Люди порой допускают ошибки, но если ошибка закралась в очередное обновление для антивирусного ПО, последствия могут быть чудовищными. Вчера, 25 апреля 2017 года, пользователи антивируса Webroot могли убедиться в этом лично, когда защитное решение неожиданно принялось методично выводить из строя их операционные системы.
Вчера, между 18:00 и 21:00 UTC антивирус Webroot для Windows объявил войну системным файлам ОС. Обычно антивирусы попросту игнорируют такие файлы, ведь они являются краеугольным камнем работы ОС, но Webroot сообщил, что системные файлы содержат малварь W32.Trojan.Gen.
Like many IT admins today, I am dealing with a headache caused by @Webroot's signature update. I feel for their tier 1 support staff.
— Eric K. ☮ (@ericemoji) April 24, 2017
@Webroot @WebrootSupport This false positive issue is driving me insane. As an MSP, a true nightmare. No quarantine restores work. HELP!
— Limbaughnomicon (@Limbaughnomicon) April 25, 2017
Если бы все обошлось одними только ложноположительными срабатываниями, вряд ли эта проблема удостоилась бы такого внимания. Но Webroot не просто сообщил, что обнаружил малварь, он принялся перемещать системные файлы, подписанные Microsoft, в карантин и удалять их. Разумеется, после этого компьютеры пользователей начали демонстрировать всевозможные ошибки или просто перестали работать. Стоит отметить, что решениями Webroot пользуются около 30 миллионов пользователей, а проблема представляла опасность для всех версий Windows.
@Webroot I seem to have installed a nasty Ransomware app. It's called Webroot. They already have my money, should I contact the FBI?
— Bob Ripley (@M5_Driver) April 24, 2017
Кроме того, пользователи, чьи компьютеры антивирус искалечил не до конца, заметили, что Webroot также решил объявить вредоносными множество крупных сайтов, к примеру, Facebook и Bloomberg друг стали фишинговыми ресурсами, по мнению антивируса. Twitter эта «блокировка» не коснулась, поэтому множество пользователей жаловались на сошедший с ума антивирус именно со страниц своих микроблогов. Кстати, сотрудники Webroot поначалу отвечали пострадавшим, рекомендуя ничего не понимающим пользователям ознакомиться с презентацией о работе шифровальщиков.
@Webroot You guys REALLY think Facebook falls under the "Phishing And Other Frauds" category? pic.twitter.com/oHI0AUBDjy
— Andrew Shubert (@ashubert) April 25, 2017
I feel like I'm beating a dead horse, but why is @Webroot saying Facebook is a phishing site?
— Nick Herman (@nrherman) April 25, 2017
В конечном счете, разработчики Webroot, конечно, поняли, что допустили ошибку и выпустили экстренное исправление. Однако к этому моменту тысячи пользователей уже пострадали от действий антивируса, и половина их системных файлов уже была заперта в карантине. Компания извинилась перед пользователями и опубликовала подробную инструкцию по восстановлению системных файлов. Однако гайд предназначен только для пользователей домашней версии антивируса, с бизнес-версией все оказалось сложнее: там потребуется более комплексное исправление.
Напомню, что Webroot провоцирует серьезные проблемы не в первый раз. Так, в феврале 2017 года обновление антивируса привело к тому, что многие пользователи Windows-систем столкнулись с синим экраном смерти (BSOD) и ошибкой 0x50: PAGE_FAULT_IN_NONPAGED_AREA. Чтобы избавиться от BSOD и вернуться к нормальной работе, пострадавшим приходилось отключать защиту окружными путями.
