Компьютерная IT Академия STEP подготовила подборку известных вирусных программ — от сетевого червя, который атаковал Иранские ядерные заводы до троллинга code red. Читайте, делитесь с друзьями и сохраняйте статью, чтобы не забыть самое важное из истории киберпреступлений.
CryptoLocker
Как часто вы заглядываете в спам? Может, упустили важный урок курса? В 2013 году активно в спам никто не попадал, чем и пользовались злоумышленники.
На почту приходило обычное письмо. При его открытии запускался CryptoLocker и зашифровывал файлы на компьютере. Вот как выглядит один из документов после атаки вируса.
Данные ничем не восстанавливались. Взамен, мошенники предлагали заплатить 10 биткоинов за ключ, который расшифровывал пораженные файлы.
2016 год обновил правила игры — взнос в $300. Если его не внести на кошелек за 3 дня, информация с компьютера автоматически удалялась.
Конечно же, после отправки денег ключи не приходили и поврежденные файлы не восстанавливались.
Как лечили вирус? CryptoLocker легче и дешевле блокировать. Современные антивирусы удаляют программу еще до открытия. Но не всегда. Поэтому не ленитесь и и делайте резервные копии важных данных на ПК.
Zeus Gameover
Вирус считается первым полноценным инструментом для взлома банковских систем и кражи данных с ПК юзеров.
Официальная версия от ФБР, как вирус работал в Сети. Источник: https://www.fbi.gov/news/stories/gameover-zeus-botnet-disrupted
Хакеры распространяли вирус через email. Zeus заселялся в браузер и ждал, когда пользователь войдет в онлайн-банкинг. А затем воровал данные кошельков и банковских карт и передавал на хакерский сервер.
Отследить его невозможно. Тем более, после дебюта в 2007 году появилось 5 вариаций ПО (Zeus Gameover — последний). Совокупный урон от Zeus — более чем полмиллиарда долларов на 2016 год.
Лечить Zeus все равно, что искать иголку в стоге сена. Он постоянно обновляется и обходит защиту антивирусов. Избавиться от вируса можно только переустановив систему без сохранения зараженных файлов.
PlugX
PlugX — это одна из разновидностей Трояна. Найден в 2007 году при атаках на государственные учреждения. Последний раз замечен в 2022 аналитиками «Касперский», которые исследовали работу хакеров Пакистана.
Как работает вирус:
-
PlugX вшивается в любую лицензионную программу.
-
Вы скачиваете софт из интернета или устанавливаете через накопитель.
-
После распаковки приложения, устанавливается официальная программа. Параллельно архив PlugX проникает в систему.
Кодовые имена для PlugX от антивирусов
Вирус крадет персональные данные и подключает ПК к ботнету — хакерской сети для передачи вредоносного ПО. А отследить его невозможно — цифровая подпись лицензии софта не дает системам безопасности среагировать на вредоносный код.
Чтобы исключить возможное заражение вредоносным ПО, просканируйте компьютер с помощью лицензионного антивируса.
Stuxnet
Под прикрытием правительства спецслужбы используют вредоносное ПО для кибервойны. Один из таких вирусов — Stuxnet virus.
Вирус не вредит компьютеру обычного пользователя. Но, если это сеть ПК промышленного комплекса — ПО обходит 4 степени защиты Windows и контролирует механизмы завода.
Как выглядел код Stuxnet 2009 года.
Яркий пример работы Stuxnet — заражение 1368 из 5000 центрифуг на заводе по обогащению урана в Иране. После расследований создателя вируса так и не нашли.
В 2012 году активная фаза Stuxnet закончилась. Но по его шаблону создают копии. Цель вредоносного ПО не изменилась — промышленные объекты со слабой антивирусной защитой.
Mydoom
Вирус появился в 2004 году и работает по сей день. Суммарный ущерб от программы — $30 млрд, частично парализованные поисковые системы Google и Yahoo! А в 2015 году ПО сократило интернет-трафик на 10%.
Из 2% всех вредоносных писем, почти 15% приходились на вирус MyDoom. Данные исследования https://unit42.paloaltonetworks.com/mydoom-still-active-in-2019/
А вот как изменилась статистика спустя 3 года:
MyDoom все больше захватывал email-трафик, вытесняя слабый код.
Письма от вируса похожи. Например — маскировка под уведомлением, что письмо не доставлено отправителю:
-
Delivery failed
-
Delivery reports about your e-mail
-
Mail System Error - Returned Mail
-
MESSAGE COULD NOT BE DELIVERED
-
RETURNED MAIL: DATA FORMAT ERROR
-
Returned mail: see transcript for details
Червь MyDoom использует и кликбейты:
-
Нажми меня, детка, еще раз
-
привет
-
Привет
-
передай привет моему маленькому другу
Пример письма 2019 года на почте с замаскированным MyDoom
Опаснее всего то, что вирус будет работать, пока пользователи открывают подобные письма из рассылки. А их данные уйдут на сервера ботнета для рассылки на миллионы ПК.
Как бороться с ПО — обновить антивирус и просканировать систему.
Sasser и Netsky
Код этих вирусов похож. Да и создатели Netsky утверждали в спамной рассылке, что ответственность за вредоносное ПО несет команда Sasser.
Sasser — это разновидность компьютерного червя. Он поражает ПК на операционных системах Microsoft Windows XP и Windows 2000. Если на вашем жестком диске есть вот такие файлы: C:WIN.LOG или C:WIN2.LOG, или сбои с появлением на экране LSASS.EXE — это признаки Sasser.
Червь, как и аналогичные программы, проникает в систему и похищает конфиденциальные данные пользователей. Netsky отличается только способом передачи — через письма на email.
Что интересно, Яшан Свен (так зовут хакера) не получил серьезного наказания. Немецкая компания Securepoint приняла его на работу в качестве советника по безопасности. Вот как: создал шпионский вирус и устроился на работу бороться со шпионами!
CodeRed
Еще один подвид сетевого червя из 2001 года. Вирус назван в честь газировки, которую пил вечерами программист Марк Майффрет, чтобы не уснуть в поисках CodeRed. Он и рассказал разработчикам об угрозе.
Задача червя — атаковать как можно большее количество ПК, заразив браузеры и ОС. При переходе на вкладки, вирус выдавал пользователю системную ошибку или сообщение «HELLO! Welcome to http://www.worm.com! Hacked By Chinese!».
После, червь начал DDos-атаку на Белый дом со всех пораженных ПК. Но разработчики нашли код раньше, чем он сработал. Парализовать сервера американского правительства не удалось.
Nimda
Название вируса — перевернутое слово admin (Nimda). Он распространялся через email в виде письма со случайным набором символов в теме письма и файлом «readme.exe».
Пользователь открывает установочный файл и вирус проникает в систему. Далее он атакует системный диск С: и делает его общедоступным (выкладывает в сеть). Юзер при переходе на веб сайт с пораженным диском получал Nimda вирус автоматически без установочного файла.
ILOVEYOU
Вирус вошел в книгу рекордов Гиннеса, как самый разрушительный за 20-летие. А работал он просто — через почтовые ящики Microsoft Outlook.
Пользователю приходило письмо «ILoveYou» с файлом «LOVE-LETTER-FOR-YOU.TXT.vbs». Юзер не мог устоять перед кликбейтом, открывал почту и заражал свой ПК. Затем вирус переписывал данные на ПК и рассылал похожие письма всем контактам пользователя через Outlook.
Комментарий евангелиста компании Avast об атаке компьютерного вируса i love you в 2000 году
За несколько дней вредоносное ПО заразило более 50 миллионов компьютеров по всему миру.
Melissa
Этот малыш в 1999 году заражал ПК через почтовые рассылки Outlook. В письме содержался документ Word с вредоносным ПО. Пользователь не знал, что это: бухгалтерский отчет, письмо-поздравление или полезная рассылка. Соответственно, открывал файл для проверки.
Вирус Melissa заражала пакет Word на ПК и рассылала аналогичные письма контактам пользователя через Outlook. Существенного вреда программа не доставляла, но нагружала систему и тормозила компьютеры.
Хотите знать о кибербезопасности больше? Работать в Avast или Malwarebytes? Создавать антивирусы такими, как вы их видите? Тогда переходите на специальный курс от Компьютерной IT Академии STEP и научитесь думать быстрее вредоносного ПО.