Самые страшные компьютерные вирусы

Chernobyl (1999)

Утро 26 апреля 1999 года для некоторых владельцев компьютеров оказалось совершенно нерадостным: при включении они увидели сообщение, что на диске нет операционной системы. Другим повезло меньше: они вообще не получали никаких сообщений, потому что материнская плата их компьютера перестала работать. Неизвестный вирус стер содержимое первых секторов жесткого диска и перезаписал нулями содержимое микросхемы BIOS, в которой хранятся настройки и программа начальной загрузки.

Вирус-убийца получил название «Чернобыль» (а также Win.CIH, а в Рунете стал известен как «Винчих») из-за совпадения «часа Х» с датой аварии на Чернобыльской АЭС. Его последствия также можно было назвать катастрофическими: по некоторым данным, от вредоноса пострадали несколько десятков миллионов компьютеров по всему миру (в 1999 году компьютеров было намного меньше, чем сегодня, так что это была очень внушительная цифра).

Срабатывание вируса-убийцы компьютеров совпало с датой чернобыльской катастрофы совершенно случайно. Автор вируса, тайваньский студент Чэнь Инхао, запустил свое творение в сеть университета 26 апреля 1998 года и установил отсрочку запуска вредоносной процедуры ровно на год. Он утверждал, что написал вирус в качестве доказательства неэффективности всех существующих антивирусных программ.

Можно сказать, что доказать это ему в полной мере удалось. Пока тикал таймер, «Чернобыль» с компьютеров университета, в котором учился Чэнь, перебрался за пределы Тайваня, заразил игровые серверы компании Ritual Entertainment, а весной 1999 года поселился на нескольких тысячах компьютеров, которые компания IBM отгрузила покупателям. Совокупный ущерб, нанесенный эпидемией «Чернобыля», оценивают в 1 млрд долларов США.

Осознав, что натворил, Чэнь Инхао публично извинился перед пострадавшими. Это было единственным наказанием для вирусописателя: по удивительному стечению обстоятельств, ни одна жертва «Чернобыля» не подала заявление в полицию Тайваня.

Одним из следствий пандемии «Чернобыля» стало появление в продаже материнских плат с двумя микросхемами BIOS. В случае выхода из строя одной из них вторая обеспечивала восстановление работоспособности материнской платы. Любопытно, что технология DualBIOS была анонсирована компанией Gigabyte Technology, в которой сейчас работает Чэнь Инхао.

Melissa (1999)

По странному совпадению эпидемия вируса Melissa тоже началась 26 числа и тоже привела к катастрофическим последствиям. Заражения начались 26 марта 1999 года. Вирус распространялся по электронной почте и в считаные часы заразил более миллиона компьютеров по всему миру, парализовав их работу.

Автор «Мелиссы», американец Дэвид Смит, был пионером в использовании электронной почты для распространения вируса — он рассылал его с помощью популярной в то время программы Outlook Express. Первые 50 контактов жертвы получали письмо с файлом LIST.DOC. Немного социнженерии — в теле письма было написано, что файл содержит пароли для доступа к 80 платным XXX-сайтам для взрослых, — и практически все получатели открывали вложение, запуская макрос с кодом вируса на Visual Basic.

Смит постарался на славу: он написал четыре разновидности Melissa, которые отличались по вредоносному воздействию, добавил в свое детище более 100 способов размножения и собственноручно разослал более 1000 экземпляров вируса. Благодаря этому Melissa продолжала распространяться и после ареста своего создателя. Вредонос продолжали обнаруживать даже через 10 лет после его появления.

Несмотря на то что ущерб от «Мелиссы» оценивают в 80 млн долларов США, наказание автор вируса получил довольно мягкое: 20 месяцев тюрьмы и штраф в 5 тыс. долларов США.

ILoveYou (2000)

Эпидемия вируса с романтическим названием ILoveYou началась в ночь с 4 на 5 мая 2000 года, когда с компьютера на Филиппинах было отправлено любовное письмо с вложенной программой на VBScript. Интересно, что вирус не представлял собой что-то выдающееся в техническом плане. Скорость распространения письма эксперты объясняют тем, что вектор воздействия был направлен на людей: всем было интересно узнать, что за любовное письмо им прислали, поэтому они не задумываясь открывали «послание».

Запущенный вирус создавал свои копии в системных папках и добавлял себя в автозапуск операционной системы. Затем он менял расширения всех аудио- и видеофайлов и записывал в файлы картинок и скриптов код вируса, уничтожая их содержимое. Затем вредонос скачивал и запускал шпионскую программу для кражи паролей, после чего устанавливал в систему дополнительные вирусные модули. Завершив вредоносную деятельность, червь рассылал сам себя по почте всем контактам из адресной книги жертвы.

Поскольку программа на VBScript представляет собой обычный текст, за четыре дня вирус трижды мутировал — нашлись программисты, которые доработали «любовное письмо», добавив новые вредоносные функции.

К 5 мая 2000 года ILoveYou заразил более 3 млн компьютеров по всему миру. Ущерб от «любовного послания» составил более 10 млрд долларов США, из-за чего какое-то время вирус упоминался на страницах «Книги рекордов Гиннесса» как самый разрушительный компьютерный вирус в мире.

Автор вируса Онель де Гусман пытался сдать в качестве дипломной работы вирус, который воровал пароли пользователей и рассылал их по электронной почте другим людям. У него не хватало денег на оплату интернета, так что он пытался решить свою проблему и помочь другим. Вредонос в качестве диплома у него не приняли, однако его кодом воспользовался однокурсник, влюбленный в девушку, с которой встречался де Гусман. Чтобы отомстить паре, он написал вредоносный скрипт, добавил в него код де Гусмана, а затем взломал почтовый ящик девушки и отправил Онелю письмо с вирусом от ее имени.

Nimda (2001)

С вирусом Nimda мир познакомился в ночь с 18 на 19 сентября 2001 года. Довольно звучное название вируса представляет собой слово «admin», написанное наоборот. Он молниеносно распространился по интернету, заражая сайты под управлением веб-сервера Microsoft IIS и обычные пользовательские компьютеры. Заблокировать распространение вируса было крайне сложно, потому что он использовал много способов для внедрения в систему. Nimda распространялся через различные уязвимости в продуктах Microsoft. Например, он, подобно вирусу Code Red, внедрялся в сервер IIS через уязвимость в утилите индексирования файлов.

Также он распространялся по электронной почте. Жертва получала послание со случайной абракадаброй в теме и вложенным файлом «readme.exe». Это и был вирус. Пользователям старой версии Outlook Express было достаточно просто открыть письмо — из-за уязвимости в почтовом клиенте вложенный файл запускался автоматически.

При запуске Nimda располагалась в папке Windows\System32 и рассылала себя всем адресатам жертвы по почте. Параллельно шло заражение компьютеров в локальной сети — вирус открывал доступ к системном диску с установленной операционной системой Windows (обычно диск C:) на каждом зараженном компьютере.

«Нимду» можно было «подцепить», даже просто открыв размещенный на зараженном сервере сайт в необновленной версии браузера Internet Explorer.

Если на машине, куда проник Nimda, установлен Microsoft Internet Information Server (IIS), вирус берет над ним контроль и заменяет главную страницу сайта, а затем пытается распространиться дальше через известные уязвимости.

В отличие от других вредоносов, Nimda не удалял файлы, однако своим присутствием сильно тормозил работу зараженного компьютера и нагружал интернет-соединение.

По данным компании-разработчика антивирусного ПО Trend Micro, на пике активности в Европе вирус каждую секунду производил от 10 до 15 атак на системы защиты компании, что было абсолютным рекордом.

До сих пор так и не удалось узнать, кто автор вируса и для чего он его написал. По разным оценкам, ущерб от деятельности Nimda превысил 600 млн долларов США, а количество зараженных им компьютеров превысило 2,2 млн.

Sasser (2004)

Червь Sasser «появился на свет» в ночь с 30 апреля на 1 мая 2004 года. Для распространения ему не требовалось содействие людей. Он самостоятельно сканировал интернет в поисках уязвимых компьютеров, а как только находил — проникал на них и закреплялся в системе. Каждая копия вируса продолжала заниматься тем же, чем оригинал — размножаться. Выполнив эту задачу, Sasser просто выключал зараженный компьютер. Вирус добавлял себя в автозагрузку, поэтому при включении компьютера цикл сканирования интернета и распространения заразы с последующим выключением повторялся. Несохраненные файлы, обработка заданий приложениями? Нет, о таком Sasser не слышал.

Написал вирус 17-летний немецкий школьник Свен Яшан. В СМИ сообщалось, что сделал он это, пытаясь помочь своей матери, владевшей небольшой компанией по ремонту компьютеров. Однако немецкая прокуратура посчитала это выдумкой, настаивая, что главным мотивом хакера было желание прославиться.

В пользу версии с тщеславием говорит и то, что правоохранители поймали Яшана, когда тот похвастался сделанным друзьям: кто-то из них польстился на премию в размере 250 тыс. долларов США, которую Microsoft пообещала заплатить за информацию о создателе Sasser, и донес органам.

Такая солидная премия была объявлена потому, что всего за неделю с момента появления червь заразил более 18 млн компьютеров под управлением Windows.

Вот лишь часть проблем, которые создал Sasser:

• спутниковая связь информационного агентства Agence France-Presse (AFP) была заблокирована в течение нескольких часов из-за того, что Sasser постоянно выключал их серверы;

• авиакомпания Delta Air Lines была вынуждена отменить несколько трансатлантических рейсов, так как ее компьютерные системы были поражены червем — работать было невозможно из-за постоянных выключений и перезагрузок;

• скандинавская страховая компания If и ее финский владелец Sampo Bank полностью прекратили работу и были вынуждены закрыть 130 офисов в Финляндии;

• в рентгеновском отделении больницы Лундского университета (Швеция) на несколько часов были отключены все рентгеновские аппараты, экстренных пациентов пришлось перенаправлять в соседнюю больницу;

• Университет штата Миссури был вынужден отключить свою сеть от интернета;

• в Британской береговой охране на несколько часов была отключена служба электронной картографии.

По оценкам экспертов, нанесенный Sasser ущерб превышает 500 млн долларов США.

За создание Sasser Свена Яшана приговорили к 1 году и 9 месяцам лишения свободы условно с испытательным сроком 3 года, включая 30 часов общественных работ на время испытательного срока.

Conficker (2008)

Conficker — еще один вирус-червь, который распространялся через уязвимости в системных службах операционной системы Windows. По одной из версий, название вируса означает «насильник конфигураций» (configuration ficker). Возможно, поэтому многие зарубежные компании использовали более нейтральное название Downadup, а «Лаборатория Касперского» и вовсе дала червю совершенно невинное обозначение Kido.

После первых обнаружений в ноябре 2008 года «Конфикер» быстро распространился и к началу 2009 года заразил более 9 млн компьютеров. Все зараженные системы стали частью ботнета, которым мог управлять создатель вируса. Для этого Conficker периодически связывался с управляющим сервером, загружал оттуда вредоносную начинку и запускал ее.

Всего было выявлено пять модификаций Conficker. Их обозначали буквами от A до Е (Conficker.A и т. д.). С каждой новой версией вирус обзаводился дополнительными функциями: если Conficker.A умел распространяться только через уязвимость в службе Windows, то уже следующая версия «научилась» использовать файл автозапуска autorun.inf и подбирать пароли к соседним компьютерам в локальной сети.

Обычно вредоносные программы содержат в коде жестко заданный адрес или имя управляющего сервера. Благодаря этому достаточно проанализировать код экземпляра вируса, выявить этот адрес и заблокировать его, и после этого вирус не сможет работать. Однако автор Conficker знал о такой возможности и, чтобы не попасть под блокировку, не стал добавлять в код конкретный адрес. Вместо этого вирус сканировал весь интернет в поисках сервера управления, отправляя на каждый обнаруженный адрес специальный запрос, и, если сервер откликался нужным образом, загружал с него вредоносную начинку. Интересно, что перед запуском скачанного вредоноса выполнялась проверка электронной подписи. Это значит, что автор вируса принял меры, чтобы разработчики антивирусов не могли «подсунуть» вирусу свои серверы и заставить скачивать с них «вакцину», которая обезвредила бы вирус.

С технической точки зрения вирус был чрезвычайно сложным и «умным». В последних версиях был внедрен механизм обновления по технологии точка-точка (Peer-to-Peer), который не требовал наличия управляющего сервера. Для этого вредоносную программу, превращавшую компьютер в участника ботнета, доработали таким образом, что она могла выполнять роль как клиента, исполняющего команды, так и сервера управления, рассылающего команды всем, до кого получилось дотянуться.

А чтобы системные администраторы не замечали присутствия вредоноса в системе, сканирование и распространение выполнялось в «щадящем» режиме, соответствующем ширине канала в интернет.

После заражения вирусом сотни тысяч компьютеров превратились в «зомби» и стали подчиняться хакеру. Он использовал свою власть над ними для блокировки работы сайтов, рассылки спама и других вредоносных действий

За 2,5 года с момента появления Conficker был обнаружен более 220 млн раз. Частота обнаружения по сравнению с 2009 годом выросла более чем на 225%. Интересно, что только 8% заражений произошли через уязвимости, а остальные 92% инцидентов стали результатом того, что жертвы использовали слишком слабые пароли.

По данным исследований Института кибербезопасности (Cyber Secure Institute), экономический ущерб от червя Conficker составил не менее 9,1 млрд долларов США.

Stuxnet (2010)

В конце сентября 2010 года СМИ сообщили, что иранская ядерная программа оказалась под угрозой срыва из-за вируса Stuxnet, который уничтожил 1368 из 5000 центрифуг на заводе по обогащению урана в Натанзе и нарушил ввод в эксплуатацию Бушерской АЭС.

Причиной катастрофы стал человеческий фактор: сотрудник Siemens вставил зараженную флешку в один из управляющих компьютеров на ядерном объекте, обеспечив попадание вируса в физически изолированную от интернета сеть.

Расследование показало, что вирус представляет собой уникальную по сложности разработку, которую невозможно создать усилиями группы энтузиастов. По оценкам экспертов, разработку Stuxnet выполняли не менее 10 профессионалов высочайшей квалификации в течение полугода, а стоимость такой разработки — более 3 млн долларов США.

Stuxnet атакует только системы SCADA WinCC. Внедрившись на компьютер с WinCC, он заходит в систему, используя стандартные учетные записи. В этом ему помогает официальная рекомендация разработчика WinCC Siemens: компания настоятельно не рекомендует менять стандартные пароли на своих системах, так как это может повлиять на работоспособность. Таким образом, используя стандартные пароли, Stuxnet с гарантией проникает куда угодно.

Захватив компьютер WinCC, червь ищет в сети другие компьютеры и заражает их через уязвимость в службе печати Windows. После этого начинается самое важное и опасное: червь начинает менять программу в программируемых контроллерах Siemens Simatic. Эти контроллеры управляют вспомогательным технологическим оборудованием объектов критической инфраструктуры.

Находясь в системе, Stuxnet изучает режимы работы оборудования, после чего начинает их изменять. Если, например, повысить максимально допустимую температуру какого-то агрегата, он продолжит работу, несмотря на перегрев, пока не выйдет из строя. А оператор не заметит ничего необычного, поскольку Stuxnet в реальном времени подменит значения температуры на нормальные.

Если такое произойдет на газокомпрессорной станции, перегрев оборудования может привести не только к остановке работы, но и к взрыву. В случае с иранскими центрифугами обогащения урана, которые управлялись контроллерами Siemens, червь начал постепенно менять частоту вращения, заставляя центрифуги работать в критическом режиме. Центрифуги резко разгонялись, а затем резко тормозили. Это продолжалось в течение нескольких месяцев, пока они не начали массово выходить из строя.

Но не стоит думать, что Stuxnet представляет опасность только для ядерных центрифуг. Он может совершать вредоносные действия на любом оборудовании Siemens, использующем программируемые контроллеры Simatic. Например, до недавнего времени такие контроллеры использовались в электропоездах «Ласточка», также известных как Siemens Desiro Rus.

WannaCry (2017)

Червь-шифровальщик WannaCry заставил плакать весь мир 12 мая 2017 года — компьютеры, на которые проник шифровальщик, показали своему оператору пугающее сообщение:

Все документы на компьютере к этому времени были зашифрованы. Вместо оригинальных файлов жертва видела что-то типа ИмяФайла.doc.wnry. Картинка на рабочем столе также менялась на случай, если испуганный владелец компьютера закроет окно, не прочитав послание от преступника:

Чтобы вернуть доступ к документам, требовалось заплатить 300 долларов в криптовалюте, причем вскоре вымогатели удвоили эту сумму.

WannaCry распространялся очень быстро. Всего за день он заразил сотни тысяч Windows-компьютеров в разных странах, заблокировал работу множества организаций, среди которых были больницы, операторы сотовой связи, банки, предприятия. К примеру, даже такой гигант, как тайваньский производитель микросхем TSMC был вынужден остановить производство. Остановка такого предприятия даже на час приводит к огромным убыткам и отзывается во всем мире.

Скорость распространения WannaCry обеспечивалась очередной уязвимостью в операционной системе Windows. Оказалось, что один из старых сетевых протоколов, который продолжает работать для совместимости, позволяет выполнить произвольный код при получении специально составленного сетевого пакета. Это и использовал автор вируса, чтобы быстро внедряться в уязвимые компьютеры, заразив за день более 200 тысяч.

К счастью, в этот же день Маркус Хатчинс, хакер, известный под псевдонимом MalwareTech, проанализировал код вируса и выяснил, что вирус проверяет наличие домена с именем в виде бессмысленного набора символов и, если он есть, только заражает компьютер, но не шифрует данные.

Маркус немедленно зарегистрировал домен с таким именем, остановив эпидемию. Благодаря этому ущерб от WannaCry оказался не таким значительным, каким мог бы быть с учетом скорости его распространения. Однако даже так ущерб от него оценивают в 4 млрд долларов США.

Petya (2017)

Мир только-только успел порадоваться, что легко отделался от WannaCry, как началась новая эпидемия. 27 июня 2017 года был зафиксирован опаснейший вирус со забавным названием Petya, также известный как NotPetya. С первого взгляда казалось, что это очередной шифровальщик-вымогатель — он делал вид, что шифрует диск и, как и WannaCry, требовал 300 долларов США в биткоинах за расшифровку.

Некоторые доверчивые жертвы бросились покупать крипту и перечислять ее на кошелек вымогателя, но сделали это напрасно. У автора «Пети» оказалось довольно своеобразное чувство юмора: вирус не шифровал данные, а просто уничтожал их.

Распространение вируса началось с Украины. Нулевым пациентом стали файлы автоматического обновления популярной бухгалтерской программы M.E.doc. Компании, использовавшие эту программу, установили «обновление» и лишились своих данных. Среди атакованных украинских организаций оказались «Запорожьеоблэнерго», «Днепроэнерго», Киевский метрополитен, украинские мобильные операторы «Киевстар», LifeCell и «Укртелеком», магазин «Ашан», «Приватбанк», киевский аэропорт «Борисполь» и другие.

Еще одним способом распространения Petya/NotPetya была фишинговая рассылка. Отделы кадров компаний получали замаскированный под резюме файл вируса. Сотрудники открывали его и запускали вредонос в систему.

Petya атаковал компании по всему миру. Пострадали даже крупные международные корпорации — Merck, Maersk, TNT Express, Saint-Gobain, Mondelez, Reckitt Benckiser. В России «Петя» нарушил работу «Роснефти», «Башнефти», «МегаФона» и нескольких банков.

Вот как описывает атаку «Пети» один из работников датской судоходной и логистической компании Maersk:

Фишинг и «обновление» были только началом. Дальше Petya «врубал гипердвигатель» — распространялся с помощью «боевого» набора эксплойтов EternalBlue, разработанного АНБ США для быстрого «вскрытия» компьютерных систем потенциального противника. Конечно, АНБ не планировала делиться своим кибероружием с хакерами, однако из-за ошибки сотрудника оно попало в открытый доступ, чем и воспользовались создатели Petya/NotPetya.

Используя эти отмычки, Petya проникал на компьютеры, находящиеся в одной сети с зараженным, и там с помощью еще одной хакерской утилиты — Mimikatz — собирал логины и пароли для дальнейшего распространения.

Вот некоторые суммы ущерба, о которых сообщают пострадавшие от «Пети» компании (эксперты считают, что эти суммы занижены):

В США потери от эпидемии Petya оценили в 10 млрд долларов.

Любопытный факт: у «Пети» тоже обнаружился «рубильник» для отключения — если вирус обнаруживает на компьютере-жертве файл WINDOWS\perfc, вредоносные действия выполняться не будут. Это не системный файл — возможно, вирус сам его создавал после шифрования, чтобы второй раз не шифровать ту же систему.

Как избежать заражения

Вредоносное ПО с каждым годом становится всё более и более сложным. Процедуры заражения проходят в несколько этапов, часто разнесенных во времени. Иногда всё это не требует участия человека, а иногда заражение невозможно без содействия жертвы.

Антивирусные компании и разработчики операционных систем совершенствуют защитные механизмы, однако хакеры находят всё новые и новые способы их обхода, главными из которых уже многие годы остаются:

• манипуляция людьми — используя особенности человеческой психики и социальную инженерию, атакующие «упаковывают» вредоносную начинку в настолько привлекательную обертку, что жертвы с удовольствием разворачивают ее;

• эксплуатация уязвимостей — ошибок в ПО становится меньше, однако те, что продолжают обнаруживаться, оказываются весьма опасными.

Таким образом, для защиты от эпидемий следует придерживаться простых правил кибергигиены:

1. Не открывайте вложения и не переходите по ссылкам из подозрительных писем и сообщений в соцсетях и мессенджерах.

2. Получив необычное письмо от коллеги, с которым вы не знакомы, перезвоните и уточните, действительно ли он отправлял его вам.

3. Устанавливайте все обновления программ и операционной системы на своих устройствах. Если вы работаете в компании, уточните вопрос с актуальностью обновлений в отделе ИТ.

4. Делайте резервные копии важных файлов и храните их отдельно. Тогда в случае атаки шифровальщика или вайпера вы сможете быстро восстановить свои данные.

Разумеется, эти простые советы не панацея, особенно в случае обнаружения новых уязвимостей, для которых не выпустили обновлений безопасности. Однако систематическое их выполнение значительно увеличит ваши шансы остаться в стороне от новой заразы и сохранить свои данные, нервы и финансы.

А антивирусное ПО сделает защиту ваших данных более надежной: