Кто может создать вирус вымогатель
С помощью вируса-вымогателя кибермошенникам удается зарабатывать до 2 млрд долларов в год. Помимо денежных потерь владельцы бизнеса несут ущерб из-за сбоя системы, снижения производительности и стресса. В целом получается слишком разорительно.
Представьте, что вы работаете на компьютере, отвечаете на письмо клиента и вдруг на мониторе появляется синий фон и на нем следующее сообщение:
«Компьютер заблокирован. Все ваши файлы зашифрованы. Дешифрование файлов будет стоить 0,076 биткойнов. Следуйте инструкции для оплаты:
1. Отправьте 0,076 биткойнов в биткойн-кошелек #XXX XX .
Каковы ваши дальнейшие действия? Вы будете паниковать, пытаться разблокировать компьютер? Пойдете на поводу мошенникам и постараетесь выкупить у них свои файлы?
Ransomware как совершенствующаяся опасность
Вирусы, вредоносные программы не являются для пользователей чем-то новым с тех пор, как в 2013 году хакеры обнаружили, что могут зашифровать ценные файлы и вымогать у жертв круглые суммы для дешифровки. Успешно эксплуатируя эту возможность, мошенники зарабатывают до 2 млрд долларов в год! Это деньги трудолюбивых владельцев бизнеса. Если прибавить к ним ущерб, который несут компании от сбоя системы, потери производительности и стресса, то получается слишком разорительно.
Ransomware распространяется мошенниками в различных вариантах. Некоторые ставят своей целью найти и зашифровать самые ценные файлы, другие — просто шифруют весь жесткий диск, что делает ситуацию гораздо более неприятной. И даже когда вы очищаете его полностью, файлы по-прежнему продолжают шифроваться. Если вы не готовы к атаке вируса-вымогателя, то это может парализовать всю работу компании. Вот почему управление ИТ-системами в компании очень важно .
Как распространяется вирус-вымогатель
Злоумышленники постоянно пробуют новые способы заражения компьютеров с помощью ransomware. В основе большинства атак лежит обман — вас принуждают к установке вредоносного ПО. Некоторые вирусы-вымогатели, используя уязвимости программ, даже не требуют одобрения установки, но такие атаки, как правило, краткосрочны, потому что ликвидируются после устранения уязвимостей.
Большинство вирусов-вымогателей распространяется по незнакомой электронной почте. Фишинговые письма максимально маскируются под официальную переписку, заставляя вас открыть вложение или перейти по ссылке. Как только вы это делаете, ваш компьютер заражается вирусом.
Вариацией фишинг-атак, набирающих популярность, является направленная фишинг-атака: вместо рассылки большого количества писем вымогатели отправляют сообщения, точно адаптированные под конкретного человека, часто используя информацию, полученную из открытых профилей в соцсетях. Злоумышленник может выступать в роли нового клиента или даже в роли подрядчика, с которым вы уже работаете.
Некоторые веб-сайты содержат вредоносный код, который использует уязвимости в вашем браузере и операционной системе или обманывает вас, заставляя согласиться на выкуп.
Ссылки на эти сайты могут быть встроены в фишинговые письма. Их также можно направлять с помощью текстовых ссылок, рекламных баннеров или всплывающих окон.
Иногда ransomware пользуется недостатками безопасности в операционных системах или приложениях, которые позволяют распространять и запускать файлы самостоятельно. Это может наносить разрушительное действие. Без необходимости в человеческом участии вирус мгновенно распространяется от компьютера к компьютеру через интернет.
Крупные технологические компании быстро ликвидируют эти дыры в безопасности, как только узнают о них. Это означает, что компании, которые отключают обновления и не пытаются усовершенствовать ИТ-систему, на сегодняшний день являются особенно уязвимыми для такого рода атак.
Как защититься от вируса-шифровальщика
Итак, мы уже поняли, что ransomware может нанести разрушительные действия и потому является дорогостоящим риском. Поэтому возникает закономерный вопрос: как сохранить систему в безопасности?
Подавляющее большинство атак вирусов-вымогателей направлено на то, чтобы обмануть кого-то, поэтому вы можете снизить риски, сделав информацию о ransomware частью тренинга по ИТ-безопасности.
Убедитесь, что любой сотрудник, который использует компьютер, должным образом предупрежден о подозрительных вложениях и ссылках в электронной почте. Удостоверьтесь, что люди, работающие в вашей компании, не забывают об опасности спама и незнакомых писем, особенно фишинговых писем, специально предназначенных для бизнеса или отдельных лиц.
