МОСКВА, 19 авг – ПРАЙМ. Обнаружить факт наличия клавиатурного шпиона, или keylogger, можно либо путем сканирования компьютера антивирусным ПО, либо с помощью встроенной системы-анализатора, рассказал агентству "Прайм" руководитель Центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании "Инфосистемы Джет" Алексей Мальнев. По его словам, наличие такого шпиона — очень плохой знак для пользователя.
"Обнаружить факт наличия клавиатурного шпиона можно либо путем сканирования ПК антивирусным ПО, либо с помощью встроенной системы класса EDR (Endpoint Detection and Response), которая внимательно анализирует поведение процессов и их работу с памятью в рамках операционной системы", — рассказал он.
В случае с корпоративными устройствами поможет система инспекции трафика, которая может обнаружить соединение по подозрительному протоколу или к подозрительному серверу в интернете. Наличие в организации центра мониторинга инцидентов может способствовать обнаружению уже целой кибероперации злоумышленников на ее инфраструктуру — так называемых таргетированных атак.
По словам эксперта, наличие keylogger можно считать симптомом полного взлома компьютера пользователя, и это весьма плохая новость для пользователя. Дело в том, что современное вредоносное программное обеспечение чаще всего использует keylogger как один из множества модулей.
"Наряду с фактом нарушения конфиденциальности вводимой на клавиатуре информации у вас с большой вероятностью уже имеется целый набор других потенциальных проблем: кража конфиденциальных файлов с жесткого диска, перехват данных учетных записей, скрытая аудио- и видеозапись (при наличии микрофона и видеокамеры), потенциальное уничтожение данных (если присутствует вредоносный модуль шифрования Ransomware), полный удаленный доступ злоумышленника", — рассказал он.
Лучшее поведение при подобных сценариях – немедленно отключить компьютер от локальной сети и интернета. Далее, не перезагружая ПК, необходимо передать его специалистам по киберкриминалистике. Важнее бывает не излечить зараженный компьютер, а понять, каким образом он был атакован и с чем столкнулся пользователь: отдельной случайной оплошностью или организованной таргетированной угрозой, заключил Мальнев.