Самые опасные и известные компьютерные вирусы. Самые известные компьютерные вирусы Что за вирус по всему миру
Вчера началась эпидемия нового компьютерного вируса-шифровальщика. Главным образом он поразил работу российских и украинских организаций, но затронул и компании из других стран мира. Вирус предупреждает пользователей, что все их файлы зашифрованы, а попытки самостоятельного восстановления бесполезны. Вирус-вымогатель требует перевести $300 в криптовалюте биткоин в обмен за разблокировку доступа.
По информации компании Group-IB (борьба с киберпреступностью), днем пострадало более 100 компаний в СНГ, а к вечеру «Лаборатория Касперского» объявила, что счет жертв во всем мире идет на тысячи. Вирус распространяется в Windows-системах, но точный механизм его работы пока не известен, сообщил представитель «Доктора Веба». Microsoft известно о ситуации и корпорация проводит расследование, заявил представитель компании.
Атака на нефть
Днем крупнейшая российская нефтяная компания «Роснефть» в своем твиттер-аккаунте сообщила о мощной хакерской атаке на серверы компании, не уточнив подробностей. Один из сотрудников «Башнефти» (подконтрольна «Роснефти») на условиях анонимности рассказал «Ведомостям» об атаке: «Вирус вначале отключил доступ к порталу, к внутреннему мессенджеру Skype for business, к MS Exchange – значения не придали, думали, просто сетевой сбой, далее компьютер перезагрузился с ошибкой. Умер жесткий диск, следующая перезагрузка уже показала красный экран». По его словам, сотрудники получили распоряжение выключить компьютеры. Информацию о том, что вирус поразил именно «Башнефть», подтвердили два источника, близких к компании. Хакерская атака могла привести к серьезным последствиям, однако благодаря тому, что компания перешла на резервную систему управления производственными процессами, ни добыча, ни подготовка нефти не остановлены, сообщил представитель «Роснефти».
Новые жертвы
О заражении нескольких российских банков ближе к вечеру сообщил Банк России. Нарушение работы из-за кибератаки подтвердил российский «Хоум кредит банк» (ХКФ-банк). Банк подчеркнул, что заметил признаки нестабильности и решил провести проверку всех систем безопасности. Отделения ХКФ-банка были открыты, но работали в консультационном режиме, банкоматы и колл-центры продолжали работу. Сайт ХКФ-банка был недоступен. Корреспондент «Ведомостей» дважды оплатил услуги одного из сотовых операторов через интернет с карты ХКФ-банка.Нарушение работы из-за кибератаки подтвердил российский «Хоум кредит банк»«Хоум кредит банк» признал, что не проводит операции из-за кибератак, не работает его сайт и 3D secure
Платежи прошли, протокол 3-D Secure не сработал – клиент банка не получил sms с кодом подтверждения операции. В российском офисе Royal Canin (подразделение компании Mars) возникли трудности с IT-системами, сообщил представитель компании. Хакерской атаке подвергся и Evraz, но основные производства продолжали работать и угрозы сотрудникам и предприятиям не было, сообщил представитель компании. Вирусная атака затронула офисы в Европе (включая Россию и Украину), подтвердила представитель компании – производителя кондитерских изделий Mondelez.Мировое турне
Хотя в России и на Украине зафиксировано больше всего инцидентов, вирус действует и в других странах, сообщил руководитель отдела антивирусных исследований «Лаборатории Касперского» Вячеслав Закоржевский. Вряд ли можно настроить самораспространяющийся вирус так, чтобы он затронул только отдельные страны, солидарен представитель «Доктора Веба».
Кибератаки были совершены одновременно в разных странах Европы, а с началом рабочего дня в США поступило несколько сообщений и оттуда, написало около 18.00 мск издание The Wall Street Journal. Датская судоходная компания A.P. Moller-Maersk, владелец крупнейшего в мире морского контейнерного перевозчика Maersk Line, сообщила, что перестали работать компьютерные системы во многих ее подразделениях и регионах. Кибератаке подверглись IT-системы нескольких компаний, входящих в британский рекламный конгломерат WPP Group. О нападении также сообщили крупная юридическая фирма DLA Piper и французская строительная компания Saint Gobain, представитель которой сказал Financial Times, что она «изолировала свои компьютерные системы с целью защиты данных».
Вирус пожелал остаться неизвестным
Это уже второй случай глобальной атаки вируса-вымогателя за последние два месяца. В середине мая по всему миру прошла волна заражений шифровальщиком WannaCry. Вирус заражал компьютеры, не установившие обновление операционной системы Windows. В ходе хакерской атаки WannaCry поразил до 300 000 компьютеров более чем в 70 странах мира и зашифровал информацию на них, сделав ее недоступной для использования. В России были атакованы, в частности, «Мегафон» и МВД.
