Опасность на $95 миллиардов: ноутбук с самыми вредными вирусами

Есть такая работа — быть странным художником, делать странные вещи и эпатировать публику. Кто-то создает серию из 32 картин с банкой супа Кэмпбел (привет Энди Уорнхол), кто-то продает собственный кал по цене золотых слитков (мое почтение Пьеро Мандзони), кто-то создает протестное искусство скрывая свою личность (хэллов, Бэнкси), ну а кто-то… кто-то пытается продать самый опасный ноутбук на планете.

 

Впрочем не совсем кто-то, а художник Гуо О Донг из Китая. Этот талантливый на выдумку азиат организовал аукцион, на котором продает свою работу «Persistence of Chaos» («Постоянство хаоса»). Работа представляет из себя самый обыкновенный ноутбук от компании Samsung, который всего лишь заражённый шестью самыми ужасными компьютерными вирусами.

 

Ноутбук заражен вирусами WannaCry, ILOVEYOU, MyDoom, SoBig, DarkTequila и BlackEnergy. Общий экономический ущерб, нанесённый этими вирусами, художник оценил в $95 миллиардов долларов! Но так ли страшен черт?

WannaCry

WannaCry (с англ. ХочетсяПлакать) — компьютерный вирус-вымогатель денег, который обосновался на компьютерах под управлением Windows. Суть его работы проста до безобразия: после того как ты, мой дорогой любитель скачивать всякую хрень непонятно откуда, получаешь себе этого чудного друга, он шифрует почти все хранящиеся на компьютере файлы и предлагает тебе заплатить денежный выкуп в криптовалюте за их расшифровку. Не хочешь платить? Вирус клятвенно обещает тебе через 7 дней стереть все твои файлы раз и навсегда. Грусть и боль.

 

Казалось бы, очередной вирус-вымогатель, что в нем такого? В сети таких пруд пруди! Да только соль в том, что вирус этот заражал не только твой любимый ПеКа, но и эти самые ПК банков, аэропортов и прочих важных организаций. И если ты мог себе позволить на недьку отдохнуть от компьютера, либо ради детского желания посмотреть «а чё будет если», рискуя потерять свою коллекцию порнушки и фоточек с пляжа в Турции, либо из банальной жадности, то многие жизненно важные учреждения — не могли. Вирус банально парализовывал работу аэропортов, больниц, банков и прочих важных мест из-за которых те несли огромнейшие убытки: банки не могли совершать операции с денежными средствами, больницы — реагировать на вызовы, аэропорты — сажать самолеты и т.д.!

 

По оценкам специалистов вирус заразил более 300 тысяч компьютеров в 150 странах и нанес ущерба в $1 миллиард долларов.

 

Что символично, действия создателей вируса WannaCry осудили… хакеры! Да, представители различных хакерских групп осудили действия создателей вирусов, поскольку вирус затронул в том числе и медицинские учреждения, а значит не просто вымогал деньги, а ставил под угрозу здоровье и жизни людей. Подобное попросту недопустимо и граничит с терроризмом: одно дело вымогать деньги, другое — косвенно быть убийцей.

ILOVEYOU

ILOVEYOU, также известный как LoveLetter — один из самых известных, старых и банальных вирусов. Работает на компьютерах под управлением Windows через клиент Microsoft Outlook.

 

Дело было в далеком-далеком 2000 году. В ночь с 4 мая на 5 мая 2000 года с Филиппин было разослано простенькое письмо с непростым содержимым: нашим червем. На сегодняшний день такой вирус покажется вам ловушкой для идиота в духе Нигерийских принцев и почивших дядюшек в Швейцарии (впрочем, даже сегодня люди ведутся на это так что…), но сделаем скидку на то, что на дворе был 2000 год, а компьютерная безопасность была где-то на дне Марианской впадины.

 

Так вот, ты, мой дорогой наивный товарищ, получал письмо с темой «ILoveYou» и файлом «LOVE-LETTER-FOR-YOU.TXT.vbs». Вдохновленный признанием в любви и еще пока не знающий что нельзя тыкать на неизвестные файлы открываешь его и…. всё. Почтовый клиент и сам компьютер заражены вирусом-спамером.

 

Суть вируса так же проста как три копейки, но гениальна при этом. Для начала, сам файл «LOVE-LETTER-FOR-YOU.TXT.vbs» выглядел для пользователя как простой текстовый файл с расширением «.txt«, только вот на самом деле был вредоносным скриптом. Пользователь думал что это безвредный текстовый файл и открывал его, а программная среда воспринимала его как скрипт и начинала выполнять его.

 

Дальше действия пользователя уже ни на что не влияли: вирус делал вид что он крутой парень, начинал спамить самим собой по всем контактам в адресной книге Microsoft Outlook, параллельно перезаписывал файлы с важными данными и пароли, и укоренялся в системном каталоге через IRC-каналы создавая файл «LOVE-LETTER-FOR-YOU.HTM». В общем и целом развлекался как мог. По всей видимости это был первый вирус основанный на принципах социального взаимодействия, ведь он не только рассылался от имени кого-то знакомого, но и содержал заманчивое признание в любви что так и побуждало открыть его. Вскоре появились десятки клонов вируса, вплоть до аналогичного вируса но с названием «Антивирус от ILOVEYOU»!

 

По оценкам экспертов, вирус поразил более 3 миллионов компьютеров и нанес ущерба на $10 миллиардов долларов, за что вошёл в Книгу рекордов Гиннесса, как самый разрушительный компьютерный вирус в мире.

 

Впрочем, есть у него и две положительные черты: во-первых, компании начали уделять больше внимания кибербезопасности, во-вторых, рядовые юзеры раз и навсегда (нуууу, почти) выучили урок что нельзя открывать письма с непонятным содержимым даже от знакомых, а от незнакомых так и подавно.

MyDoom

MyDoom (известен также как Novarg) — это такой же почтовый гаденыш как и ILOVEYOU, но много, много хуже. Был актуален для платформ Microsoft Windows и Windows NT.

Этот мерзотник был впервые замечен в Феврале 2004 года  и распространялся он по электронной почте и через файлообменник Kazaa. Как только вы получали на свой компьютер этого монстра то сперва могли лицезреть текстовую строку «sync-1.01; andy; I’m just doing my job, nothing personal, sorry» (Я просто делаю свою работу, ничего личного, прости), а после… а после вы лицезрели инферно.

 

При заражении компьютера Mydoom переделывал операционную систему, блокировал доступ к антивирусам, новостным лентам и разделам сайта компании Microsoft, ну и по классике начинал рассылку по почтовым адресам имеющихся на компьютере. И делал он это гораздо хитрее чем ILOVEYOU, пытаясь подделать адреса серверов SMTP. После чего загружал из сети пакет вирусных программы, замедлял скорость интернета где-то 10% и  увеличивал время загрузки страниц на ужасающие 50%. И это для 2004 года когда скорость и так была как у камня! Уже спустя несколько часов после начала активности вируса, он был на слуху (а местами и на компах) у всех и каждого…

 

Но оценке экспертов вирус заразил более 2 миллионов компьютеров и нанес ущерба в огромнейшие $38 миллиардов долларов! Дошло даже до того, что компания SCO Group обвинила в создании червя сторонников операционной системы GNU/Linux и объявила награду в 250 тысяч долларов за голову создателей MyDoom.

SoBig

SoBig — так же почтовый гаденыш, но уже совмещающий в себе не только почтовый червь, но и троянского коня, т.е. вирус маскирующийся под обычный файл или программу.

 

SoBig это так же одна из самых эпохальных эпидемий в истории интернета, возникший где-то между ILOVEYOU и MyDoom т.е. примерно в 2003 году. Как юн тогда был интернет, целое поле развлечений с вирусами. SoBig по праву считается одним из самых «быстрых» почтовых вирусов в истории: если обычно вирус генерирует от нескольких тысяч, до десятков и сотен тысяч в день, то SoBig генерировал по несколько миллионов вредоносных писем в день.

 

Так, компания MessageLabs, специализирующаяся на фильтрации электронной почты, перехватывала свыше миллиона сообщений, несущих в себе этот вирус, а их конкурент Postini — до сутки 2,6 млн зараженных писем. Т.е. вирус генерировал свыше 3,5 миллионов писем в день которые были отловлены этими компаниями. При этом, по словам вице-президента Postini Скотт Петри, обычно компания отлавливала около 500 тысяч разнообразных вирусов в сутки, а в случае с SoBig их было в 3-4 раза больше. А совокупно, по различным подсчетам, вирус мог генерировать несколько миллионов писем в сутки!

 

Иными словами, вирус чудовищно нагружал почтовые сервисы, замедляя, а местами и попросту парализовывая их работу. В Вашингтоне отправка электронной почты и обмен данными в течение некоторого времени были вообще невозможны, а Air Canada из-за SoBig вынуждена была отменить некоторые рейсы.

 

При этом, сам вирус был вирусом на дурака: получая письмо с ним, вирус не сразу заражал компьютер, а терпеливо ждал когда пользователь сам откроет файл с вирусом. Иными словами, пользователи которые сами пренебрегали безопасностью своих компьютеров, сами же и виноваты в его распространении.

 

Выглядело все это так: ты получаешь письмо с темой «тот фильм», «важное», «правки» и подобное, сообщением «подробности во вложении» и самим вложением вида «name.pif».

