Академия Step IT подготовила подборку известных вирусных программ — от сетевого червя, атаковавшего иранские ядерные заводы, до троллинга Code Red. Читайте, делитесь с друзьями и сохраняйте статью, чтобы не забыть самое важное из истории киберпреступлений.
CryptoLocker
Как часто вы заглядываете в спам? В 2013 году редко кто попадал в спам, и именно это использовали злоумышленники. На почту приходило обычное письмо. При его открытии запускался вирус CryptoLocker, который шифровал файлы на компьютере. Вот как выглядел один из документов после атаки вируса.
Данные невозможно было восстановить самостоятельно. Мошенники же предлагали заплатить 10 биткоинов за ключ, который расшифровывал заражённые файлы.
2016 год обновил правила игры — вклад в 300 долларов. Если его не внести в кошелек за 3 дня, информация с компьютера автоматически удаляется.
Конечно, после отправки денег ключи не поступали, и поврежденные файлы не восстанавливались.
Как лечили вирус? CryptoLocker легче и дешевле блокировать. Современные антивирусы удаляют программу еще до открытия, но не всегда. Поэтому не ленитесь и создавайте резервные копии важных данных на ПК.
Zeus Gameover
Этот вирус считается первым полноценным инструментом для взлома банковских систем и кражи данных с ПК пользователей.
Официальная версия от ФБР как вирус работал в Сети. Источник: https://www.fbi.gov/news/stories/gameover-zeus-botnet-disrupted
Хакеры распространяли вирус через email. Zeus заражал браузер и ждал, пока пользователь войдет в онлайн-банкинг. После этого он воровал данные кошельков и банковских карт и передавал их на хакерский сервер. Отследить его невозможно. Тем более что после дебюта в 2007 году появилось 5 вариаций ПО (Zeus Gameover — последняя). Совокупный ущерб от Zeus на 2016 год составил более полумиллиарда долларов.
Лечить Zeus — это всё равно что искать иглу в стоге сена. Он постоянно обновляется и обходит защиту антивирусов. Избавиться от вируса можно только переустановив систему без сохранения заражённых файлов.
PlugX
PlugX — это одна из разновидностей трояна. Он был найден в 2007 году при атаках на государственные учреждения. Последний раз вирус был замечен в 2022 году аналитиками «Касперского», исследовавшими работу хакеров из Пакистана.
Как работает вирус:
- PlugX вшивается в любое лицензионное приложение.
- Вы загружаете софт из Интернета или устанавливаете его через накопитель. После распаковки программы устанавливается официальная программа, а параллельно архив PlugX проникает в систему.
Кодовые имена для PlugX от антивирусов
Вирус ворует персональные данные и подключает ПК к ботнету — хакерской сети для передачи вредоносного ПО. Отследить его невозможно, так как цифровая подпись лицензии софта не даёт системам безопасности реагировать на вредоносный код.
Чтобы исключить заражение вредоносным ПО, просканируйте компьютер с помощью лицензионного антивируса.
Stuxnet
Под прикрытием правительств спецслужбы используют вредоносное программное обеспечение для кибервойны. Один из таких вирусов — Stuxnet.
Вирус не вредит компьютеру обычного пользователя. Но если это сеть ПК промышленного комплекса, то программное обеспечение обходит четыре степени защиты Windows и контролирует механизмы завода.
Как выглядит код Stuxnet в 2009 году.
Яркий пример работы Stuxnet — заражение 1368 из 5000 центрифуг на заводе по обогащению урана в Иране. После расследований создателя вируса не нашли.
В 2012 году активная фаза Stuxnet закончилась. Но по его шаблону создаются копии. Цель вредоносного программного обеспечения не изменилась — атака на промышленные объекты с слабой антивирусной защитой.
Mydoom
Вирус появился в 2004 году и работает до сих пор. Суммарный ущерб от программы составляет $30 миллиардов, частично были парализованы поисковые системы Google и Yahoo! А в 2015 году вирус сократил интернет-трафик на 10%.
Из 2% всех вредоносных писем почти 15% приходилось на вирус MyDoom. Данные исследования https://unit42.paloaltonetworks.com/mydoom-still-active-in-2019
А вот как изменилась статистика спустя 3 года:
MyDoom всё больше увлекал email-трафик, вытесняя слабый код. Письма от вируса часто маскируются под сообщения о неудачной доставке:
- Delivery failed
- Delivery reports about your e-mail
- Mail System Error - Возвратный Mail
- MESSAGE COULD NOT BE DELIVERED
- RETURNED MAIL: DATA FORMAT ERROR
- Возвращённый e-mail: see transcript for details
Червь MyDoom также использует кликбейты:
- Нажми меня ещё раз
- Привет
- привет
передай привет моему маленькому другу
Пример письма 2019 на почте с замаскированным MyDoom
Вирус будет работать, пока пользователи открывают подобные письма по рассылке. Их данные пойдут на серверы ботнета для рассылки на миллионы ПК.
Как бороться с ПО – обновить антивирус и просканировать систему.
Sasser и Netsky
Код этих вирусов схож. Более того, создатели Netsky утверждали, что спам-рассылка, ответственная за распространение этого ПО, была создана командой Sasser.
Sasser — это разновидность компьютерного червя, который поражает ПК с операционными системами Microsoft Windows XP и Windows 2000. Если на жестком диске присутствуют файлы: C:\WIN.LOG или C:\WIN2.LOG, или появляются сбои с ошибкой LSASS.EXE — это признаки наличия Sasser.
Червь, как и другие подобные программы, проникает в систему и похищает конфиденциальные данные пользователей. Netsky отличается только способом распространения — вирус передается через письма на email.
Яшан Свен (так зовут хакера) не получил серьезного наказания. Немецкая компания Securepoint приняла его на должность советника по кибербезопасности. Вот как: создал шпионский вирус, а теперь работает против шпионов!
CodeRed
Ещё один подвид сетевого червя, обнаруженный в 2001 году. Вирус был назван в честь газированного напитка, который пил программист Марк Майффрет, чтобы не уснуть в поисках CodeRed. Именно он и рассказал разработчикам об опасности вируса.
Задача червя — атаковать как можно больше ПК, заражая браузеры и операционные системы. При переходе на вкладки вирус выдавал пользователю системную ошибку или сообщение: "HELLO! Welcome to http://www.worm.com! Hacked By Chinese!".
После этого червь начинал DDoS-атаку на Белый дом со всех заражённых ПК. Однако разработчики нашли код до того, как он успел сработать, и парализовать серверы американского правительства не удалось.
Nimda
Название вируса — это слово "admin" наоборот (Nimda). Он распространялся по электронной почте в виде письма с случайным набором символов в теме письма и файлом "readme.exe".
Пользователь, открывая файл установки, заражал систему. Затем вирус атаковал системный диск и делал его общедоступным (выкладывал в сеть). При переходе на сайт с заражённым диском вирус автоматически заражал пользователя без необходимости установки файла.
ILOVEYOU
Вирус вошел в Книгу рекордов Гиннесса как самый разрушительный за 20 лет. Он работал через почтовые ящики Microsoft Outlook.
Пользователю поступало письмо с темой "ILoveYou" и файлом "LOVE-LETTER-FOR-YOU.TXT.vbs". Большинство пользователей не могли устоять перед кликбейтом, открывали письмо и заражали свой ПК. Затем вирус переписывал данные на компьютере и отправлял подобные письма всем контактам пользователя через Outlook.
Комментарий евангелиста компании Avast об атаке компьютерного вируса ILOVEYOU в 2000 году:
За несколько дней вредоносное программное обеспечение заразило более 50 миллионов компьютеров по всему миру.
Melissa
Этот вирус появился в 1999 году и поражал ПК через почтовые рассылки Outlook. В письме был прикреплён файл Word с вредоносным ПО, о котором пользователь не знал. Соответственно, он открывал файл для проверки.
Вирус Melissa поражал пакет Microsoft Word на ПК и рассылал аналогичные письма контактам пользователя через Outlook. Существенного вреда программа не наносила, но нагружала систему и замедляла работу компьютеров.
Хотите узнать больше о кибербезопасности?
Хотите работать в Avast или Malwarebytes? Создавать антивирусы такими, как их видите? Тогда приходите на специальный курс от Академии Step IT и научитесь мыслить быстрее вредоносного ПО.