Одна из причин «популярности» шифровальщиков заключается в простоте бизнес-модели, объяснял главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев. По его словам, если вирусу удается проникнуть в систему, то шансов избавиться от него, не потеряв при этом личные данные, практически нет. Выкуп в биткоинах также играет мошенникам на руку: оплата происходит анонимно и ее почти невозможно отследить, объясняет он. Причем разблокировка компьютера после выплаты выкупа вовсе не гарантирована, отмечает замруководителя лаборатории компьютерной криминалистики Group-IB Сергей Никитин.
Изначально вирус идентифицировали как уже известный шифровальщик Petya, но вскоре эксперты разошлись в диагнозе. «Лаборатория Касперского» выделила его в отдельный штамм, представитель «Доктора Веба» вчера вечером считал его либо модификацией Petya, либо чем-то иным. Никитин думает, что речь идет о модификации Petya, которая распространяется в почтовой рассылке и для ее активации достаточно открыть вложение в пришедшем на почту письме. Стоит кому-то одному нажать на ссылку, как заражение распространяется по внутренней сети предприятия, объясняет автор телеграм-канала «Сайберсекьюрити» Александр Литреев. Но способ распространения новой угрозы отличается от использовавшейся Petya стандартной схемы, отмечает представитель «Доктора Веба». К нашумевшему вирусу WannaCry новый вирус отношения не имеет, солидарны Никитин и Закоржевский. Однако самостоятельно расшифровать приглянувшиеся вымогателю файлы невозможно.
Как избежать заражения
Чтобы не заразить компьютер вирусом, представитель «Доктора Веба» советует не открывать подозрительные письма, создавать резервные копии важных данных, устанавливать обновления безопасности для программного обеспечения и пользоваться антивирусом. Представитель «Лаборатории Касперского» также напоминает своим пользователям, чтобы они проверили, включен ли антивирус. Также с помощью программы AppLocker нужно заблокировать файл с названием perfc.dat, советует «Лаборатория Касперского». Чтобы остановить распространение вируса, компаниям необходимо закрыть TCP-порты (протокол распространения данных по сети) 1024-1035, 135 и 445, сообщили в Group-IB.
Павел КАНТЫШЕВ, Виталий ПЕТЛЕВОЙ, Елизавета СЕРЬГИНА, Михаил ОВЕРЧЕНКО
Считается, что термин "компьютерный вирус" впервые употребил сотрудник Лехайского университета (США) Ф. Коэн на конференции по безопасности информации в 1984 г. Однако еще в работах Винера и фон Неймана исследовались различные виды конечных автоматов, в том числе и самовоспроизводящихся. В любом случае, в настоящий момент эти вопросы представляют чисто исторический интерес и имеют мало отношения к реальности. Итак, что сегодня, летом 1997 года, представляют собой компьютерные вирусы?Прежде всего, компьютерные вирусы это программы. Даже это довольно простое утверждение способно развеять многочисленные легенды о необыкновенных возможностях компьютерных вирусов. Компьютерный вирус может перевернуть изображение на мониторе, но не может перевернуть сам монитор. К разговорам о вирусах "25 кадра", убивающих операторов, также следует относится адекватно. Правда, программы эти бывают разные и далеко не всегда хорошие...
Компьютерные вирусы это программы, обладающие способностью к самовоспроизведению. Указанное свойство присуще всем типам компьютерных вирусов, но не только им. Кроме того, способность к самовоспроизведению надо понимать весьма широко. Различные экземпляры одного вируса не только не обязаны полностью совпадать, но могут даже не иметь ни одного общего байта (речь идет о так называемых сложнополиморфных вирусах). Сами механизмы воспроизведения тоже могут быть весьма разнообразны. Не так давно к специалистам "ДиалогНауки" попал многоплатформенный вирус (Anarchy.6093), заражающий файлы исполняемые файлы DOS, Windows, а также DOC - файлы - документы Word for Windows.
При этом DOC - файлы являются лишь средством доставки вирусного кода.
Основные типы компьютерных вирусов
Существует совершенно формальная система, позволяющая классифицировать компьютерные вирусы и называть их таким образом, чтобы избежать ситуации, когда один и тот же вирус имеет неузнаваемо разные имена в классификации разных разработчиков антивирусных программ. Несмотря на это, все еще нельзя сказать о полной унификации имен и характеристик вирусов. В значительной степени это определяется тем, что к тому моменту, когда были сформулированы некоторые "правила игры", уже существовали антивирусные средства, работающие в собственной системе обозначений. Всеобщая унификация потребовала бы приложить значительные усилия и модифицировать программы и документацию. В ряде случаев это было сделано. Мы станем исходить из того, что обычному пользователю нет необходимости вникать во все тонкости функционирования вируса: объекты атаки, способы заражения, особенности проявления и пр. Но желательно знать, какими бывают вирусы, понимать общую схему их работы.
Среди всего разнообразия вирусов можно выделить следующие основные группы:
- Загрузочные (бутовые) вирусы.
Так называют вирусы, заражающие загрузочные секторы дискет и винчестеров. Имеются бутовые вирусы, заражающие только загрузочные сектора дискет, другие заражают - еще и загрузочные сектора винчестеров, некоторые - заражают главный загрузочный сектор винчестера. Часто вирусы "всеядны" и заражают и то, и другое.
- Файловые вирусы.
В простейшем случае такие вирусы заражают исполняемые файлы. Если с загрузочными вирусами все более или менее ясно, то файловые вирусы - это гораздо менее определенное понятие. Достаточно, к примеру, сказать, что файловый вирус может вообще не модифицировать файл (вирусы - спутники и вирусы семейства Dir). Кроме того, к файловым относятся так называемые macro - вирусы. О них мы еще поговорим подробнее.
- Загрузочно - файловые вирусы.
Такие вирусы обладают способностью заражать как код загрузочных секторов, так и код файлов. Вирусов этого типа не очень много, но среди них встречаются чрезвычайно злобные экземпляры (например, известный вирус OneHalf).
Основные свойства компьютерных вирусов
Как правило, пользователи сталкиваются с внешними проявлениями компьютерных вирусов и классифицируют их на "вирусы, осыпающие буковки" и "вирусы, форматирующие винчестер". Специалистов же интересуют совсем другие свойства вирусов (хотя и внешние проявления также изучаются). Рассмотрим некоторые качественно важные свойства компьютерных вирусов.
Стелс - вирусы. Так называют маскирующиеся вирусы. Видов маскировки великое множество, но все они основаны на перехвате вирусами прерываний BIOS и операционной системы.
Перехватив прерывания, вирусы контролируют доступ к зараженным объектам. Например, при просмотре зараженного объекта, они могут "подсунуть" вместо него здоровый. Кроме того, вирусы искажают информацию DOS (например, возвращают неверное значения длины файла, скрывая свое присутствие в нем). Для большинства антивирусных программ вирусы, использующие стелс - технологию, являются серьезной проблемой. Исключением является ревизор дисков ADinf - уникальная российская программа, одним из замечательных свойств которой является способность обнаруживать маскирующиеся вирусы.
Полиморфные вирусы. Вероятно, большинство вопросов связано, прежде всего, с самим термином "полиморфный вирус". Нам кажется, что суть дела становится яснее, если рассмотреть один из типов полиморфных вирусов, которые известный специалист по компьютерным вирусам д. т. н. Н. Н. Безруков называет вирусами с самомодифицирующимися расшифровщиками. Но начнем с самого начала.
"Я помню чудное мгновенье...". Узнали? Разумеется, узнали. Слишком характерная строчка, со школьных лет мы безошибочно узнаем известное стихотворение великого поэта. Если взглянуть на вопрос с точки зрения вирусолога, то приведенная строчка является так называемой сигнатурой - характерной, в идеале - уникальной, последовательностью символов, характеризующей стихотворение. Открыв томик стихов и увидев эту строчку, мы совершенно точно знаем, на какое стихотворение мы попали. Анализ вирусов также заключается в выделении в них сигнатур и последующем их поиске в потенциальных объектах вирусной атаки. Таким образом, еще несколько лет назад достаточно было поймать вирус, изучить его код, (для профессионалов это, как правило, было делом нескольких минут) и выделить сигнатуру. Но вирусные технологии не стояли на месте.
Вирусы, шифрующие свой код, известны довольно давно. Цель такого шифрования тоже достаточно очевидна: имея зараженный и оригинальный файлы, а, следовательно, и возможность выделить вирус "в чистом виде", вы все равно не сможете проанализировать его код с помощью обычного дизассемблирования. Этот код зашифрован и представляет собой бессмысленный набор команд. Расшифровка производится самим вирусом уже непосредственно во время выполнения. При этом возможны самые различные варианты: вирус может расшифровать себя всего сразу, а может выполнять такую расшифровку "по ходу дела", может вновь шифровать уже отработавшие участки (причем иногда не тем способом, каким они были зашифрованы раньше) - в общем, имеется очень много различных вариантов. Все это делается только ради того, чтобы затруднить анализ кода вируса (кстати, это не единственное, что предпринимается ради этой цели: хитро зашифрованный вирус, эффективно противодействующий трассировке, может заставить серьезно поработать разработчиков антивирусных средств).
Но до 1992 года вирусописатели старались на самом деле зря. Совершенно ясно, что квалификация профессионалов в сфере антивирусной безопасности никак не меньше их собственной и, следовательно, все их многомесячные усилия стоили в крайнем случае лишних часов работы специалистов. Ведь все зашифрованные вирусы обязательно содержали некий незашифрованный фрагмент - расшифровщик (или его часть). По нему можно было построить сигнатуру данного вируса и дальше уже бороться с ним обычными способами. Ситуация изменилась, когда были придуманы алгоритмы, позволяющие не только шифровать код вируса, но и менять расшифровщики. Сама постановка такой задачи вопросов не вызывает: достаточно очевидно, что можно построить различные расшифровщики. Суть в том, что этот процесс автоматизирован - каждая новая копия вируса содержит новый расшифровщик, который может в каждом бите отличаться от расшифровщика породившей ее копии. Даже из простых комбинаторных соображений ясно, что расшифровщиков, длина которых обычно ограниченна, не может быть бесконечно много. Но если их всего лишь триллиона так два - три, то ясно, что задача перебора всех возможных не стоит... Вирусы, использующие описанную технологию, и получили название полиморфных.
Кто - то проспорил пиво или победное шествие macro - вирусов
Ходит весьма правдоподобный слух, что между авторами антивирусных программ было заключено пари на изрядное количество пива. Предметом пари являлся вопрос "дойдет ли к 1 июля этого года число macro - вирусов до 1000". Шутки шутками, но macro - вирусы действительно стали настоящим бедствием, и их количество продолжает катастрофически увеличиваться. Что же это за вирусы, почему они посыпались как из ведра?
Формально, macro - вирусы являются файловыми вирусами, заражающими файлы некоторых систем документооборота. Насколько известно автору, в настоящее время имеются вирусы для Word for Windows (в огромном количестве!), MS - Word, Excel for Windows и AmiPro. Все указанные системы имеют встроенные макро - языки (Word Basic, Visual Basic). Эти языки обладают достаточными возможностями, чтобы производить практически все операции, необходимые вирусу.
Достаточно сказать, что имеются даже шифрованные и полиморфные macro - вирусы. Кроме того, все чаще стали встречать вирусы, поражающие как документы, так и исполняемые файлы (иногда обычные EXE - файлы, иногда NewEXE, иногда и те, и другие). Инфицирующая способность таких вирусов крайне велика.
В настоящий момент более 90 % macro - вирусов - вирусы для Word for Windows. Это без сомнения объясняется тем, что файлы этого текстового процессора фактически стали стандартом на текстовые документы. Самый первый macro - вирус (Word.Concept) также заражал DOC - файлы. Любопытно, что достоверно известно о двух "проколах" самой фирмы Microsoft. На ее собственном сервере дважды оказывались документы, зараженные macro - вирусами.
Когда два года назад появились первые macro - вирусы для WinWord, были выпущены специальные антивирусные программы, написанные на том же самом Word Basic, что и сами вирусы и, фактически, представляющие собой документы, устроенные специальным образом. Таким образом, можно было легко получить доступ к макросам документа. Хотя это и было самым простым решением, время показало его бесперспективность.
Тем не менее, те первые антивирусы еще продолжают использоваться, что, безусловно, является ошибкой. Сегодня все "приличные" сканеры умеют самостоятельно разбирать структуру DOC - файлов. Одним из первых это "научился" делать Doctor Web, а недавно у него был существенно усилен эвристический анализатор macro - вирусов, с помощью которого можно обнаруживать новые macro - вирусы, еще не известные антивирусу "в лицо".
В нулевом кольце защиты
Много лет уже прошло с момента появления процессора i386, (не будем даже вспоминать, что до него был i286), а вирусы до настоящего момента не могли покорить его самый мощный защищенный режим. Загрузочный вирус PMBS, первым пытавшийся освоить защищенный режим (1994 г.), не мог ужиться ни с одной программой или драйвером (EMM386, Windows, OS/2,...).
Вирусы Evolution.2761 и Evolution.2770 (тоже 1994 г.) использовали только часть мощного защищенного режима и то только тогда, когда процессор находился в реальном режиме работы.
Но вот все - таки свершилось! В России, в "диком" виде обнаружен файловый вирус PM.Wanderer, использующий защищенный режим. Этот вирус исследовал ведущий вирусолог "ДиалогНауки" И. А. Данилов. Вот, что он выяснил. Вирус более - менее корректно взаимодействует с другими программами и драйверами, также использующими защищенный режим. PM.Wanderer является резидентным полиморфным вирусом, использующим защищенный (виртуальный) режим процессоров i386 - Pentium. Для установки своей резидентной копии в память и переключения в защищенный режим процессора (Protected Mode) используется документированный интерфейс VCPI (Virtual Control Program Interface) драйвера расширенной памяти EMS (EMM386).
Обнаружить резидентную копию данного вируса, находящегося в нулевом кольце защищенного режима процессора, обычными способами невозможно. Для обнаружения вируса в памяти необходимо переключаться в защищенный режим с наивысшими привилегиями. Но попытаться обнаружить признаки вируса в системе можно и обычными способами. Вирус не стелсируется и, даже при наличии резидентной копии в памяти, в файлах прекрасно виден. После обнаружения вируса рекомендуется, как и всегда в таких случаях, перезагрузиться с системной дискеты и выполнять лечение в заведомо стерильных условиях.