По иронии судьбы владельцы высокотехнологичного бизнеса иногда становятся наиболее уязвимыми. Возможно, потому что они считают информацию о защите слишком очевидной. Не думайте, что то, что очевидно для вас, очевидно для всех в офисе — мошенники повышают уровень в своих атаках.
Вы можете просто выдать каждому сотруднику соответствующий документ и заставить поставить на нем подпись. Но это все равно что ничего. Гораздо эффективнее поговорить с работниками и убедиться, что они действительно осознают опасность и понимают, как ее предотвратить.
В 2017 году произошли одни из самых катастрофичных хакерских атак: вирусы WannaCry и NotPetya использовали одну и ту же уязвимость в операционной системе Windows. Эта уязвимость была исправлена Microsoft в марте — задолго до того, как эти атаки начались (в мае и июне). А значит, миллиарды долларов, которые потерял бизнес, можно было спасти благодаря простым действиям.
В ситуации домашнего офиса самый простой способ сохранить исправление вашей операционной системы — это просто оставить автоматическое обновление. Да, эти сообщения о перезагрузке компьютера сильно раздражают, но это не столь страшно по сравнению с потерей всей вашей работы.
Еще одна беда ПО, о которой многие не знают, — это заражение вирусом роутера. Если хакер управляет им, он может перенаправлять веб-браузер на вирусную страницу. Руководство по обновлению прошивки содержится в инструкции к роутеру.
Ничто не заставит вас платить деньги вымогателю, если у вас есть резервная копия со всей жизненно важной информацией. Понятно, что все равно вы не сможете перетащить на диск всю информацию и всегда останется то, что имеет реальную стоимость. Поэтому не стоит экономить на обучении персонала только потому, что у вас есть резервные копии. Но это позволит вам минимизировать проблемы.
Для фрилансеров, консультантов, людей, завязанных на домашнем офисе, для хранения файлов будет достаточно платного облачного хранилища. Таким образом, вы просто сохраняете все важные рабочие документы в папке, которая синхронизируется с облаком.
Когда в офисе более одного компьютера, есть ключевой фактор, определяющий, насколько тяжело вам причинить вред, — объем информации, которую можно зашифровать. Чем больше файлов и жестких дисков вирус-шифровальщик затронет, тем больше времени потребуется на восстановление данных из резервных копий и тем дольше бизнес будет простаивать.
Сотрудникам не нужна учетная запись с доступом ко всей информации. Им достаточно учетной записи, которая дает возможность выполнять свою работу.
Восстановление после атаки
Если у вас есть резервные копии и налажен процесс восстановления информации, вы быстро справитесь с проблемой.
Нужно ли платить выкуп? Нет. Почему?
Киберпреступники обращают внимание на то, откуда к ним идут деньги. Если вы выполните их требования, они снова попытаются вас взломать. Как клиент, готовый платить, вы становитесь для них выгодной целью. Тот факт, что вы платите за выкуп чужим людям, чтобы вернуть свои данные, как бы сигнализирует о том, что в целом безопасность ИТ-системы в вашей компании обеспечена не на 100%. Киберпреступники обмениваются этой информацией или продают ее друг другу .
- Это плохая карма
Перечисление денег преступникам делает хуже жизнь всех, кто пытается зарабатывать честным трудом. Потому что единственная причина, по которой мошенники не прекращают свою черную работу, — это потоки денег, поступающие от растерянных жертв. Не становитесь частью порочной системы.
- Есть большая вероятность, что это не сработает
Поймите, что для мошенников вы находитесь вне поля контроля. Вы рискуете потерять не только деньги, но и время, эффективность, которую могли бы инвестировать в работу .
После восстановления файлов перейдите к работе над ошибками, чтобы понять суть проблемы. Открывали ли сотрудники фишинговое электронное письмо? Не кликнули ли они на баннер с вирусом? Может быть, есть сложности с ПО или операционной системой? Как бы то ни было, вам нужно сделать все, чтобы случившееся не повторилось.
Если речь идет о человеческом факторе, убедитесь, что все в офисе проинформированы о том, как произошла атака. Есть высокая вероятность того, что персонал столкнется с подобными атаками в будущем. Убедитесь, что все знают, на что обращать внимание.
Плохая идея — искать и назначать виновных, даже если вас сильно раздражает то, что кто-то открыл фишинговое письмо. Это создает препятствие на пути к честному осознанию произошедшего. К тому же это усложняет коммуникации. Все, что действительно нужно в этой ситуации, — это информированность персонала и грамотные специалисты, готовые взять на себя контроль за ИТ-системой.
Как работает вирус вымогатель Petya?
Правильное название этого вируса — Petya.A. Отчет ESET раскрывает некоторые возможности Diskcoder.C (он же ExPetr, PetrWrap, Petya или NotPetya)
По статистике всех пострадавших , вирус распространялся в фишинговых письмах с зараженными вложениями. Обычно письмо приходит с просьбой открыть текстовый документ, а как мы знаем второе расширение файла txt.exe скрывается, а приоритетным является последнее расширения файла. По умолчанию операционная система Windows не отображает расширения файлов и они выгладят вот так:
Так что я рекомендую вам включить отображение расширений.
В 8.1 в окне проводника (Вид \ Параметры папок \ Убираем галочку Скрывать расширения для зарегистрированных типов файлов)
В 7 в окне проводника (Alt \ Сервис \ Параметры папок \ Убираем галочку Скрывать расширения для зарегистрированных типов файлов)
И самое страшное, что пользователей даже не смущает, что письма приходят от неизвестных пользователей и просят открыть непонятные файлы.
В отличие от других программ-вымогателей, после того как этот вирус запущен, он немедленно перезапускает ваш компьютер, и когда он загружается снова, на экране появляется сообщение: “НЕ ВЫКЛЮЧАЙТЕ ВАШ ПК! ЕСЛИ ВЫ ОСТАНОВИТЕ ЭТОТ ПРОЦЕСС, ВЫ МОЖЕТЕ УНИЧТОЖИТЬ ВСЕ ВАШИ ДАННЫЕ! ПОЖАЛУЙСТА, УБЕДИТЕСЬ, ЧТО ВАШ КОМПЬЮТЕР ПОДКЛЮЧЕН К ЗАРЯДКЕ!”. Хотя это может выглядеть как системная ошибка, на самом деле, в данный момент Petya молча выполняет шифрование в скрытом режиме. Если пользователь пытается перезагрузить систему или остановить шифрования файлов, на экране появляется мигающий красный скелет вместе с текстом “НАЖМИТЕ ЛЮБУЮ КЛАВИШУ!”. Наконец, после нажатия клавиши, появится новое окно с запиской о выкупе. В этой записке, жертву просят заплатить 0.9 биткойнов, что равно примерно $400. Тем не менее, это цена только за один компьютер. Поэтому, для компаний, которые имеют множество компьютеров, сумма может составлять тысячи. Что также отличает этого вымогателя, так это то, что он дает целую неделю чтобы заплатить выкуп, вместо обычных 12-72 часов, которые дают другие вирусы этой категории.
Более того, проблемы с Petya на этом не заканчиваются. После того, как этот вирус попадает в систему, он будет пытаться переписать загрузочные файлы Windows, или так называемый загрузочный мастер записи, необходимый для загрузки операционной системы. Вы будете не в состоянии удалить Petya вирус с вашего компьютера, если вы не восстановите настройки загрузочного мастера записи (MBR). Даже если вам удастся исправить эти настройки и удалить вирус из вашей системы, к сожалению, ваши файлы будут оставаться зашифрованными, потому что удаление вируса не обеспечивает расшифровку файлов, а просто удаляет инфекционные файлы. Конечно, удаления вируса имеет важное значение, если вы хотите продолжить работу с компьютером
После попадания на ваш компьютер под управлением системы Windows, Petya практически мгновенно зашифровывает MFT (Master File Table — главная таблица файлов). За что же отвечает эта таблица?
Таким образом, в отличии от Wanna Cry, Petya.A не шифрует отдельные файлы, тратя на это внушительное время - он просто отбирает у вас всякую возможность найти их.
Кто создал вирус Петя?
Как удалить вирус Petya?
Как удалить вирус Petya.A с вашего жесткого диска? Это крайне интересный вопрос. Дело в том, что если вирус уже заблокировал ваши данные, то и удалять будет, фактически, нечего. Если вы не планирует платить вымогателям (чего делать не стоит) и не будете пробовать восстанавливать данные на диске в дальнейшем, вам достаточно просто произвести форматирование диска и заново установить ОС. После этого от вируса не останется и следа.
Если же вы подозреваете, что на вашем диске присутствует зараженный файл - просканируйте ваш диск антивирусом от компании ESET Nod 32 и проведите полное сканирование системы. Компания NOD 32 заверила, что в его базе сигнатур уже есть сведения о данном вирусе.
Дешифратор Petya.A
Petya.A зашифровывает ваши данные очень стойким алгоритмом шифрования. На данный момент не существует решения для расшифровки заблокированных сведений.
Несомненно, мы бы все мечтали получить чудодейственный дешифратор (decryptor) Petya.A, однако такого решения просто нет. Вирус WannaCry поразил мир несколько месяцев назад, но лекарство для расшифровки данных, которые он зашифровал, так и не найдено.
Единственный вариант, это если ранее у вас были теневые копии файлов.
Поэтому, если вы еще не стали жертвой вируса Petya.A - обновите ОС систему, установите антивирус от компании ESET NOD 32. Если вы все же потеряли контроль над своими данными - то у вас есть несколько путей.
- Заплатить деньги. Делать этого бессмысленно! Специалисты уже выяснили, что данные создатель вируса не восстанавливает, да и не может их восстановить, учитывая методику шифрования.
- Попробовать удалить вирус с компьютера, а ваши файлы попробовать восстановить с помощью теневой копии (вирус их не поражает)
- Вытащить жесткий диск из вашего устройства, аккуратно положить его в шкаф и жать появления дешифратора.
- Форматирование диска и установка операционной системы. Минус - все данные будут утеряны.
Petya.A и Android, iOS, Mac, Linux
Многие пользователи беспокоятся - «а может ли вирус Petya заразить их устройства под управлением Android и iOS. Поспешу их успокоить - нет, не может. Он рассчитан только на пользователей ОС Windows. То же самое касается и поклонников Linux и Mac - можете спать спокойно, вам ничего не угрожает.
С того самого времени, когда компьютеры перестали быть огромными и дорогими, и начали все активнее проникать в повседневную жизнь предприятий и обычных людей, в эти самые компьютеры начали проникать вредоносные программы, называемые вирусами.
Действие их варьируется от навязчивого, но сравнительно безвредного показа рекламы и загрузки ненужных сайтов, до серьезных разрушений в виде стертого диска, изменений в БИОС, тайной загрузки вредоносных программ, способных красть деньги со счетов владельцев компьютеров и т. п. Если есть подозрения, что компьютер ведет себя как-то странно, то следует проверить наличие на нем вирусов, сделать это самостоятельно, или воспользоваться услугами фирм, готовых выполнить диагностику компьютеров на наличие виртуальной заразы и вылечить их.
Вирусы-вымогатели
Всё новые и новые вирусы этого типа стали появляться:
- TeslaCrypt. Жертвой шифрования становились игры.
- Cryptowall. Не только шифровала, но и тасовала расширения файлов.
- Ransom32. Программа-вымогатель, позволяющая настраивать свои параметры, шифрующая файлы и требующая за расшифровку денег.
Существуют и другие подобные программы: Radamant, Tox и другие.
Подобный тип вирусов – реальная проблема, т. к. взлом их и создание программ-расшифровщиков не всегда удается. Мало того, при изменении версии программы-вымогателя, в которой был изменен алгоритм шифрования и использована более стойкая криптозащита, программы-расшифровщики перестают работать.
К сожалению, антивирусные программы на данном этапе не помогут спасти файлы. Максимум, что они сделают – найдут и уничтожат сам вирус. Но файлы так и останутся зашифрованными. Останется надеяться, что уже существуют дешифраторы для того вируса, который похозяйничал у вас в системе.
Как вообще проникает эта зараза в компьютер? В большинстве случаев сами пользователи пускают ее к себе. Нажав на ссылку в электронном письме, открыв вложенный файл, дается добро вирусу на проникновение в систему. Последствия мы уже описали.
Возможные последствия
Как поступать, если случилась неприятность, и подобный вирус уже активно работает на компьютере? Вариантов два: заплатить (надеясь, что файлы вам действительно расшифруют) или смириться с потерей файлов. Цена, которую требуют такие программы, может быть разной. При этом доступ к компьютеру может остаться свободным, или же программа заблокирует и эту возможность.
Платить придется с помощью СМС, или с помощью биткоинов. Вы слышали о таких? Большинство ограничивается только тем, что это слово действительно когда-то где-то было прочитано (услышано), о что это и как это работает – не знают. При этом далеко не все свободно пользуются электронными деньгами той или иной платежной системы, да и онлайн-платежи при помощи обычных банковских карт могут оказаться для кого-то сложным делом.
Радикальный способ – забыть о потерянных файлах. Даже если там было что-то нужное или важное. Скорее всего, придется заново переустанавливать систему, форматировать диск. И не надо забывать, что вирус может заразить несколько компьютеров в сети вашего офиса или дома. Очистив таким образом один или несколько компьютеров, но пропустив наличие программы-вымогателя на каком-либо другом, велик риск, что спустя какое-то время он опять проникнет на очищенные компьютеры, и все начнется сначала.
Способы защиты от программ-вымогателей
Как с любой болезнью, лучше заниматься профилактикой заболевания, чем ее лечением. Итак, несколько простых рекомендаций:
- Будьте осторожны с электронными письмами. Это один из основных и, как показывает практика, наиболее эффективных способов распространения вирусов. Заманчивые предложения скидок, бонусов, предложений о работе, присланном счете с любезно предоставленной тут же ссылкой на какой-либо сайт, с большой долей вероятности приведут к заражению компьютера той или иной вредоносной программой.
Неизвестные вам отправители, не относящиеся к вам темы – достаточные критерии того, что письмо нужно сразу удалять. - Резервируйте важные данные. Все файлы, потеря которых нежелательна, надо резервировать, причем копию хранить не на том же диске в соседней папке, а на отдельном носителе, например, переносном жестком диске или флешке. Можно использовать и онлайн-хранилища (яндекс/google диски и т.п.).
- Осторожно относиться к скачиваемым программам и рекламе. Если при нажатии на рекламный баннер вам рекомендуют обновить просмотрщик изображений, медиа-плеер, браузер или что-то подобное, то есть риск, что вместо нужного обновления будет скачано и установлено вредоносное ПО.
- Устанавливайте обновления системы и антивируса. Наличие хорошего антивируса – обязательное условие. Следует регулярно его обновлять, а также проводить проверку системы. Устанавливайте и обновления для самой системы.
Что такое вирус вымогатель
Если подходить буквально к определению вируса вымогателя, то он делает именно то, что написано в его названии. Под разными предлогами вымогает у пользователей деньги.
Вирус вымогатель использует различные психологические факторы для того, чтобы заставить вас сделать то, что нужно злоумышленнику. Однако, все виды вируса объединяет одно - это задача заставить начинающего и неопытного пользователя бояться. Например, угрожать удалением всех ваших файлов, если вы не заплатите в кратчайшие сроки. Или же сообщить о наличии незаконных материалов на вашем компьютере, если вы не пошлете очищающий вас от наговора SMS на какой-либо номер. Существует масса примеров. И все они базируются на давлении, страхе, незнании и необходимости быстрого принятия решений. В прочем, эти же признаки легко применимы и к вымогателям в реальной жизни.
Примечание: Как и в реальной жизни, мошенники рассчитывают не только на тот факт, что из-за страха вы заплатите, но и на тот факт, что тот же страх заставит вас умолчать о самом факте выплаты вымогателям.
Как действует вирус вымогатель
Технически, такое специфическое вредоносное программное обеспечение в основном использует социальную инженерию (в некотором роде, наивность и неграмотность пользователей), что помогает им с легкостью обойти антивирусные программы.
Вирус использует ложные сообщения с настойчивым призывом перейти по ссылке. Обычно, это различные всплывающие окна на зараженных веб-страницах, которые запускаются по средствам JavaScript. Вид таких окон достаточно разнообразен. От ложных сообщений популярных антивирусных программ до наполненных радужными цветами сообщениями об огромном выигрыше. Пример такого сообщения вы можете увидеть ниже на рисунке:
Примечание: Необходимо понимать, что такие вирусы могут быть не только на неизвестных сайтах, но и на крупных и популярных порталах. Не из корыстных целей владельцев порталов, а из-за непосредственного взлома самих сайтов или наличия вируса в рекламных блоках.
Переход по такой ссылке, позволит мошенникам установить вредоносный код на ваш компьютер. И тут основная проблема в том, что, обычно, после установки, вирус вымогатель отключает антивирус и блокирует возможность войти в компьютер. Перед вами будет только окно со страшными и угрожающими сообщениями и требованием отослать SMS или перевести деньги на какой-либо счет. Причем далеко не обязательно, что единичного перевода будет достаточно и что вирус будет удален с компьютера. Поэтому ни в коем случае никуда ничего не посылайте и не переводите.
Самым главным фактором в борьбе с такими вирусами является человеческий. Поэтому запомните самое главное: "любая веб-страница не может просто так получить доступ к вашему компьютеру". Из этого следуют, что если перед вами появились сообщения об опасностях, угрозах, непомерных выигрышах и тому подобное, то ни в коем случае нельзя по ним переходить. Все сообщения необходимо соотносить с реальностью. К примеру, даже краткая проверка системы вашим антивирусом занимает не менее 5-10 минут, так как может веб-страница за 1 секунду узнать о нескольких вирусах на вашем компьютере?
Конечно, существуют специализированные средства борьбы с такими вирусами, как, например, программы для удаления рекламного и шпионского ПО. Так же вы можете использовать различные расширения браузеров, такие как NoScript и AdBlock, которые помогут пресечь само появление такого рода всплывающих окошек. Однако, как говорилось ранее, такие вирусы рассчитаны на человеческий фактор, поэтому какие бы программы вы не использовали, никогда не забывайте про свою голову.
Если все же по какой-то причине ваш компьютер заразился таким вирусом, то существует, как минимум, несколько способов решения данной проблемы.
Как удалить вирус вымогатель
Во-первых, попробуйте загрузиться в безопасном режиме с поддержкой сети. Большая часть таких вирусов вымогателей не может блокировать доступ для загрузки Windows в безопасном режиме. Это позволит вам запустить антивирусную проверку вашей систему. Так же если вы используете точки восстановления системы, то можно откатить Windows до последней версии.
Во-вторых, всегда держите под рукой флешку или CD/DVD с загрузочным диском. Так вы сможете загрузить систему и без каких-либо препятствий проверить ваш компьютер на наличие вирусов.
В-третьих, если у вас нет доступа к интернету, но есть возможность запустить систему в безопасном режиме или загрузится с диска или флешки, то стоит поискать в системе самые последние созданные исполняемые файлы (exe, com, bat и т.д.) на системном диске.
Дело в том, что, обычно, такие вирусы не перезаписывают другие файлы, а создают свои копии на системном диске. Так же, часто, у этих исполняемых файлов стоит последняя дата создания или изменения. Поэтому есть большая вероятность, что такой простой поиск позволит быстро найти файлы с вирусами.
Как только вы их найдете, попробуйте их переименовать, предварительно сохранив все оригинальные названия. Если после запуска вирус остался, то стоит еще раз проверить наличие ранее переименованных файлов. Если один из таких файлов появился снова, значит при старте файл копируется из другого места. В данной ситуации стоит либо заменить файл любым другим и изменить права для перезаписи, либо поискать в системе все последние созданные файлы и сравнить их размер. Если нашли идентичный по размеру, то меняйте название идентичного и созданного файлов.
Примечание: После очистки, не забудьте вернуть нормальным файлам их оригинальные названия.
В-четвертых, если у вас ситуация как в третьем способе и вы так же знакомы с основами редактирования реестра, то стоит поискать ключи реестра Run и RunOnce и удалить из них параметры для запуска неизвестных приложений. Дело в том, что большинство вирусов вымогателей записывают свой запуск именно в реестре. Поэтому, если удалить запись для запуска, то вирус не запустится и не сможет блокировать Windows.
Примечание: Тем не менее, настоятельно рекомендуется записывать каждое изменение реестра или же в самом начале сделать резервную копию реестра.
Теперь, у вас в запасе всегда будет несколько методов борьбы с вирусами вымогателями.
Поделиться сообщением в
Внешние ссылки откроются в отдельном окне
Внешние ссылки откроются в отдельном окне
За последние полтора месяца компьютеры в разных странах мира дважды атаковали программы-вымогатели - в мае это был вирус WannaCry, в июне - NotPetya, совместивший в себе элементы WannaCry и других вымогателей - Petya и Mischa.
Вредоносные программы-вымогатели известны еще с середины 1980-х годов. Изначально они были нацелены на обычных людей, использующих компьютеры под управлением MS-DOS и Windows.
Сейчас же они угрожают бизнесу и государственным учреждениям. Программ появляется все больше, они становятся дешевле и доступнее.
Русская служба Би-би-си напомнит, с чего все началось.
"Мозг", вышедший из-под контроля
Требование выкупа содержал первый же вирус, вызвавший глобальную эпидемию среди персональных компьютеров. Его история началась в 1986 году в небольшом компьютерном магазине в пакистанском Лахоре.
Управляющие магазином братья Фарук Алви - 17-летний Басит и 24-летний Амджад - разработали программу для отслеживания состояния сердечно-сосудистой системы. Программу тут же украли пираты, в результате братья недополучали прибыль.
Тогда братья создали Brain ("Мозг") - для защиты интеллектуальной собственности, как объяснили они спустя два года журналу Time. Этот вирус должен был атаковать компьютеры с установленной нелегальной копией их медицинской программы.
Вирус замедлял работу жесткого диска и операционной системы любого компьютера, куда вставляли зараженные дискеты. Он быстро вышел из-под контроля и атаковал университеты и компании, где никогда не слышали о программе Фаруков Алви.
Свое детище братья посвятили "миллионам вирусов, которых с нами больше нет", что напоминало пророчество - компьютерные вирусы еще не были столь массовым явлением.
Вирус предлагал позвонить по телефону в тот самый магазинчик в Пакистане, чтобы получить "вакцину". Братья стали получать звонки со всего света.
Они отключили телефоны и, не понеся никакого наказания, продолжили заниматься бизнесом - уже легальным: сейчас Фаруки Алви владеют крупным пакистанским интернет-провайдером Brain Net.
Вирус о вирусе
В 200 километрах от Нью-Йорка расположен сад бабочек, названный в честь биолога-эволюциониста Джозефа Поппа. Попп известен в научной среде благодаря книге "Популярная эволюция: жизненные уроки из антропологии", изданной им в 2000 году.
Еще более известен он в среде компьютерщиков как автор одного из самых экстравагантных вирусов-вымогателей.
В 1989 году Попп разослал за пределами США более 20 тыс. дискет, содержащих, как следовало из писем, образовательные программы о СПИДе некой PC Cyborg Corporation. Значительную часть адресатов составили европейские исследователи синдрома приобретенного иммунодефицита.
Программы действительно просвещали о СПИДе - первое время пользования. После нескольких перезагрузок содержащийся в них вирус скрывал папки и шифровал файлы, требуя выплатить 189 долларов за "продление лицензии" на счет в Панаме.
Хотя вернуть файлы в прежнее состояние не составляло труда, одна итальянская организация по изучению СПИДа все же потеряла накопленный за десять лет архив.
Попп возвращался с конференции в Найроби через амстердамский аэропорт, когда прочитал в журнале, что вирус заразил уже около 1000 компьютеров. Он написал на багаже другого пассажира "Доктора Поппа отравили" и привлек внимание полиции. В его багаже нашли логотип PC Cyborg Corporation.
Поппа арестовали дома в Огайо несколько дней спустя и экстрадировали в Великобританию по обвинению в десяти случаях шантажа. Перед судом он вел себя странно: ходил с картонной коробкой на голове, накручивал бороду на бигуди - для "предотвращения радиации", и презервативами на носу - чтобы "защититься от микроорганизмов".
В итоге лондонский суд признал Поппа невменяемым и отправил обратно в Америку.
Вымогатель для взрослых
Бурный рост программ-вымогателей начался после 2015 года. Это обусловлено распространением мобильного интернета и криптовалют, которые позволяют злоумышленникам анонимно собирать средства со своих жертв.
Двое мужчин в костюмах за компьютером, логотип ФБР и Барак Обама. Коллаж сопровождался номером "дела" и фотографией "обвиняемого" в процессе просмотра порно - такую картину рано или поздно видели на своих смартфонах пользователи приложения Adult Player.
Приложение не только тайно фотографировало пользователей, но и блокировало устройство до выплаты "штрафа" в 500 долларов. На выплату жертве отводилось 24 часа.
Это приложение обнаружили в 2015 году исследователи из американской компании Zscaler. Так и осталось неизвестным, кто его создатели и сколько денег они собрали.
Финансовые показатели злоумышленников стали открытыми только с приходом биткойнов. Так, за первые три дня действия вируса WannaCry злоумышленники собрали 23,5 биткойна (65,8 тыс. долларов), на кошелек NotPetya за тот же срок пришло 4 биткойна (10,3 тыс. долларов).
Читайте также: