………………………………………38
o Windows Defender……………………………………………….38
o AdAware Antivirus……………………………………………….39
o Kaspersky Antivirus………………………………………………40
2
 o McAfee Antivirus………………………………………………...40
o Avast Antivirus…………………………………………………...41
 Заключение…………………………………………………………….43

Увод
Развитието на технологиите и дигитализацията на света ни отварят безброй
възможности, но също така водят до по-често срещане с различни видове злонамерен
атаки. Компютърните вируси са един от най-разпространените видове зловреден
софтуер, който може да причини сериозни проблеми за индивидите и организациите. В
тази дипломна работа ще разгледаме историята на компютърните вируси, тяхното
развитие и начините за защита от тях. Ще се фокусираме върху важните компоненти на
киберсигурността, като редовните актуализации на софтуера, силните пароли,
практиките за резервно копиране, антивирусния софтуер и други. Освен това, ще
разгледаме и най-важните тактики, за да разберем как да се предпазим от злонамерени
атаки.

Компютърен вирус: Програма (изпълним код), създадена с цел да причини щети

върху хардуера или софтуера, която може да създава свои копия (понякога
модифицирани), без знанието на потребителя.

За да оцелее и се размножи, вирусът трябва да се прикрепи към друга

програма. Вирусите се разпространяват между компютрите по всички познати начини
за пренос на информация, като най-често заразяването става чрез дискети или
компютърни мрежи.

Какво причиняват ?: могат да имат много ефекти, включително:

визуализиране на съобщения, унищожаване на данни и файлове, криптиране на
файлове и др.

Видове вируси:

1. Полиморфни вируси: това са вируси които се засичат изключително трудно,

тъй като те променят своят код непрекъснато. Всяко ново копие на тези вируси се
кодира различно.

3
2. Stealth вируси: това са най-опасните вируси защото са направени така, че
тяхното откриване да е наистина трудно.
3. Файлов инфектор: тези вируси заразяват изпълними файлове или файлове с
някаква информация като стремежът е да се заредят заедно с самият файл и по този
начин да получат достъп до ресурсите на заразената система
4. Рансъмуери: Вид малуер, който шифрова информацията на заразения
компютър и изнудва потребителя да му плати откуп, за да получи ключ
за дешифриране. разпространението на подобен вид вредителски програми силно
нараства след 2009 г., когато е създаден биткойн
5. Макро вируси: това са едни от най-често срещаните вируси. Най-често се
разпространяват с програми, инсталирани на всеки компютър, а именно Microsoft
Office.

Вирусоподобни (известни атаки, които често се бъркат с вирусите):

1. Червеи: Червеят е програма, която се размножава, но не инфектира други

програми. Той заразява компютри независимо дали са част от мрежа или не.
2. Троянски коне: Троянският кон е зловредна програма, която е скрита в
безобидна такава. Когато тази програма бъде стартирана, се стартира и троянският кон,
за да изпълни определена задача.

Антивирусни програми:

1. Windows Defender
2. Adaware Antivirus
3. BitDefender Antivirus
4. Kaspersky Antivirus
5. McAfee Antivirus
6. Avast Antivirus

4
 Хронология на развитието на компютърните вируси
1970 – Първи съобщения за вируси.

1986 – Brain – първият вирус за PC.

1988 – Интернет червей.

1991 – Първи полиморфни вируси.

1992 – Истерията „Микеланджело“ / WinVir – първият вирус за Windows.

1993 – MS – DOS 6 и MSAV

1995 – Concept – първият макро вирус за Microsoft Word.

1996 – Първият вирус за Windows 95.

1996 – Първи макро вируси за Microsoft Excel.

1997 – Първият вирус за Windows NT.

1998 – Първи макро вируси за Microsoft Access.

1999 – Нова ера за злонамерения софтуер.

5
ВИДОВЕ ВИРУСИ

Полиморфни

Вид компютърен вирус, който се променя всяка генерация, като използва

различни методи за криптиране и обфускация на своя код. Това го прави много труден
за откриване и премахване с обичайните антивирусни програми. Полиморфните
компютърни вируси са били най-популярни през 1990-те години и началото на 2000-те
години. Това е периодът, в който се развива интернетът и компютърните мрежи и се
увеличава броят на компютрите, които са свързани към тези мрежи.

Когато полиморфен вирус инфектира компютър, той се крие в операционната

система и започва да криптира собствения си код. Той може да използва различни
методи за криптиране, като замяна на инструкциите с еквивалентни, но различни
кодове или добавяне на излишен код, за да затрудни детектирането му. Като резултат,
всяка нова копие на вируса е уникално и трудно за откриване.

Полиморфизмът в изчислителни термини означава, че може да се използва едно

единствено определение с различно количество данни. За да могат скенерите да
открият този тип вируси, трябва да бъдат написани груби програми за борба и
откриване на полиморфния вирус с нова варианта конфигурации. Тъй като правилно
променя компонентите си и е криптиран, полиморфният вирус може да се каже за един
от интелигентните зловреден софтуер, който е трудно да се открие. Защото, когато
антивирусът ви го открие, вирусът вече се е умножил, след като е променил един или
повече от компонентите си (превръщайки се в нещо друго).

Разпространение

Полиморфните вируси могат да се разпространяват чрез различни методи, като

заразени електронни писма, уеб страници, софтуерни програми и други източници. Те
могат да причинят сериозни щети, като загуба на данни, нарушаване на бизнес
операции и кражба на лична информация.

 Пример за полиморфен вирус

6
 Chameleon

Вирусът Chameleon, наричан също Win95/Chameleon, е полиморфен компютърен

вирус, който е открит за първи път през 1996 година. Вирусът засяга 16-битови и 32-
битови операционни системи на Windows и се разпространява чрез заразени
електронни писма и споделени мрежови файлове.
Една от основните му характеристики е неговата способност да мутира своя код
всеки път, когато зарази нов файл. Това означава, че всеки екземпляр на вируса е
уникален и има различен цифров подпис, което затруднява откриването и премахването
му от антивирусните програми. Вирусът постига това, като използва сложна техника за
криптиране, която произволно генерира нов ключ за декриптиране за всеки заразен
файл и го използва за криптиране на кода на вируса.
Вирусът беше един от първите примери на полиморфни вируси и успя да
избегне откриването от много от наличните антивирусни програми по време на
откриването му. Освен своите полиморфни възможности, вирусът можеше да извършва
различни злонамерени действия, като деактивиране на антивирусните програми и
разпространение на други компютри в мрежата.
Въпреки че вирусът Chameleon вече не е значима заплаха днес благодарение на
подобренията в антивирусните технологии, той остава важен исторически пример за
еволюцията на компютърните вируси и продължаващата битка между авторите на
злонамерен софтуер и експертите по сигурност.

7
 Stealth вируси

Стелт вирусите са вид компютърни вируси, които се скриват от антивирусните

програми, за да не бъдат открити и премахнати. Те се крият в операционната система
или в други програми и могат да причинят сериозни щети, като загуба на данни, кражба
на лична информация и нарушаване на работата на компютъра.

Те също са били популярни през 1990-те и ранните 2000-те години, когато

антивирусните програми все още не бяха толкова ефективни за откриване на такива
вируси.

Стелт вирусите могат да използват различни методи за скриване, като замяна на

файлове, промяна на размера на файлове или криптиране на файлове, за да не бъдат
открити от антивирусни програми. Те могат да се разпространяват чрез електронна
поща, софтуерни програми, уеб страници и други източници

Ако имате подозрение, че компютърът ви е заразен от стелт вирус, трябва да се

свържете с квалифициран технически специалист, който може да помогне при
премахването на вируса и възстановяването на системата.

 Разпространение

Те могат да се разпространяват чрез електронна поща, софтуерни програми, уеб

страници и други източници.

CIH (Чернобилски) вирус

Един от най-известните стелт вируси е "CIH вирусът", наричан още "Чернобилският

вирус". Той е открит за първи път през 1998 г. и е наречен на базата на ядрената
катастрофа в Чернобил, която се е случила на същата дата през 1986 г.

CIH вирусът е бил особено опасен, защото цели системния BIOS, който е отговорен
за контролирането на базовите функции на компютъра. Той може да причини сериозни
щети, като изтриване на твърдия диск или нарушаване на функциите на компютъра.

CIH вирусът се разпространява чрез инфектирани програми и файлове, които

потребителят сваля и инсталира на компютъра си. Веднъж инсталиран, вирусът се
скрива в операционната система на компютъра и се активира в определен момент в
бъдеще, за да причини щети.

8
 За да се предотврати заразяването от CIH вируса, е важно да се избягва от свалянето
и инсталирането на програми и файлове от непознати източници. Трябва да се използва
актуална антивирусна програма и да се актуализира системата на компютъра редовно,
за да се предотвратят заразяванията от стелт вируси и други видове зловреден софтуер.

Фиг. 1
На фигура 1 е показана грешката, която предизвиква Чернобилският вирус. Той вече е
засегнал BIOS-ът на системата и тя не може да функционира.

9
 Boot sector вируси
Вирусът на стартовия сектор е компютърен вирус, който заразява главния
запис на зареждащото устройство (MBR). Не е задължително вирусът на стартиращия
сектор да зарежда успешно компютъра на жертвата, за да го зарази. В резултат на това
дори и не-стартиращи носители могат да предизвикат разпространението на вируси на
зареждащия сектор. Тези вируси копират заразения си код или в сектора за зареждане
на дискета, или в таблицата на дяловете на твърдия диск. По време на стартирането
вирусът се зарежда в паметта на компютъра. Веднага след като вирусът се запише в
паметта, той заразява неинфектираните дискове, използвани от системата.

Boot-sector вирусите са били особено популярни през 1980-те и 1990-те

години, когато много компютри все още са се стартирали от дискети, а не от твърдия
диск. Те могли да причинят сериозни проблеми за компютъра, като например загуба на
данни, намаляване на производителността и дори неуспешност на стартирането на
операционната система. Днес boot-sector вирусите не са толкова често срещани, тъй
като повечето компютри се стартират директно от твърдия диск и защитата им срещу
вируси е подобрена.

Разпространението на вируси на зареждащия сектор стана много рядко след

намаляването на дискети. Също така, съвременните операционни системи включват
предпазни средства за стартиращ сектор, които затрудняват заразяването с вируси от
сектора.

 Пример

Brain

Твърди се, че Brain вирусът е първият компютърен вирус за персонални

компютри и един от първите, които получават голямо медийно внимание през края на
1980-те години и помага да се повиши осведомеността на обществото за потенциалните
опасности от компютърните вируси.

Принцип на работа:

Brain вирусът, наричан също и пакистански грип, е бил вирус от типа boot
sector. Когато вирусът инфектира флопи диск, той модифицира boot sector-a и
директорията на диска, което прави достъпа до файловете на диска труден без
10
специален софтуер. Когато инфектиран флопи диск се вмъкне в компютъра, вирусът се
зарежда в паметта и може да инфектира твърдия диск на компютъра.

Фиг. 2

На фигура 2 наблюдаваме как изглежда буут секторът на инфектиран от Brain вирусът

флопи диск. Вече файловете на диска са неизползваеми, ако потребителят не разполага
със специализиран софтуер.

11
 Файлови инфектори
Файловите инфектори са един от най-често срещаните типове компютърни вируси.
Както подсказва името, тези вируси инфектират изпълними файлове, като .exe или .com
файлове, и се разпространяват, когато заразеният файл се изпълни или стартира.

Най-голямата популярност на файловите инфектори е била в периода от 1980-

те години до началото на 2000-те години. През този период компютрите ставали все по-
разпространени и повечето потребители използвали различни видове софтуер, които
могат да бъдат инфектирани от тези вируси.

Когато файлов инфекторен вирус инфектира файл, той добавя своя код към
началото или края на файла, като променя структурата му. Когато заразеният файл се
изпълни, вирусът се активира и може да изпълни зловреден код, да промени или изтрие
файлове на компютъра или да пренесе зловреден софтуер на други машини чрез
споделени мрежови ресурси.

Файловите инфектори са трудни за откриване и премахване, тъй като те могат

да променят своя код, за да избегнат откриване от антивирусни програми. Затова е
важно да имате актуална антивирусна защита и да не отваряте или изпълнявате
непознати файлове или приложения, особено ако са получени по електронна поща или
от непознати източници.

 Пример

Sality

Sality е семейство зловреден софтуер , заразяващ файловете, който засяга

компютрите на Windows, като разпространява инфекции чрез EXE и SCR файлове.
Стабилността, която може да е започнала първоначално в Русия, се е развила много
през годините, така че различните вариации на злонамерения софтуер проявяват
различни характеристики. Въпреки това, повечето варианти на Sality са червеи, тъй като
използват някаква форма на функцията за автоматично активиране, за да заразят
изпълнимите файлове чрез подвижни или откриваеми устройства.

12
Принцип на работа:
Както бе споменато по-горе, зловредният софтуер Sality заразява изпълними
файлове на заразения компютър. Повечето версии на злонамерения софтуер поставят
специален DLL файл на компютъра в папката % SYSTEM% и може да го нарекат
"wmdrtc32.dll" или, за компресираната версия, "wmdrtc32.dl_". Въпреки това, не всички
варианти на вируса Sality ще използват DLL файл по този начин. Някои прехвърлят кода
директно в паметта и DLL файлът няма да бъде намерен никъде в рамките на
действителните дискови файлове.
Актуализациите на зловреден софтуер Sality се подават през HTTP чрез
децентрализирани списъци с URL адреси . Веднъж заразени, злонамереният софтуер се
нуждае само от обновления зад кулисите, за да се трансформира и расте само по себе
си, за да изтегли нови файлове, за да зарази други компютри.
Премахване:
Ако антивирусната програма не успее да намери инфектираните файлове при
сканиране за вируси, някои такива имат специален инструмент за премахване на този
вирус. Пример за такава антивирусна програма е Kaspersky.

13
 Рансъмуер
Вид вредна програма, която шифрова информацията на заразения компютър и
изнудва потребителя да му плати откуп, за да получи ключ за дешифриране. Макар че
съществува от по-рано, разпространението на подобен вид вредителски програми силно
нараства след 2009 г., когато е създаден биткойн, тъй като относителната анонимност на
страните в сделката прави криптовалутите изключително подходящи за сделки,
извършвани анонимно по интернет и излизащи извън рамките на закона. Първият
рансъмуер е AIDS Trojan (познат още като PC Cyborg), разпространен с безплатни
дискети сред участници в международна конференция за СПИН на Световната здравна
организация в Стокхолм през 1989 г. и представен уж като програма AIDS Version 2.0 за
откриване на СПИН.
Първите случаи на рансъмуери са били забелязани още през 1989 г., когато е
създаден AIDS Trojan, който изисква пари за доброволно дарение за борба със СПИН.
През последните години рансъмуерите станаха все по-често срещани и нападенията с
тях се увеличиха значително, като са засегнали както компютри на индивидуални
потребители, така и на компании и организации от различни сектори.

 Операционни системи, които засяга

Повечето от съществуващия рансъмуер е за операционната система Windows,
но има варианти и за Linux и OS. Има и варианти за мобилни телефони (предимно
работещи с Android), та дори и за интелигентни термостати. Той може да проникне в
компютъра на потребителите по три основни пътя: спам по електронната поща,
използване на компрометирани уеб сайтове и вредителски реклами (malwertising)

 Какво предизвиква
Способни са да криптират важните данни на потребителя, като например
бизнес документи, видеа, снимки и други файлове. Веднъж след като го направят, те
започват да искат откуп за декриптирането на съответните файлове.

Подобни вируси могат да изтриват документи, мултимедия или други файлове,

съдържащи важна информация. Също така може да се опита да изтрие важни системни
компоненти или важни файлове от друг софтуер.

14
 Могат да се използват за крадене на потребителски имена, пароли, важни
лични документи, самоличност и друга важна информация. Тези данни се изпращат
през задна връзка с Интернет към отдалечен хост.

Когато сте инфектирани с рансъмуер, може да забележите, че системата

замръзва почти непрекъснато.

Няма опция за деинсталиране при рансъмуерите. Подобни вируси се опитват да скрият

собствените си процеси, файлове и други обекти, за да усложнят премахването си.

 Типове рансъмуерни паразити

1. Криптиращ рансъмуер. Тази версия главно се разпространява с помощта на
троянци. Веднъж инфилтрирал се, той намира често ползвани файлове и ги криптира.
Заключените файлове включват снимки, музика, видео, изкуство, бизнес и други данни,
които се смятат за важни за жертвата. В допълнение подобен рансъмуер започва да
показва голямо съобщение за предупреждение, което твърди, че единственият начин да
декриптирате данните си, е да платите откупа. Донякъде са прави, защото повечето
подобни малуери изтриват и шадоу копията на файловете, за да предотвратят
възстановяване.
2. Рансъмуер, заключващ браузъра. Тази рансъмуерна версия не инфектира
системата, а е базиран на JavaScript и блокира браузъра, показвайки голямо съобщение.
Главно казва за нелегалната дейност на потребителя в Интернет и изисква да се плати
откуп, за да се избегне затвор. Разбира се, подобен откуп няма нищо общо с ФБР,
Европол и други държавни власти.

 Разпространяване
1. Троянски коне и друг малуер. Повечето рансъмуери се разпространяват с
помощта на троянци. Trojan.Lockscreen е най-често ползваната заплаха за инсталиране
на рансъмуери на системата. Те проникват без знанието на потребителя от файлове,
прикачени към имейли, представяйки се за надеждни фирми като Amazon, ebay,
финансови институции и т.н. Веднъж щом потребителят бъде измамен да свали подобна
приставка на компютъра си, която е свързана с рансъмуер, той също се инсталира.
2. Фалшиви изскачащи известия. Друга част от рансъмуерната напаст се
разпространява чрез фалшиви изскачащи известия, които лесно могат да бъдат
срещнати на нелегални или дори легитимни сайтове. Главно съобщават за налични

15
ъпдейти, но също така могат да Ви информират, че системата Ви има нужда от
сканиране, което можете да направите безплатно и да премахнете всякакви вируси,
което разбира се е лъжа.
 Премахване
В случай на рансъмуерна инфекция не е препоръчително да плащате откуп.
Има много хора, загубили парите си по този начин. Освен това не се доверявайте на
съобщения, твърдящи, че си имате работа с държавни власти, защото това не е вярно
Обикновено тези съобщения се показват, само за да накарат хората да платят откупа.
Премахването на рансъмуер може да бъде сложен процес, но ето някои общи стъпки,
които можете да следвате, за да опитате да го премахнете:

1. Изключете компютъра си от интернет, за да предотвратите връзката на

ransomware със сървърите на злоумишлениците или разпространението му във
вашия мрежов уред.

2. Ако е възможно, стартирайте компютъра си в Safe Mode, за да предотвратите

зареждането на ransomware при стартиране на компютъра. Обикновено можете
да получите достъп до Safe Mode, като натиснете F8 или Shift + F8 по време на
стартиране на компютъра.

3. Използвайте антивирусна програма, за да сканирате компютъра си и да

премахнете всякакви злонамерени файлове. Уверете се, че вашата антивирусна
програма е актуализирана и извършете пълен сканиране на системата.

4. Ако антивирусната програма не може да премахне вируса, опитайте се да

използвате специализиран инструмент за премахване на ransomware. Много
компании за антивирусен софтуер предлагат тези инструменти безплатно.

5. Ако ransomware е криптирал вашите файлове, може да се наложи да ги

възстановите от резервно копие. Уверете се, че резервното копие е чисто и не
съдържа злонамерен софтуер, преди да възстановите вашите файлове.

6. Като последно решение, може да се наложи да форматирате твърдия си диск и да

преинсталирате операционната си система.

16
  Възможно ли е да се декриптират файловете без плащане?
Няколко компании за компютърна сигурност обединиха усилията си, като
успяха да спрат мрежата за разпространение на вируса и да получат определен брой
ключове за дешифриране. По това време те пуснаха услуга, в която можеше да бъде
качен файл, чрез който може да се стигне до ключа за дешифриране. В момента тази
услуга е спряна. Единствения начин да върнете файловете си обратно е от архив, или от
Shadow Copy, ако е включен System Restore в Windows. По-новите версии на вируса се
опитват да изтрият Shadow Copy, но не винаги успяват. Ако System Restore е спрян, или
нямате архив на информацията си, тогава единствения начин да върнете файловете си
обратно е да заплатите сума.
 Ще се върнат ли файловете, ако заплатите?
Ако заплатите исканата сума се появява екран, който показва че плащането се
проверява. Хора, които са платили сумата твърдят, че този процес може да отнеме 3-4
часа. След като плащането бъде проверено започва процеса на дешифриране на
файловете, който също отнема време. Това обаче не гарантира, че файловете ще бъдат
възстановени, понеже атакуващият решава дали ще предостави ключ или не, за това
хората съветват да не се заплаща исканият откуп.

 Известни рансъмуер вируси

„Cryptolocker”, „ WannaCry“

Cryptolocker

Обща информация:

Този вирус се появява за пръв път в началото на септември 2013г и атакува

всички версии на Windows към момента. При заразяване с CryptoLocker той криптира
вашите файлове като използва RSA и AES шифриране. След като приключи с
криптирането се показва прозорец, който ви подканва да бъдете така добри и да
платите сума за декриптиране на вашата информация в размер на 100$ или 300$.
Екрана също така показва таймер, който твърди че имате 72 часа за да платите сумата, в
противен случай криптиращия ключ ще бъде изтрит и няма да има начин да върнете
файловете си обратно. Ако искате да платите сумата, трябва да следвате определени
указания, като обикновено се използват криптовалути.
17
Принцип на работа:

Когато за пръв път се заразите с CryptoLocker, той се запаметява във файл с

генерирано име в папките %AppData% или %LocalAppData% и добавя ключ в
регистрите за автоматично стартиране. Вируса също така подменя .exe разширението,
така че като стартира изпълним файл се прави опит за изтриване на Shadow Volume
копията намиращи се в системата. След като вируса успее да изтрие копията създадени
от Shadow Volume, той възстановява .exe разширенията към тези по подразбиране в
Windows. Следващата стъпка на вируса е да се опита да се свърже със сървър от който
да получи публичен ключ, с който да бъдат криптирани вашите файлове. На този
сървър се запаметява и частния ключ, чрез който те могат да бъдат дешифрирани.

CryptoLocker сканира всички физически и мрежови устройства на вашия

компютър със следните разширения: *.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc,
*.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb,
*.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.pdf,
*.eps, *.ai, *.indd, *.cdr, *.jpg, *.jpe, *.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw,
*.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d,
*.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c.

18
 Фиг. 3

На фигура 3 имаме съобщение от вирусът „Cryptolocker“. Съобщава на потребителя, че

личните му данни са криптирани и изисква подкуп от 300$, за да предостави ключ,
който да декриптира файловете.

WannaCry

Освен червей, wannacry е и криптовирус и рансъмуер. Той се насочва към

компютри, работещи с операционната система Microsoft Windows, като криптира
(заключва) данни и изисква плащания на откуп в криптовалутата биткойн. Вирусът е
известен още като WannaCrypt, Wana Decrypt0r 2.0, WanaCrypt0r 2.0 и Wanna Decryptor.
Смята се и за мрежов червей, тъй като включва и транспортен механизъм за
автоматично разпространение. Този транспортен код сканира за уязвими системи, след
което използва инструмента DoublePulsar, за да инсталира и изпълни копие на себе си.
WannaCry версии 0, 1 и 2 са създадени с помощта на Microsoft Visual C++ 6.0.

Принцип на действие:

Wanna Cry използва експлойти като EternalBlue и DoublePulsar за

разпространението си. EternalBlue се основава на уязвимост в протокола Microsoft
Message Server Block, MS17-010. Най-опасното е, че веднъж влязъл в компютър,
WannaCry се разпространява из всички машини, свързани в локална мрежа, като
сканира произволни хостове и това прави разпространението му безконтролно,
независимо от бдителността на потребителите. Заразата се възползва от слабост
(експлойт) в операционната система Windows. Той поразява компютри, на които не са
правени актуализации за сигурност, или са с пиратски версии на Windows, или са със
19
стари версии. WannaCry криптира ценната информация на машините, а хакерите искат
300 долара откуп, за да предоставят ключ за дешифриране на собствениците.

Нанесени щети:

Повече от 20 британски болници и големи компании, включително и FedEx и

най-големият телеком в Испания, са били засегнати в петък, съобщи NBC news. Renault
и Nissan са сред последните мултинационални компании, които обявиха, че
компютърните им системи са били компрометирани. В Германия информацията за
клиентите на екраните в гарите бяха засегнати, но не е имало ефект върху услугите.
Китайската агенция Синхуа заяви, че са заразени компютри на средни и висшите
училища, но не съобщи колко или кои. МВР на Русия също потвърди, че е било
поразено, докато централната банка на Русия обяви, че е осуетила атаката. Няма
информация български институции да са засегнати от глобалната хакерска атака.

Фиг. 4

Фигура 4 показва изскачащият прозорец, съобщаващ на потребителя, че е заразен с

WannaCry вирус. В текстовото поле съдържа въпросите: „Какво е станало с компютъра

20
ми“, „Как да възвърна файловете си?“, „Как мога да платя?“ и съответните отговори на
тях.

Макро вирус
Първите макро вируси са се появили през 1990-те години, когато макро
програмите са станали популярни и използвани от много хора. Съществуват и до ден
днешен, но рядко се срещат, поради лесно засичане от антивирусен софтуер.

Макрос в Office се отнася до поредица от команди и инструкции, които

групирате като една команда за автоматично изпълнение на задача. Макро вирус се
възползва от Макроси които нахлуват Microsoft Office приложения като Microsoft Word
или Excel. Киберпрестъпниците ви изпращат заразен от макроси документ по имейл и
използват тема, която ви интересува или провокира да отворите документа. Когато
отворите документа, се изпълнява макрос, за да изпълни каквато и задача да иска
престъпникът.

Под заразен с макрос документ имам предвид макроси, специално създадени

за изтегляне на зловреден софтуер или за изпълнение на някои други задачи. Може да се
случи така, че самият макрос да създаде злонамерен софтуер, който е постоянен на
вашия компютър, да се дублира и да се изпрати до всички хора в списъка ви с контакти.

21
 След като разбра за уязвимостта, Microsoft деактивира функционирането на
макроса по подразбиране. Тоест, никакъв макрос няма да се изпълнява в Microsoft Word,
докато не включите макросите или не го стартирате ръчно. Същият е случаят с
макросите в други приложения на Microsoft. Има някои други програми, които също
използват макроси, но те не са толкова популярни и следователно може да не са
насочени от киберпрестъпници.

 Активиране или деактивиране на макроси в Office

Microsoft по подразбиране е задал настройките по подразбиране в Office на

Деактивирайте всички макроси с известие . Сега, тъй като настройката по подразбиране
на Macros е OFF или DISABLED, киберпрестъпниците програмират документите по
начин, по който сте принудени да включите злонамерения макрос. Например
получавате поща, в която пише, че вашият пакет е готов и че трябва да отворите
прикачения документ за подробности за изпращането и др. Когато отворите документа,
ще видите съобщение, в което се казва Макросите са деактивирани. Активиране на
съдържанието.

В макро настройките на Microsoft Word може да намерите тези 4 опции:

1. Деактивирайте всички макроси без известие

2. Деактивирайте всички макроси с известие (Това е по подразбиране)
3. Деактивирайте всички макроси с изключение на цифрово подписани макроси
4. Активиране на всички макроси.
 Премахване

Да се премахване на макро вирус , първото нещо, което Microsoft предлага, е

да използвате добър антивирус, за да предотвратите макросите да изтеглят зловреден
софтуер или да изпращат нежелана информация от вашия компютър. Стартирайте
антивирусния софтуер, ако имате нужда.

Докато отваряте документи на Word, които според вас може да съдържат

макровирус, натиснете Shift, докато отваряте документа. Това ще попречи на всички
макроси да се изпълняват, както Документите на Office стартират в безопасен режим
когато натиснете Shift и ги отворите. След това можете да проверите какви всички

22
макроси присъстват в документа. Ако нещо изглежда подозрително, можете да го
премахнете, преди да използвате документа.

 Известен макро вирус

Melissa

Същност

Вирусът Melissa е макровирус за масово изпращане, пуснат на или около 26

март 1999 г. Той е насочен към базирани на Microsoft Word и Outlook системи и създава
значителен мрежов трафик. Вирусът заразява компютри чрез имейл, който е озаглавен
„Важно съобщение от…“, последвано от текущото потребителско име. След като
щракнете върху съобщението, съдържанието гласи: „Ето документа, който поискахте.
Не показвайте на никого друг ;).“ Закачен към мейла е документ на Word, озаглавен
„list.doc“, съдържащ списък с порнографски сайтове и придружаващи данни за влизане
за всеки. След това се изпраща масово до първите петдесет души в списъка с контакти
на потребителя и деактивира множество защитни функции в Microsoft Word и Microsoft
Outlook.

История и принцип на работа

Вирусът е пуснат на 26 март 1999 г. от Дейвид Л. Смит. Смит използва

отвлечен акаунт, за да публикува вируса в интернет дискусионна група, наречена
„alt.sex.” И малко след това се озовал в подобни сексуални групи и порнографски
сайтове, преди да се разпространи в корпоративните мрежи. Въпреки това, самият
вирус бил приписан на Kwyjibo, авторът на Macro вируси за VicodinS и ALT-F11, чрез
сравняване на документи на Microsoft Word със същия глобален уникален
идентификатор. Този метод е използван и за проследяване на вируса до Смит.

Файлът „list.doc“ съдържа скрипт на Visual Basic, който копира заразения файл
в шаблонен файл, използван от Word за персонализирани настройки и макроси по
подразбиране. Ако получателят отвори прикачения файл, заразяващият файл е прочетен
в паметта на компютъра. След това вирусът създава обект на Outlook, прочита първите

23
50 имена във всяка глобална адресна книга на Outlook и изпраща копие от себе си на
прочетените адреси.

Melissa работи с имейл клиенти Microsoft Word 97, Microsoft Word 2000 и
Microsoft Outlook 97 или 98. Microsoft Outlook не е необходим за получаване на вируса
по имейл, но той не може да се разпространява чрез други имейли без него.

Щети

Вирусът забавил системите за електронна поща поради претоварване на

сървърите на Microsoft Outlook и Microsoft Exchange с имейли. Основните засегнати
организации включват Microsoft, Intel и Корпуса на морската пехота на Съединените
щати. Екипът за компютърно реагиране при извънредни ситуации, финансирана от
Пентагона служба за сигурност в университета Карнеги Мелън, съобщил, че 250
организации са се обадили във връзка с вируса, което показва, че най-малко 100 000
компютъра на работното място са били заразени, въпреки че се смята, че броят е по-
висок. Приблизително един милион имейл акаунта са били отвлечени от вируса. По
онова време това бил най-бързо разпространяващата се имейл атака.

ВИРУСОПОДОБНИ

Червеи
Червеят е програма, която се размножава, но не инфектира други програми.
Той заразява компютри независимо дали са част от мрежа или не. Те се
разпространяват, като използват пролуки в операционните системи. Операционните
системи периодично предоставят актуализации, които ако бъдат инсталирани, спират
разпространението на повечето червеи.

Червеите са един от видовете компютърни вируси, които са се появили през

1990-те години и са били много популярни през този период.

Копира от и на флопи дискети, CD, DVD, Blu-Ray и флашки, както и на

различни дялове на хард диска. Ако заразеният компютър е част от мрежа, той може да
инфектира и другите компютри в нея. Червеите често крадат и унищожават данни и се
разпространяват основно чрез Интернет.

24
 За разлика от вирусите, компютърните червеи са злонамерени програми, които
сами се копират от една система в друга, вместо да заразяват файловете, разположени в
компютъра. Например червей, който се разпространява масово по електронната поща
(mass-mailing email worm) изпраща копия до всички адреси за електронна поща, които
може да открие записани в заразения компютър. Мрежовият червей се копира и
разпространява по мрежата.

 Типове червеи
1. Имейлни червеи: Те работят, като създават и изпращат изходящи съобщения
до всички адреси в списъка с контакти на потребителя. Съобщенията включват
злонамерен изпълним файл, който заразява новата система, когато получателят го
отвори. Успешните такива червеи, обикновено използват техники за „ социално
инженерство “ и „ фишинг “, за да насърчат потребителя да отвори дадения файл.
2. Крипточервеи: Работят, като криптират данните в системата на жертвата.
Извършителите могат да използват този тип червей при атаки с ransomware, при които
се свързват с жертвата и изискват плащане в замяна на ключ за дешифриране на
файловете.
3. Интернет червеи: Някои компютърни червеи са насочени специално към
популярни уебсайтове с лоша защита. Ако могат да заразят сайта, те могат да заразят
всеки компютър, който има достъп до сайта. Оттам интернет червеите се
разпространяват към други устройства, към които заразеният компютър се свързва чрез
интернет и частни мрежови връзки.
4. Файло-споделящи червеи: копират се в споделени папки и се
разпространяват чрез peer-to-peer мрежи за споделяне на файлове. Авторите на такива
червеи, често маскират тези злонамерени програми като медийни файлове. Stuxnet,
един от най-известните компютърни червеи до момента, се състои от два компонента:
червей за разпространение на злонамерен софтуер чрез USB устройства, заразени с
хост файла, и злонамерен софтуер, който е насочен към системите за контрол и
събиране на данни. Този тип червеи често са насочени към индустриални среди,
включително електроснабдителни предприятия, услуги за водоснабдяване и
канализационни съоръжения.
 Как се разпространяват:
Докато някои компютърни червеи изискват действие на потребителя, за да се
разпространят първоначално, като например щракване върху връзка, други могат лесно

25
да се разпространят без намеса на потребителя. Всичко, което е необходимо, е
компютърният червей да стане активен в заразена система.
Веднъж активиран, червеят може да се разпространи в мрежа чрез интернет или
локална мрежа. Преди широкото използване на мрежите, компютърните червеи се
разпространяваха чрез заразени носители за съхранение, като флопи дискове, които,
когато се монтират на система, биха заразили други устройства за съхранение, свързани
към системата-жертва. Днес USB устройствата са общ вектор за компютърни червеи,
както и интернет дейности като имейл, чат и уеб сърфиране.

 Предпазване
За да се предпазите от този вид вируси е необходимо никога да не отваряте
прикачени файлове, които получавате неочаквано. Също така, в случай че сте отворили
файла, използвайте антивирусен и антишпионски софтуер, като изброените по – горе с
включена опцията за защита в реално време. Те помагат за елиминирането на заплахата,
но трябва да бъдат актуализирани често, поне на няколко дни. Препоръчителна е също
употребата и на защитна стена.

 Пример
ILoveYou

„ILOVEYOU“ (аз те обичам), понякога наричан Любовна буболечка или

Любовно писмо за вас, е компютърен червей, който зарази над десет милиона
персонални компютри с Windows на и след 5 май 2000 г.

 Разпространяване: Той започнал да се разпространява като имейл

съобщение със заглавна линия „ILOVEYOU“ и прикачен файл „LOVE -LETTER-FOR-
YOU.TXT.vbs." По това време компютрите с Windows криеха файловото разширение
„VBS“ по подразбиране, защото това е разширение за файлов тип, който Windows
познава, карайки неволните потребители да мислят, че това е нормален текстов файл.
Отварянето на прикачения файл активира скрипта на Visual Basic. Първо, червеят
нанася щети на локалната машина, презаписвайки случайни файлове (включително
файлове на Office и файлове с изображения; той обаче скрива MP3 файлове, вместо да

26
ги изтрива), след което се копира на всички адреси в адресната книга на Windows,
използвана от Microsoft Outlook, което му позволява да се разпространява много по-
бързо от всеки друг предишен имейл червей.

Фиг. 5

На фигура 5 е показано как е изглеждало съобщението, което е стигнало до

много потребители. Отваряйки файла, се задейства скрипта и системата вече е заразена.

Създаване

ILOVEYOU е създаден от Онел де Гузман, известен още като Lto3, студент в

Манила, Филипините, който по това време е на 24 години. Де Гузман, който е бил
беден и се борел да плаща за достъп до интернет по това време, създал компютърния
червей, възнамерявайки да открадне паролите на други потребители, които той можел
да използва, за да влезе в техните интернет акаунти, без да е необходимо да плаща за
услугата. Той оправда действията си с убеждението си, че достъпът до интернет е
човешко право и че всъщност не краде.

Червеят използва същите принципи, които де Гузман е описал в дипломната си

работа в AMA Computer College. Той заявил, че червеят е много лесен за създаване,
благодарение на грешка в Windows 95, която изпълнява код в прикачени файлове към
имейл, когато потребителят кликне върху тях. Първоначално проектирайки червея да
работи само в Манила, той премахнал това географско ограничение от любопитство,

27
което позволило на червея да се разпространи по целия свят. Де Гузман не е очаквал
това световно разпространение.

Принцип на работа:
Де Гузман написал скрипта ILOVEYOU (прикачения файл) в Microsoft Visual
Basic Scripting (VBS), който се изпълнявал в Microsoft Outlook и бил активиран по
подразбиране. Скриптът добавя данни от системния регистър на Windows за
автоматично стартиране при зареждане на системата.

Червеят търси свързани устройства и заменя файлове с разширения JPG, JPEG,

VBS, VBE, JS, JSE, CSS, WSH, SCT, DOC, HTA, MP2 и MP3 със свои копия, като
същевременно добавя допълнително файлово разширение VBS. Въпреки това, MP3 и
други свързани със звук файлове ще бъдат по-скоро скрити, отколкото презаписани.
Фактът, че червеят е написан на VBS, позволява на потребителите да го променят.
Потребителят може лесно да промени червея, за да замени основните файлове и да
унищожи системата, позволявайки на повече от 25 варианта на ILOVEYOU да се
разпространят в интернет, като всеки от тях причинява различни видове щети. Повечето
от вариантите са свързани с разширенията на файловете, засегнати от червея. Други
променили темата на имейла, за да се насочат към конкретна аудитория, като варианта
„Cartolina“ на италиански или „BabyPic“ за възрастни.

Последици:
Изчислено е, че атаката е причинила щети за 5,5–8,7 милиарда щатски долара в
световен мащаб и се оценява на 10–15 милиарда щатски долара за премахване на
червея. В рамките на десет дни са докладвани над петдесет милиона инфекции и се
изчислява, че 10% от свързаните с интернет компютри в света са били засегнати. За да
се защитят, Пентагонът, ЦРУ, британският парламент и повечето големи корпорации
решили напълно да затворят своите пощенски системи. Това е една от най-
разрушителните компютърни катастрофи в света за онова време.

28
 Троянски кон
Троянският кон, наричан още троянец, е вредна компютърна програма, която
се представя като полезна, а всъщност причинява нещо съвсем различно при
изпълнението си, например: превземането на канали в IRC, изтриване на съдържание от
твърдия диск, кражба на поверителни данни (пароли, информация за банкови сметки и
кредитни карти) и др. Тези програми са получили името си от мита за големия, кух
дървен кон, чрез който гърците печелят Троянската война, като се скриват в него и се
промъкват в укрепения град Троя.

Te са били популярни в продължение на много години (още от 1980-те години)

и все още са активни в момента.

Троянските коне обикновено се разпространяват под формата на изпълними

файлове за Microsoft Windows: .exe, .scr, .bat или .pif. Неопитният потребител, който
работи с настройките по подразбиране, при които разширенията на файловете се

29
скриват, не е в състояние да разбере истинския вид на файла, ако е маскиран с т.нар.
двойно разширение, например 'Readme.txt.exe', потребителят ще види единствено
'Readme.txt', като истинското разширение .exe ще остане скрито. За да е пълна
заблудата, троянецът, след стартирането си, наистина би могъл да отвори някакъв
текстов документ, Или да имитира инсталационен процес, но всъщност ще работи във
фонов режим и тайно ще краде, променя или изтрива информация или настройки на
компютъра, а дори би могъл да се използва от злонамерени трети лица за извършването
на атаки върху други мрежи, най-често разпределени атаки от тип „отказ от услуга“
(Distributed Denial of Service – DDoS).

Най-често троянският кон е създаден, за да контролира компютъра, на който е

стартиран. Примери за такива троянски коне са NetBus, SubSeven, Back Orifice и др.
Днешните антивирусни програми безпроблемно улавят по-голямата част от
съществуващите троянски коне, но има и такива, които са специално проектирани да не
се забелязват от антивирусния софтуер или да го обезвреждат.

 Как работят обикновено

Принципът на действие на троянския кон е доста прост – след изпълнението
си на даден компютър (примерът е за компютри работещи с MS Windows) той създава
ключове в регистъра, откъдето си осигурява начално стартиране още със старта на
операционната система. След като се зареди в паметта, той действа на принципа на
сървър и отваря един или повече портове, чрез които злонамерени личности чрез
клиентска програма за отдалечена работа с дадения троянец биха могли да управляват
заразения компютър. Клиентите често придобиват пълен контрол над компютъра и
могат дори да местят курсора на мишката върху монитора, както и да четат, трият, или
качват файлове.

 Известен троянски кон:

Storm Worm
Обикновено започва в началото на 2007 г., всъщност не е доказано, но много
инженери по киберсигурност смятат, че произхожда от Русия и че атаката на зловреден
софтуер се контролира от зона, разположена в Русия. Вирусът започнал да атакува
хиляди (предимно частни) компютри в Европа и Съединените щати в петък, 19 януари

30
2007 г., използвайки имейл съобщение със заглавие за скорошно метеорологично
бедствие, „230 мъртви като буря, връхлетяла Европа“. През уикенда имало шест
последователни вълни от атака. Към 22 януари 2007 г. Storm Worm представлява 8% от
всички инфекции със зловреден софтуер в световен мащаб.

Принцип на работа:

Веднъж активиран в системата, Storm Worm инжектира файл, наречен

wincom32.sys, който тайно се изпълнява като драйвер на устройство. Вирусът отваря
редица UDP портове, за да установи контакт с частна, криптирана peer-to-peer (P2P)
мрежа, базирана на протокола Overnet. Когато се осъществи контакт, той регистрира
компютъра като нов партньор в P2P мрежата, където чака инструкции от своите
контролери. Мрежата също е мястото, където Storm Worm може да изтегли няколко
файла, обикновено наречени от game0.exe до game5.exe. Тези файлове имат уникални
функции, които включват стартиране на разпределени атаки за отказ на услуга (DDos),
инсталиране на задна вратичка, чрез която контролерите могат отдалечен достъп до
компютъра, кражба на имейл адреси и използване на тези имейл адреси за по-
разпространение на вируса. Целият процес по същество цели да направи заразения
компютър част от голям ботнет с печалба, която е под контрола на създателите на Storm
Worm. Но за разлика от типичния ботнет, ботнетът Storm Worm не разчита на
централизиран сървър за командване и контрол. Вместо това командването и контролът
са вградени във всеки партньор в P2P мрежата. Това прави цялата операция по-трудна
за отстраняване от правоприлагащите органи, защото когато даден възел бъде
изключен, други възли могат лесно да заемат неговото място.

Как се разпространява?:

Има различни методи, които атакуващите използват за разпространение Storm

worm, един от тези методи е чрез имейл. Те обикновено изпращат различни спам
имейли, които имат прикачени EXE файлове. Основният проблем в тези имейли е, че те
са толкова добре изработени, че потребителите трябва да ги отворят и да кликнат върху
прикачените файлове в пощата. Темите, използвани в имейлите, са толкова силни, че

31
създават любопитство, вълнение и страх сред потребителите, поради което те кликват
върху тях и вредните файлове автоматично се изтеглят в потребителската система.

Щети:

Storm worm често се смята за една от най-лошите атаки на зловреден софтуер в

ново време. Прогнозите сочат, че заразените или зомбирани компютри са около милион
(въпреки че някои други оценки предполагат около 10 милиона, дори 50 милиона) на
пика си през 2007 г.

Фиг. 6

На фигура 6 имаме няколко изображения на примерни съобщения, съдържащи

троянеца. Съобщенията са свързани с бедствия, което ги прави примамливи да бъдат
отворени от потребители.

32
 Защита от различни групи вируси

 Защита и предпазване от троянски коне и червеи

1. Придържане към надеждни източници

Независимо дали става въпрос за уебсайтове, кореспонденция или

софтуер, надеждните марки винаги са най-добрият вариант. Ако компаниите са
изпробвани и проверени от широката общественост, ще разберете дали възникват
проблеми.

2. Използване на защитна стена

Защитните стени отсяват данните, които влизат в устройството ви от интернет.

Докато повечето операционни системи идват с вградена софтуерна защитна стена, също
така е разумно да се използва хардуерна версия на защитната стена за максимална
защита.

3. Висококачествен антивирусен софтуер

Софтуерът против вируси е вашата първа линия на защита – затова е важно да

имате най-доброто. Тези програми могат да сканират устройството ви за проблеми и да
ви предупреждават, ако възникне такъв.

 Защита и предпазване от рансъмуер

1. Редовно правете архивни копия на данните си: Ако вашите данни бъдат
криптирани от рансъмуер, можете да ги възстановите от последната архивна копия,
която сте направили. Редовно правенето на резервни копия е основен начин за
предпазване на вашите данни.

2. Използвайте антивирусна програма и защитна стена: Използването на

антивирусна програма и защитна стена може да помогне да се предотврати инфекция с
рансъмуер. Също така, редовното обновяване на вашата антивирусна програма и
операционната система може да ви предпази от нови видове рансъмуер.

3. Бъдете внимателни при отваряне на електронна поща: Не отваряйте

прикачени файлове или линкове от непознати източници. Проверете дали електронната

33
поща е идва от надежден източник и изглежда ли легитимно, преди да отворите
прикачените файлове или линкове.

Веднъж криптирани, файловете е много трудно да се възстановят ако нямат

направени резервни копия. Затова бъдете сигурни, че използвате надеждна антивирусна
програма, която да може да засече вирусът преди да бъде задействан.

 Защита и предпазване от макро вируси, полиморфни вируси и

файлови инфектори

Бъдете внимателни при отваряне на електронна поща:

1. Първото нещо, което трябва да запомните, е да използвате собствените си

умения за разсъждение. Ако получите документ като прикачен файл, винаги ще бъде
безопасно да го отворите в режим само за четене. Ако отваряте документи чрез Outlook
или друг популярен имейл клиент, те отварят документите в режим само за четене и
деактивират макроси и т.н., така че да не бъдете засегнати.

2. Избягвайте използването на публични WiFi мрежи. Обществените WiFi

мрежи често са недостатъчно защитени и могат да бъдат използвани за следене на
работата ви извличане на информация от устройството ви.

3. Ако получите съобщение с молба да включите макросите, разберете защо

съобщението е там и дали макросите наистина трябва да бъдат активирани. Например,
ако изглежда като фактура, няма нищо програмируемо и следователно няма нужда от
макроси. В този случай можете да сте сигурни, че документът е само примамка.

 Защита и предпазване от Stealth вируси

1. Използвайте защитна стена: Защитната стена е софтуерен или хардуерен

инструмент, който може да помогне да се блокира неоторизиран достъп до вашия
компютър или мрежа. Това може да помогне да се предотврати разпространението на
вируси, включително скрити вируси.

2. Бъдете внимателни при отваряне на приложения или кликване върху

връзки: Един от най-честите начини за разпространение на вируси е чрез приложенията
за имейл или връзки. Бъдете внимателни при отваряне на всякакви приложения или
кликване върху връзки, особено ако те са от непознат или подозрителен източник.

34
 3. Редовно правете резервни копия на вашите данни: Редовното правене на
резервни копия на вашите данни може да помогне да се намали въздействието от
инфекция с вирус. Ако вашият компютър е заразен със скрит вирус, можете да
възстановите данните си от резервно копие и да избегнете загубата на важни файлове.

4. Поддържайте операционната си система и софтуера актуални: Редовното

актуализиране на операционната система и софтуера може да помогне да се защитите
от известни уязвимости, които вирусите могат да използват. Това може да помогне да
се предотвратят скрити вируси и други видове зловреден софтуер от да получат достъп
до вашия компютър.

Общи съвети за предпазване от всякакъв вид вреден софтуер

1. Използвайте силни пароли: Избягвайте лесно познаваеми пароли като дати на

раждане или имена на домашни любимци. Вместо това, използвайте дълги пароли,
които съдържат комбинация от цифри, големи и малки букви и специални символи.
Също така е добре да използвате различни пароли за различните си акаунти.

2. Актуализирайте софтуера си: Използвайте актуални версии на операционната си

система, браузърите и другия софтуер, който използвате. Актуализациите обикновено
включват поправки на открити уязвимости, които могат да бъдат използвани от
злонамерени хакери.

3. Използвайте антивирусен софтуер: Инсталирането на добър антивирусен

софтуер може да ви помогне да предотвратите влизането на злонамерен софтуер в
компютъра ви. Изберете антивирусен софтуер от доверен доставчик и актуализирайте
го редовно.

4. Бъдете внимателни при пощенските съобщения: Не отваряйте приложения или

линкове, които получавате по пощата, особено ако са от непознати източници.
Внимавайте за фишинг схеми, които се опитват да измамят личната ви информация.

5. Избягвайте непознати сайтове и файлове: Не изтегляйте файлове или софтуер от

непознати източници. Посетете само уебсайтове, които доверявате и които знаят, че са
сигурни.

6. Използвайте VPN: Използването на VPN (виртуална частна мрежа) може да

защити интернет връзката ви и да крие вашето местоположение. Това може да помогне

35
да се предпазите от хакерски атаки и да запазите поверителността на вашите онлайн
данни. Използвайте двуфакторна аутентикация: Използвайте двуфакторна аутентикация
за всички важни акаунти. Това може да предпази вашата информация, дори ако
злонамереният потребител успее да получи вашата парола.

7. Бъдете внимателни при използване на обществени Wi-Fi мрежи: Избягвайте да

използвате обществени Wi-Fi мрежи за чувствителни онлайн дейности, като банкови
транзакции или изпращане на лична информация. Ако е необходимо, използвайте VPN
за допълнителна защита.

8. Изключете ненужните функции: Изключете ненужни функции и порти във

вашата операционна система, които може да представляват риск за сигурността.
Например, изключете файлово споделяне или портове, които не използвате.

9. Избягвайте да използвате администраторски акаунт за всекидневни дейности:

Използвайте ограничен потребителски акаунт за всекидневни дейности, а не
администраторският акаунт. Това може да намали риска от вируси и други видове
злонамерен софтуер.

10. Спазването на тези съвети може да ви помогне да предпазите компютъра си от

хакерски атаки, вируси и други видове злонамерен софтуер. Все пак, винаги трябва да
бъдете внимателни и да следвате най-добрите практики за сигурност, за да се защитите
от потенциални заплахи.

36
 Антивирусни програми
Всички от изброените антивирусни софтуери имат възможност за използване
на тяхната безплатна версия, въпреки че е доста-по ограничена от техните платени
такива. Също така всички разполагат с тези основни характеристики:

1. Антивирусна защита – Могат да идентифицират и премахват вируси,

троянски коне, рекламни софтуери, шпионски програми и други зловредни
приложения.

2. Файеруол - Осигурява защита на мрежовите връзки на вашия компютър.

Той предотвратява неоторизирания достъп до вашия компютър от външни източници.

3. Антиспам - Програмите включват антиспам филтър, който може да

блокира нежелана електронна поща и да намали риска от фишинг атаки.

4. Защита на личните данни - Функция за защита на личните данни,

която шифрира важните файлове и информация на вашия компютър. Това осигурява
допълнителна защита на вашата чувствителна информация.

5. Онлайн защита - Защита и при онлайн сесии. Това означава, че можете

да се чувствате сигурно, докато използвате онлайн банкинг, пазарувате онлайн и
изпращате лични данни по интернет.

6. Интернет контрол - Могат да контролира достъпа до уеб сайтове и да

блокират опасни опасни и вредоносни сайтове, които съдържат зловреден софтуер,
фишинг схеми, измамнически сайтове за измама и други интернет заплахи.

Windows Defender

Aнтивирусна програма, която идва вградена в операционната система

Windows. Тя осигурява защита от зловреден софтуер, като вируси, троянски коне,
рекламен софтуер, шпионски софтуер и други видове зловреден софтуер. Реалната
защита на Windows постоянно сканира компютъра и може да блокира опасни програми
и файлове преди те да нанесат щети на системата. Освен това, тя може да предостави и
други функции за защита, като например защита на интернет браузърите, управление на
устройства и др. Нейното предимство е, че е напълно безплатна за потребителите на
Windows. Тя идва вградена във всички версии на Windows и не изисква допълнително

37
плащане за използване. Все пак е надеждна програма и добра алтернатива, за
потребителите, които не могат да си позволят следващите споменати програми:

Ad-Aware Pro internet security

Ad-Aware Pro Internet Security е една от водещите антивирусни програми на

пазара, която е създадена да осигури надеждна защита на вашите компютри и мрежи от
различни видове зловреден софтуер и интернет заплахи.

Тази програма е разработена от компанията Lavasoft и е на разположение на

потребителите от много години. Включва в себе си различни функции и технологии,
които я правят една от най-ефективните антивирусни програми на пазара.

Антивирусната има и някои удобни инструменти за поддръжка на компютъра,

като включва оптимизатор на системата, който може да ускори работата на компютъра,
като освободи ненужните файлове и поправи грешки в регистъра на Windows.
Софтуерът е лесен за използване и има удобен потребителски интерфейс. Той също така
предлага бърза и ефективна защита на компютъра в реално време, която може да
предотврати появата на нови заплахи. Ad-Aware Pro Internet Security е един от многото
софтуерни продукти, предлагани на пазара, които се стремят да осигурят защита на
компютъра ви от различни интернет заплахи. Преди да закупите софтуера, е
препоръчително да сравните функциите и цените на различните продукти, за да
изберете този, който най-добре отговаря на вашите нужди.

Цените на платените версии започват от около 64 лева на година за единично

устройство за Adaware Pro Security и могат да достигнат до около 70 лева за Adaware
Total Security, която включва и други функции като VPN и фаеруол.

38
Kaspersky Antivirus

Kaspersky Antivirus е софтуер за защита на компютърни системи от вируси,

троянски коне, шпионски софтуер, хакерски атаки и други видове злонамерени
програми. Създаден е от руската компания Kaspersky Lab и е един от най-известните
антивирусни продукти на пазара.

Използва напреднали технологии за откриване и премахване на зловреден

софтуер, включително сигнатурно сканиране, евристичен анализ и облачна защита.
Софтуерът има и функции за предотвратяване на изтичане на данни, блокиране на
нежелани съобщения и управление на устройствата за защита на децата.

Той е наличен за Windows, Mac и мобилни устройства и предлага различни

планове за защита, включително базов, стандартен и разширен план. Потребителите
могат да закупят единични лицензи или да се абонират за годишен план, който включва
автоматични ъпдейти и поддръжка.

Въпреки че Kaspersky Antivirus е един от най-ефективните продукти за защита

на компютърни системи, има и критици, които се оплакват от неговия софтуер за
подслушване и за свързване с руските специални служби. Kaspersky Lab обаче
постоянно отрича тези обвинения и твърди, че е ангажирана със защитата на личните
данни и поверителността на потребителите си.

Цените на платените версии започват от около 50 лева на година за Kaspersky

Anti-Virus и могат да достигнат до около 130 лева за Kaspersky Total Security, която
включва множество функции като паролен мениджър, VPN, антиспам и други.

McAfee AntiVirus

McAfee AntiVirus е софтуер за компютърна защита, който предлага защита

срещу вируси, троянски коне, шпионски софтуер, хакерски атаки и други видове
злонамерени програми. Създаден е от McAfee, Inc., американска компания, която е част
от Intel Security Group.

39
 Софтуерът използва технологии за превенция и откриване на зловреден
софтуер, включително сигнатурно сканиране, евристичен анализ и поведенчески
анализ. McAfee AntiVirus Plus има и функции за предотвратяване на изтичане на данни,
блокиране на нежелани съобщения и управление на устройствата за защита на децата.
Софтуерът е съвместим с Windows, Mac, Android и iOS устройства и предлага различни
планове за защита, включително базов, стандартен и разширен план. Потребителите
могат да закупят единични лицензи или да се абонират за годишен план, който включва
автоматични ъпдейти и поддръжка.

McAfee AntiVirus Plus има също и функция за ускоряване на работата на

компютъра и оптимизиране на хранилището на данни. Софтуерът също така има и
функции за защита на идентичността на потребителя, като предотвратява измамнически
уебсайтове и проследяване на онлайн дейността. McAfee AntiVirus Plus е един от
водещите продукти на пазара за компютърна защита, но като всички антивирусни
програми, не е напълно ефективен срещу всички видове злонамерени програми. Също
така, някои потребители могат да се оплакват от неговото влияние върху
производителността на компютъра.

Цените на платените версии започват от около 60 лева на година за McAfee

Antivirus Plus и могат да достигнат до около 180 лева за McAfee Total Protection, която
включва функции като паролен мениджър, VPN и др.

Avast antivirus

Той е създаден от чешката компания AVAST Software и е един от най-

използваните антивирусни продукти в света. Използва няколко слоя защита,
включително антивирусен скенер, за да проверява файлове за зловреден софтуер, и
защита от фишинг атаки, за да предпазва потребителите от уеб сайтове, които се
опитват да крадат лична информация. Софтуерът може да бъде изтеглен и инсталиран
от интернет, а след това да бъде настроен да сканира компютъра на потребителя
редовно. Аваст предлага и други продукти, като VPN и сигурна браузърна програма, за
да допълни защитата на потребителите.

40
 Цените на платените версии започват от около 80 лева на година за Avast
Premium Security и могат да достигнат до около 140 лева за Avast Ultimate, която
включва и други функции като VPN и система за оптимизиране на компютъра.

Интерфейс на антивирусна програма

Фиг. 7

На фигура 7 наблюдаваме как изглежда интерфейсът на антивирусната

програма Malwarebytes. Има 3 полета с информация. На първото е история на
забелязаните вредни файлове от изтеглянето на програмата досега. Второто е активен
скенер, който сканира системата за файлове, които застрашават системата, съответно ги
карантинира и уведомява потребителя. В третото поле има няколко функции, които
могат да седят включени или изключени, те са: Защита в мрежата, Защита против
вируси, Защита против вируси искащи откуп (крипто вируси) и защита от експлоатация
на слабите точки на системата.

41
 Повечето антивирусни програми имат подобен интерфейс със същите
функции. Разбира се някои предлагат повече такива, като VPN, Ad-blocker и т.н.

Заключение

Описаните в дипломната работа вируси стават все по-сложни и

усъвършенствани с времето, затова е от решаващо значение да се предприемат активни
мерки за защита от тях. Като цяло, се подчертава важността на редовните актуализации
на софтуера, използването на силни и уникални пароли, както и резервните копия за
намаляване на риска от заразяване с вируси. Следствията от инфекции с вируси могат
да бъдат сериозни, включително финансови загуби, нарушаване на данни и увреждане
на репутацията, което подчертава важността на реализацията на здрави
киберсигурностни мерки. Антивирусният софтуер, защитните стени и системите за
откриване на навлизания са важни инструменти за разпознаване и блокиране на
вирусни атаки. Образоването на потребителите за безопасни практики при използване
на компютри, като например бдителност при отваряне на приложения, изпращане на
електронни писма и кликване на линкове, може значително да намали риска от
заразяване с вируси. Битката с компютърните вируси продължава и е от съществено
значение потребителят да се остане бдителен и да се адаптира към постоянно
променящите се заплахи в цифровата среда.

42
 Използвана литература

1. Карабойчев, К. (2019, December 21). Какво е вирус. kaldata.com.

https://www.kaldata.com/%D1%80%D0%B5%D0%B2%D1%8E
%D1%82%D0%B0/%D1%81%D0%BE
%D1%84%D1%82%D1%83%D0%B5%D1%80%D0%BD%D0%B8-
%D1%80%D0%B5%D0%B2%D1%8E
%D1%82%D0%B0/%D1%81%D0%B8%D0%B3%D1%83%D1%80%D0%BD%D0%BE
%D1%81%D1%82/%D0%BA%D0%B0%D0%BA%D0%B2%D0%BE-%D0%B5-
%D0%B2%D0%B8%D1%80%D1%83%D1%81-115.html
2. Какво е вирус на обувния сектор? - определение от техопедия -
Сигурност 2023. (2023). Icy Science. https://bg.theastrologypage.com/boot-sector-virus
3. Какво представлява полиморфен вирус? Обяснение и предотвратяване -
Съвети 2023. Begin IT. https://bg.begin-it.com/4362-polymorphic-virus
4. Contributors to Wikimedia projects. (2022). Рансъмуер. bg.wikipedia.org.
https://bg.wikipedia.org/wiki/%D0%A0%D0%B0%D0%BD%D1%81%D1%8A%D0%BC
%D1%83%D0%B5%D1%80\
5. Какво е рансъмуер и как да го премахнем? (2016, August 18).
https://virusi.bg/%D1%80%D0%B0%D0%BD%D1%81%D1%8A%D0%BC
%D1%83%D0%B5%D1%80/
6. Какво е CryptoLocker и има ли почва у нас? (n.d.). http://commtech
bg.com/%D0%B1%D0%BB%D0%BE%D0%B3/CryptoLocker
7. Doe, J. (2023). Какво е макро вирус? Как да активирате или
деактивирате макроси в Office? Безопасност. https://bg.prankmike.com/what-is-macro-
virus-how-enable
8. TechTarget. (2023, April 18). TechTarget. https://techtarget.com/
9. Wikipedia contributors. (2023). ILOVEYOU. Wikipedia.
https://en.wikipedia.org/wiki/ILOVEYOU#Creation

43
10. Storm Worm – Malware Information, Detection and Removal. The Plug -
HelloTech - Turn to the Plug for Informative Tech News That You Can Use.
https://www.hellotech.com/blog/storm-worm-malware
11. Гламослия, К. (2020). Какво е троянски кон и как да се предпазите от
него. SafetyDetectives. https://bg.safetydetectives.com/blog/%D0%BA%D0%B0%D0%BA
%D0%B2%D0%BE-%D0%B5-%D1%82%D1%80%D0%BE%D1%8F%D0%BD
%D1%81%D0%BA%D0%B8-%D0%BA%D0%BE%D0%BD-%D0%B8-%D0%BA
%D0%B0%D0%BA-%D0%B4%D0%B0-%D1%81%D0%B5-%D0%BF
%D1%80%D0%B5%D0%B4%D0%BF%D0%B0%D0%B7/

Технически термини
1. Boot sector (Начален сектор): Първият сектор на всеки логически диск или дял. Той
съдържа информация за обема на диска и капацитета му, както и за приложението,
което зарежда и изпълнява операционната система.
2. Fishing (Фишинг): Злонамерен опит за придобиване на лична информация като
потребителско име, парола и детайли на кредитна карта, като извършителят приема
чужда самоличност при електронни комуникации.
3. Exploit (Експлойт): Код или поредица от команди, които се възползват от
грешка, бъг или уязвимост в компютърен софтуер или хардуер, като предизвикват в
тях нежелано или неочаквано поведение.
4. Rootkit (Рууткит): Набор от средства за получаване на пълни права на
администратор.
5. Keylogger (Кийлогър): Особен вид мауер, който следи какви бутони на
клавиатурата натискате.

44