Вирусы в Internet. Сказки и реальность
Как мы уже говорили, с компьютерными вирусами вообще связано много разнообразных легенд. Впрочем, иногда легенды эти, после творческой переработки вирусописаками, превращаются в серьезную опасность. История с вирусами, заражающими документы, - тому подтверждение. Так представляет ли сегодня Internet реальную опасность?
Безусловно - да. Миллионы людей бродят по сети, "перехватывая" то тут, то там разнообразные программы. После чего эти программы немедленно "опробуются в деле", ну а дальше... как повезет. В сети лежат гигабайты информации и сколько в ней вирусов (случайно попавших или намеренно "подсаженных") неизвестно. И при этом приходится только удивляться беспечности тех, кто тщательно проверяет все "внешние" дискеты, но даже "и в голову не берет", что вирус может притаится в программе, полученной из сети. Или в документе, полученном из сети.
Вместе с этим, в различных электронных конференциях периодически появляются "ужастики" о вирусах, заражающих сообщения электронной почты или "прыгающих" на компьютер, при просмотре WWW - страниц. На сегодняшний день можно уверенно утверждать, что таких вирусов нет. Есть вирус (кстати, macro - вирус), который запускает программу Microsoft Mail и отправляет текстовые сообщения с пометкой "Срочно!" по нескольким случайным адресам из адресной книги. Обратим внимание, что это - именно внешнее проявление вируса, а не средство его размножения.
Разумеется, ничто не мешает вирусу вместо текстовых сообщений рассылать свою копию, но данный конкретный этого не делает. А если бы и делал, то получателю сообщения все равно требуется запустить полученную копию вируса. Впрочем, учитывая возможность распространения вирусов в документах и беспечность некоторых пользователей, это не представляется столь уж невероятным. Всегда ли вы проверяете приаттаченные DOC - файлы перед тем, как посмотреть, что в них?
Отдельная тема - вирусы, якобы написанные на Java. На сегодняшний день нет ни одного вируса на Java и считается, что текущая версия языка принципиально не позволяет вирусам размножатся. Другое дело, что известны многочисленные примеры апплетов, которые можно назвать деструктивными, но их разрушительные возможности невелики и вирусами они не являются. По всей видимости, сейчас, когда с появлением macro - вирусов разработчики систем стали несколько внимательнее относится к вопросам безопасности, можно быть более или менее спокойным, используя Java. Чего не скажешь, об объектах ActivX, но практически во всех программах просмотра имеются возможность запретить работу этих объектов.
Антивирусные средства
Антивирусных средств довольно много. В каждом конкретном случае (об этом говорилось в уже упомянутой статье Е. Судова) надо выбирать антивирусный комплект, исходя из общей концепции информационной безопасности организации и нужд конкретного пользователя. Ниже кратко описаны основные типы антивирусных средств.
Детекторы (scanner). Назначение детектора - обнаружить вирус. Бороться с ним предстоит либо другой антивирусной программе, либо системному программисту.
Несколько лет назад детекторы практически уступили позиции полифагам, но любопытно, что они вновь возвращаются на компьютерный рынок по мере его развития. Если вы используете лицензионное программное обеспечение, то для вас может быть даже проще восстановить зараженную программу с дистрибутива (вот он, на полке, руку протянул и все), чем тратить время на лечение файлов. У нас другие традиции, и чистые детекторы (сканеры) еще не скоро будут в состоянии конкурировать с фагами.
Фаги (полифаги) (scanner/cleaner, scaner/remover). Фаг - программа, способная уничтожить вирус (полифаг способен уничтожить много вирусов). Aidstest, к примеру, сегодня обнаруживает и обезвреживает около 2000 вирусов. Основной принцип работы традиционного фага описан выше. Он совсем прост и секретом не является. Кратко повторим основные моменты. Для каждого вируса путем анализа его кода, способов заражения файлов и т. д. выделяется некоторая характерная только для него последовательность байт. Эта последовательность называется сигнатурой данного вируса.
Поиск вирусов в простейшем случае сводится к поиску их сигнатур. Современные фаги используют другие методы поиска вирусов. После обнаружения вируса в теле программы (или загрузочного сектора, который тоже, впрочем, содержит программу начальной загрузки) фаг обезвреживает его. Для этого разработчики антивирусных средств тщательно изучают работу каждого конкретного вируса: что он портит, как он портит, где он прячет то, что испортит (если прячет, конечно). В большинстве случаев фаг способен благополучно удалить вирус и восстановить работоспособность испорченных программ. Но необходимо хорошо понимать, что это возможно далеко не всегда (о причинах еще будет сказано ниже).
Ревизоры. Вирусы не всесильны. Мы уже говорили о том, что изобретательность авторов этой мерзости ограничена некоторыми рамками того, что в принципе возможно. Рамки возможного известны, и если взять под контроль все мыслимые направления вирусной атаки на ваш компьютер, то вы будете практически в полной безопасности. Имеются программы, в функции которых входит контроль возможных путей распространения инфекции. Из программ - ревизоров, которые можно приобрести в России, следует обратить внимание на уже упомянутую выше программу ADinf.
Сторожа. Сторож - небольшая резидентная программа, постоянно находящаяся в памяти компьютера и контролирующая операции, которые она считает подозрительными. В качестве примера сторожа можно привести VSAFE, входивший в поставку некоторых версий MS - DOS. На наш взгляд, для обычного пользователя программные сторожа довольно бесполезны. Одни и те же операции выполняют и вирусы, и обычные программы.
Невозможно даже выделить класс исключительно "вирусных" операций. Вследствие этого сторож либо вынужден ничего не контролировать и пассивно наблюдать за происходящим, либо "звенеть" при каждой подозрительной операции. При этом он так вам надоест, что вы просто отключите его, чтобы не мешал работать. Если уж использовать сторож, то на самом минимальном уровне контроля (например, отслеживая изменение загрузочных секторов). Кстати, такие сторожевые функции имеют некоторые современные BIOS, хотя и с этим все не так просто. Эта функция BIOS может конфликтовать с некоторыми операционными системами, а в некоторых случаях может вообще не работать.
Не так давно был популярен еще один класс антивирусных средств - специальные вакцины, которые использовались для обработки файлов и загрузочных секторов. Вакцины бывают пассивными (пример такой вакцины описан ниже) и активными.
Активная вакцина, "заражая" файл, подобно вирусу, предохраняет его от любого изменения и в ряде случаев способна не только обнаружить сам факт заражения, но и вылечить файл. Пассивные вакцины использовались (теперь это уже большая редкость) для предотвращения заражения файлов некоторыми вирусами, использующими простые признаки их зараженности - "странные" время или дата создания, определенные символьные строки и пр. В настоящее время вакцинирование широко не применяется. Бездумное вакцинирование всего и вся способно вызвать целые эпидемии несуществующих вирусных болезней. Так, в течение нескольких лет на территории бывшего СССР свирепствовала страшная эпидемия ужасного вируса TIME. Жертвой этого вируса стали сотни абсолютно здоровых программ, "зарезанных на операционном столе" хирургом ANTI - KOTом. История эта вкратце такова. Имеется довольно много вирусов, предотвращающих повторное заражение файлов некоторой "черной меткой", которую они "навешивают" на программу. Имеются, к примеру, вирусы, выставляющие в поле секунд времени создания файла значение 62. Уже довольно давно появился вирус, который ко всем зараженным файлам дописывал в конец пять байт - "MsDos". Нормальных файлов, содержащих в конце такую символьную строку, не бывает, поэтому вирус и использовал этот признак как индикатор заражения файла. Вакцинирование файлов против этого вируса совсем не сложно. Достаточно дописать в конец вышеупомянутую символьную строку - и вирус вам не страшен.
Страшно другое - имеются (точнее, имелись) антивирусные программы (к примеру, ANTI - KOT), которые обманываются так же легко, как и сам вирус. Видя в конце файла злополучную строчку, они немедленно лечат его и умывают руки. Шансов на то, что такой инвалид будет нормально работать, практически никаких. С этим же вирусом (и с этим же антивирусом) связана еще одна история. До сих пор не вышел из употребления другой "мощный" антивирус - ANTITIME. В отличие от ANTI - KOTа, он не калечит программ, но и не лечит их тоже. Видя в конце файла все ту же строчку, он отрезает ее (сообщая при этом, что в файле найден "страшный TIME", - утверждение само по себе довольно корректно, поскольку вирусом он его явно не называет). Программа эта, написанная, по всей видимости, как антивакцина, периодически пытается участвовать в конкурсе на лучший антивирус, ибо она также видит "страшный TIME" там, где никакая из нормальных антивирусных программ его не видит.
Аппаратные средства защиты. Имеются специальные дополнительные устройства, обеспечивающие достаточно надежную (в некотором смысле - абсолютную) защиту. В отличие от всех рассмотренных выше антивирусных средств, Sheriff способен предотвратить нападение вируса. К сожалению, автору известны случаи, когда пользователи, установившие на компьютере плату Sheriff, были настолько уверены в своей полной неуязвимости, что совершенно теряли всякую осторожность. Так, они не обращали внимания на области жесткого диска, не защищенные Sheriff (а такие области есть практически всегда - если вы защитите винчестер целиком, то, как вы будете работать?). Необходимо помнить, что антивирусные средства должны применяться комплексно и только такая комплексная защита с использованием надежного ревизора (ADinf), фагов Doctor Web и Aidstest, а при необходимости и платы Sheriff способна обеспечить максимальную безопасность.
Светлана Петренко , представитель Следственного комитета: «Никаких хакерских атак на ресурсы Следственного комитета не было. Все работает в штатном режиме».
ТАСС со ссылкой на источник в полиции сообщает, что в МВД никаких хакерских атак также не зафиксировали.
Источник : «По состоянию на 20:00 мск Единая система информационно-аналитического обеспечения деятельности ведомства не подвергалась взлому».
По мнению ряда пользователей, речь идет о вирусе WCry (также известном как WannaCry или WannaCryptor) он шифрует файлы пользователя, изменяет их расширение и требует купить специальный расшифровщик за биткоины.
Сотрудник компании Avast (разработчик антивирусов) Якуб Кроустек в своем Twitter сообщил, что уже заражено не менее 36 тысяч компьютеров по всему миру. Большинство из них находятся в России, на Украине и на Тайване.
Ранее сообщалось, что вирус-вымогатель в больницах по всей Великобритании. В Сети уже появилась карта распространения вируса по миру.
Из-за хакерской атаки российскому оператору «Мегафон» пришлось отключить часть компьютерной сети. Как рассказал директор оператора по связям с общественностью Пётр Лидов, компьютеры сотрудников стали внезапно перезагружаться, а после перезагрузки появлялось окно с требованием заплатить $300, которое не позволяло продолжить работу.
Пётр Лидов : «Масштаб довольно большой, затронуло большую часть регионов нашей страны. Но мы справляемся, сейчас вместе с „Лабораторией Касперского“ (решения которой „Мегафон“ использует для защиты) решаем этот вопрос».
Испанские СМИ сообщают, что местная телекоммуникационная компания Telefonica также атакована вирусом-вымогателем. Хакеры потребовали выплатить до 15 мая сумму, эквивалентную 509 487 евро. Если этого не произойдет, то злоумышленники пригрозили удалить все архивы, к которым получили доступ.
Financial Times со ссылкой на аналитиков в области кибербезопасности пишет, что при атаках в Великобритании и Испании использовалась модифицированная вредоносная программа Агентства национальной безопасности (АНБ) США. По словам специалистов, инструмент американской разведки, известный как eternal blue («неисчерпаемая синева»), был совмещен с программой-вымогателем WannaCry.
Происходящее в мировом киберпространстве прокомментировала премьер-министр Великобритании Тереза Мэй. По ее словам, атаки на больницы страны являются частью глобальной хакерской атаки.
Тереза Мэй : «Мы знаем о том, что ряд медучреждений сообщили о хакерском нападении. Эта атака не была направлена именно на NHS (Национальная система здравоохранения ред.). Это часть международной хакерской атаки, затронувшей учреждения в разных странах… Мы не располагаем информацией о том, что информация о пациентах попала в чужие руки».
Интернет-эксперт Григорий Бакунов в эфире радиостанции «Эхо Москвы » рассказал, что вирус угрожает только компьютерам на базе операционной системы Windows. Большинству владельцев смартфонов опасаться не стоит.
Григорий Бакунов : «Данный зловред пытается работать с государственными и крупными структурами, но страдают и обычные люди. Эта дыра в Windows есть у всех, эксплуатировать ее несложно. И если компьютер не получил последнее обновление от Windows, он уязвим. При этом это не касается мобильных систем, таких, как Android и iOS».
Сбои в работе подразделений ГИБДД ликвидированы. Об этом заявили в пресс-службе МВД. Ранее стало известно о том, что в целом ряде российских регионов возникла, в частности, проблема с выдачей водительских удостоверений. Компьютеры сотрудников министерства подверглись заражению вирусом, который стремительно распространился по всему миру.
В России, помимо МВД, вредоносная программа проникла в сети МЧС, РЖД, Сбербанка, «Мегафона». В целом к этой минуте компании и ведомства сообщают о локализации или устранении проблемы. А корпорация Microsoft пошла на чрезвычайные меры: выпустила экстренное обновление, устраняющее уязвимости не только для новейших операционных систем, но и для устаревшей Windows XP. Она с 2014-го года официально не поддерживается, хотя до сих пор пользуется большой популярностью.
Возвратом к бумажному веку называют свою работу британские врачи в последние сутки. Плановые медицинские процедуры по возможности отложены на несколько дней, помощь оказывают в первую очередь экстренным пациентам. До сих пор так и не удалось полностью восстановить работу компьютеров, в которых вели учет пациентов, результаты анализов и многое другое. Причиной стал вирус WCry - сокращение от английского Wanna Cry (в переводе означает «Хочется плакать»).
Вскоре выяснилось, что подобные эмоции испытывают далеко не только в Британии. Следом появились сообщения о том, что вирус поразил компьютеры испанского телекоммуникационного гиганта Telefonica, затем перекинулся на Францию, Германию, Италию, Румынию. Зловредная программа по планете распространялась со скоростью лесного пожара.
«Мы на самом деле сегодня наблюдаем за тем, как разворачивается сценарий киберапокалипсиса. Тревожные события касаются всей отрасли. Только за последние 24 часа заражению подверглись 45 тысяч систем в 74 странах», - сказал эксперт по компьютерной безопасности Варун Бадхвар.
Каждая система – это порой даже не сотни, а тысячи компьютеров. На экранах каждого из них пользователи увидели сообщение, переведенное на десятки языков. В нем говорится, что вся информация на компьютере зашифрована, а за расшифровку и возможность продолжить работу необходимо заплатить. В зависимости от страны - 300 или 600 долларов.
Подобные вирусы вымогатели известны уже много лет, однако, если прежде с этим чаще сталкивались обычные пользователи, то теперь основной удар пришелся в первую очередь по организациям, которые имеют, без преувеличения, стратегическое значение для каждой страны.
«Понятно, что ударили по самому критическому. И понятно, что преступники всегда будут искать самые уязвимые точки, то есть, которые действительно будут платить. И это говорит просто о цинизме», - сказал советник президента России по вопросам развития интернета Герман Клименко.
В числе пострадавших и Россия. Еще накануне появились первые данные о том, что вредоносная программа проникла в компьютеры Министерства внутренних дел. Сообщения о последствиях сбоев приходили из разных регионов. Так, в подмосковном Жуковском по свидетельствам посетителей накануне не работали компьютеры в паспортном столе. Сразу в нескольких городах пришлось временно приостановить выдачу и замену водительских удостоверений, автомобильных номеров.
«В настоящий момент вирус локализован. Проводятся технические работы по его уничтожению. Утечка служебной информации с информационных ресурсов Министерства внутренних дел полностью исключена», - заявила официальный представитель МВД России Ирина Волк.
Аврал у программистов и в информационном центре «Российских железных дорог». Вирус проник и туда. О масштабах проблемы не сообщается, но известно, что некоторые пассажиры столкнулись с неудобствами при оформлении билетов через Интернет.
«В настоящее время вирус локализован. Технологических сбоев внутри сети не было. Соответственно, на перевозку грузов и пассажиров эта вирусная атака не повлияла. Угрозы безопасности нет», - сообщила пресс-секретарь РЖД Екатерина Герасимова.
С проблемами столкнулись и такие крупные российские компании, как «Мегафон» и «Yota». Очевидно, что пострадавших намного больше, но большинство предпочитают не распространяться об этом. Большинство компаний восстанавливает системы из так называемых резервных копий баз данных, которые периодически сохраняются на специальных серверах.
Между тем правоохранительные органы в разных странах пытаются выйти на след хакеров, которые организовали атаку по всему миру. Хотя сделать это крайне сложно. Ведь до сих пор так и не ясно, с территории какой страны был запущен вирус. Британская газета The Telegraph, впрочем, уже поспешила обвинить в случившемся пресловутых «русских хакеров».
Однако к такой погоне за сенсацией скептически отнеслись даже западные эксперты. Ведь самый сильный удар вируса как раз пришелся именно на Россию. По данным независимых антивирусных компаний, самое большое количество зараженных компьютеров именно в нашей стране.
Также уже известно, что на самом деле хакеры не придумали ничего нового. Они лишь воспользовались программой, которую украли в Агентстве национальной безопасности Соединенных Штатов. Об этом сообщил бывший сотрудник этой американской спецслужбы Эдвард Сноуден.
Из «Твиттера» Э. Сноудена: «Ого, решение АНБ создавать инструменты атаки на американское программное обеспечение теперь ставит под угрозу жизни пациентов больниц».
По словам Сноудена, хакеры всего лишь модифицировали программу, которую Агентство национальной безопасности США использовало, чтобы шпионить за пользователями по всему миру.
Спецслужбы много лет использовали уязвимость в операционной системе Windows. И лишь недавно в компании Microsoft спохватились.
«Пользователи бесплатного антивируса Microsoft и обновленной версии Windows защищены. Еще в марте мы добавили обновление безопасности, которое обеспечивает дополнительную защиту против потенциальной атаки», - сообщила пресс-секретарь Microsoft в России Кристина Давыдова.
Кто сейчас пользуется секретными разработками американских спецслужб – неизвестно. И даже если заплатить преступникам, то финансовый след никуда не приведет. Ведь оплату за реанимацию компьютера принимают исключительно в биткоинах. Это одна из самых популярных сегодня так называемых криптовалют. Не деньги, а цифровой код, отследить который просто невозможно.
«Почему хакеры всегда просят в биткоинах? Как помните из фильмов про пиратов, они больше всего любили золото. Почему? Потому что его передают из рук в руки. Нельзя проследить, как проходит этот процесс. То же самое происходит с современными пиратами, хакерами. Они всегда хотят получить биткоины, потому что это неконтролируемый способ обмена ценностями», - говорит специалист по интернет-технологиям Григорий Бакунов.
В любом случае специалисты по цифровым технологиям все же советуют вымогателям не платить. Во-первых, никакой гарантии, что не обманут, да и потом, если заплатить один раз, то в будущем, скорее всего, придется платить и дальше.
Антивирусные компании обещают выпустить защиту еще до начала новой рабочей недели. Сообщение о первом успехе в уже пришло из той же Британии. Одному из программистов совершенно случайно удалось остановить распространение вируса.