В случае, если ты, мой неосторожны пользователь, запускаешь вложенный файл, вирус копирует себя в каталог Windows под именем winppr32.exe и регистрирует этот файл в системном реестре, тем самым позволяя себе запускать вредоносный код после перезагрузки системы. После чего вирус сканирует все файлы с расширениями .txt, .eml, .html, .htm, .dbx, .wab, .mht, .hlp. с целью отыскать там адреса электронной почты и продолжить своё торжественное шествие.

 

Как только червь находит нужные ему данные то с помощью встроенного smtp-сервера рассылает сообщения по обнаруженным адресам. Поле отправителя сообщения нагло и бессовестно подделывается — в него может быть подставлен один из обнаруженных электронных адресов, либо адрес admin@internet.com. Ну и вишенкой на этом торте становится то, что вирус сканирует все доступные папки как на локальных дисках, так и в локальной сети, копирует в них себя со случайным именем и расширением .exe что позволяет ему заражать компьютеры дальше.

 

Но не так страшен черт, ведь по заверениям специалистов, вирус относительно безвреден, т.е. не несет деструктивных функций, стремящихся уничтожить файлы зараженного устройства или как-то помешать нормальной работе компьютера. Однако, SoBig посылает UDP-пакеты на определенные IP-адреса на порт 8998 и ждет команд из сети. По полученной таким образом ссылке, червь может скачать файл и запустить его на выполнение, что открывает возможности для деструктивных действий.

 

По подсчетам наших любимых экспертов SoBig так же заразил более 2 миллионов компьютеров и нанес ущерба в $37 миллиардов долларов! За «голову» создателя SoBig кстати так же была объявлена награда в $250.000 долларов.

DarkTequila и BlackEnergy

Последние двое вредителей относительно более локальные и менее известные во всем мире вирусы, но от этого не менее злобные.

 

Откровенно говоря, DarkTequila и BlackEnergy среди вирусов представляют молодое поколение вирусов: более технологичное, деструктивное и опасное. К этому же поколению относится и WannaCry кстати. Из-за этого они менее «громкие» и не столь эпидемиологичные, впрочем WannaCry мы в счет не берем.

 

DarkTequila технологически крайне сложный вирус, нацеленный в первую очередь на пользователей ряда мексиканских банков. Вирус распространяется посредством фишинговых писем и USB-устройств (через один из модулей вредоносного ПО). После заражения устройства различные модули активируются по команде с удаленного C&C-сервера.

 

Примечательно, что вирус имеет шесть модулей, включая модуль, ответственный за избежание обнаружения, а также модули для хищения информации и считывания нажатий клавиш.

 

DarkEnergy — вирус достаточно деструктивный и технологичный по своей природе. Подробно расписывать его функционирование мы не станем, это долго, сложно и местами нам самим не понятно.

 

Однако эксперты ESET Антон Черепанов и Роберт Липовски пишут, что вирус BlackEnergy, достаточно опасен, и теоретически, мог быть ответственным за сбой в украинских энергосистемах, поскольку, он создан настолько технологично, что вполне обладает функциями способными устроить Blackout на электростанциях. Дело в том, что основною целью атак BlackEnergy стали украинские СМИ и энергетические компании, которые неоднократно заявляли о сторонних вмешательствах в их системы, которое в последствии вылилось в аварию на «Прикарпатьеоблэнерго», оставившую без электроэнергии большую часть западной Украины.

 

Однако, специалисты так же отмечают что вирус мог и не быть причиной аварии, а лишь предоставил злоумышленникам доступ к зараженным сетям. А вот имея прямой доступ, атакующие могли попросту отключить критические узлы энергосистем вручную, а затем уже активировать специализированный программный модуль KillDisk для затруднения восстановления работы промышленного комплекса. Хотя, разница между «сам сломал» и «помог сломать другим» не особо значима.

 

Авторство вируса кстати приписывают группе российских правительственных хакеров. Специалисты iSIGHT Partners усмотрели связь BlackEnergy с хакерской группой Sandworm, которую часто связывают с российскими спецслужбами.

Возвращаясь к истокам новости, можно отметить что все черти на вкус и цвет разные: какие-то было глобальны, но не слишком деструктивны, какие-то весьма деструктивны, но достаточно локальны, а какие-то глобальны, деструктивны и всячески порицаемы. Да, это я о тебе паршивец WannaCry!

 

Что же касается того злосчастного ноутбука, то как отмечает издание The Verge, ноутбук безопасен для владельца и его данных, но ровно до тех пор, пока его не подключить к Wi-Fi или к любому другому устройству через USB или локальную сеть. Тогда да, тогда будет хардкор!

 

Аукцион завершился днём 27 мая. Ноутбук был приобретен за $1 345 000 долларов!

Поделиться этой записью: