© Игорь Ставцев/Коллаж/Ridus
Ровно 28 лет назад, 22 января 1990 года закончилось слушание по делу Роберта Таппана Морриса — программиста, известного как создатель «Червя». Для тех, кто не в курсе, «Червь» — это вредоносная компьютерная программа, способная самостоятельно распространяться через локальные и глобальные сети.
Другими словами, это вирус, который на несколько суток заблокировал тысячи компьютеров мира. В конце восьмидесятых программисты еще не сталкивались с хакерами, и выведенные из строя военные, школьные и рабочие компьютеры повергли их в шок. Но ситуацию быстро удалось поправить, когда специалисты из университета Беркли смогли декомпилировать код вредоносной программы.
Что касается Морриса, то суд назначил ему 400 часов общественных работ, $10000 штрафа, испытательный срок в три года и оплату расходов, связанных с наблюдением за осужденным. Тогда программисты еще не предполагали, что через 10 лет появятся умельцы, которые придумают вирусы пострашнее «Червей».
«Ридус» предлагает вспомнить, какие необычные и опасные вирусы пытались напасть на наши компьютеры за последние 20 лет. Самым первым разработанным вирусом считается программа Elk Cloner для компьютеров Apple II, которую создал 15-летний школьник. После того как компьютер загружался с заражённой дискеты, автоматически запускалась копия вируса. Вирус не влиял на работу компьютера, за исключением наблюдения за доступом к дискам. Когда происходил доступ к незаражённой дискете, вирус копировал себя туда, заражая её, медленно распространяясь с диска на диск. Интересно то, что когда вирус попадал в устройство, на экране появлялся стишок: ELK CLONER: THE PROGRAM WITH A PERSONALITY IT WILL GET ON ALL YOUR DISKS IT WILL INFILTRATE YOUR CHIPS YES, IT’S CLONER IT WILL STICK TO YOU LIKE GLUE IT WILL MODIFY RAM, TOO SEND IN THE CLONER! Особого вреда вирус не доставлял, поэтому сегодня мало кто помнит о Elk Cloner. А вот о первой вирусной эпидемии забыть сложно: туда попал и «Червь Морриса», и DATACRIME, и AIDS. Вирусы DATACRIME стали широко распространяться в 1989 году в Нидерландах, США и Японии.
Вирусная программа полностью разрушала файловую систему и за все время существования поразила около 100 тысяч компьютеров. На такую угрозу отреагировала даже компания IBM, выпустив свой детектор VIRSCAN, позволяющий искать характерные для того или иного вируса строки (сигнатуры) в файловой системе.
Из червей в кони
В том же году появился первый «троянский конь» AIDS. Вирус делал недоступной всю информацию на жёстком диске и высвечивал на экране лишь одну надпись: «Пришлите чек на $189 на такой-то адрес». Вскоре автора вируса поймали при попытке обналичить чек и осудили за вымогательство. С начала 90-х годов начинается «эра компьютерных вирусов», когда вредоносные программы принимают глобальные размахи. Компьютерные пользователи конца девяностых наверняка помнят вирус CIH, более известный как «Чернобыль». Тайваньский студент Чэнь Инхао изначально заразил вирусом компьютеры в своем университете, откуда вирусы распространились практически по всему миру, в том числе и в Россию. «Чернобыль» работал только на компьютерах под управлением Windows 95/98/ME, и сразу после активации начинал уничтожать всю информацию с жестких дисков, а также повреждать данные микросхем BIOS. Всего от Чернобыля пострадало около 500 000 персональных компьютеров по всему миру, убытки оцениваются в $ 1 млрд, но создатель вируса так и не был осужден, и по последним данным сейчас он работает в компании по производству компьютерной техники Gigabyte. Кстати, вирус запускался на компьютерах 26 апреля, в день памяти погибших на Чернобыльской АЭС, за что CIH позже и получил свое название.
Письма «счастья»
Чаще всего вирусы попадают на наши устройства через электронную почту: открывая письмо, мы автоматически пускам зараженную программу или загружаем ее сами. К таким файловым вирусам, передающимся по электронной почте, относится Storm Worm — троянский конь, заражающий операционные системы Microsoft Windows. В отличие от «червей», распространяющихся самостоятельно, троянский конь — это дело рук человека: злоумышленник либо сам загружает вирус на ваше устройство, или предлагает вам самостоятельно заразить компьютерную систему, например, скачать подозрительный файл. Для достижения последнего троянские программы часто помещают на сайты с файлообменом. Загрузив такую программу, многие могут долго не подозревать, что их компьютер заражен, так как «трояны» зачастую имитируют имя и иконку какой-нибудь программы. Причем последнее время злоумышленники стали вставлять вирус в реальные программы, а не в файлы-пустышки. Вреда от троянских программ достаточно: все может начинаться с небольших неполадок в работе компьютера, а закончиться полным уничтожением всех данных или слежкой за пользователем, например, какие сайты он посещает.
Так, в 2007 году Storm Worm атаковал пользователей Windows, заразив почти десять миллионов компьютеров. Распространялся троянский конь в основном по электронной почте письмом с заголовком «230 человек погибли в результате разгромивших Европу штормов» (230 dead as stоrm batters Eurоpe). Во входящем письме был прикреплен файл с вирусом. За последние 20 лет было придумано не мало почтовых вирусов, и те, кто хоть раз попадался на удочку, были уверены, что «больше никаких подозрительных писем». Но хакеры-то знают наши слабости!
Еще один интересный почтовый вирус называется «I LOVE YOU», поразивший почти 3 миллиона компьютеров по всему миру. Схема распространения все та же: получил-открыл-загрузил. Пользователям приходило на почту письмо под названием «I LOVE YOU», внутри которого был файл «LOVE-LETTER-FOR-YOU.TXT.VBS». Как несложно догадаться, самые любопытные заработали вредоносную программу, которая поражала не только их компьютер, но и отправляла новые любовные письма контактам из адресной книги. Ущерб, нанесённый вирусом, составляет $ 10–15 миллиардов, из-за чего он был занесён в Книгу рекордов Гиннесса, как самый разрушительный компьютерный вирус в мире. Бывает и так, что для получения вируса достаточно ничего не делать — хакеры все сделают за тебя. Например, в начале 2000-х по миру прошелся компьютерный червь SQL Slammer, который сам генерировал случайные IP адреса и отправлял себя по ним. 25 января 2003 года он поразил сервера Microsoft и ещё 500 000 серверов по всему миру, что привело к значительному снижению пропускной способности интернет-каналов, а Южную Корею, вообще, отключил от интернета на 12 часов. Как позже выяснилось, замедление было вызвано крахом многочисленных маршрутизаторов, из-за очень высокого исходящего трафика с заражённых серверов. Вредоносная программа распространялась с неимоверной скоростью: за 10 минут она инфицировала около 75 000 компьютеров.
Хакеры отакуют
Компьютерный червь Stuxnet — относительно недавний вирус, появившийся в 2010 году. Его особенность была в том, что он мог шпионить не только за домашними ПК, но и собирать данные с компьютеров крупных предприятий, электростанций, аэропортов и т. д. Считается, что вирус Stuxnet был разработкой спецслужб Израиля и США, направленной на предотвращение ядерного проекта Ирана. В качестве доказательств эксперты привели слово «MYRTUS», содержащееся в коде червя.
«Myrtus» может означать как веточку мирта, так и имя Есфирь (по-еврейски Hadassah). Эта иудейка была одной из жен персидского царя Ксеркса. Согласно Ветхому Завету, будучи хитроумной и смелой, эта женщина раскрыла и предупредила заговор персов против евреев. В результате израильтяне спасли свои жизни и отомстили угнетателям. В воспоминание об этом у евреев установлен праздник Пурим. Кроме того, в коде встречается дата 9 мая 1979 года (19790509). Напомним, что в этот день произошла казнь известного иранского промышленника Хабиба Эльганяна. Вирус каким-то образом попал в систему управления компьютеров ядерного завода, и начал свою почти незаметную работу. Stuxnet постепенно увеличивал скорость вращения ядерных центрифуг, которые поддерживали завод, медленно разрушая их. Вирус уничтожил около 1/5 центрифуг на ядерном объекте в Натанзе. Через год, Хиллари Клинтон скажет, что проект по разработке вируса Stuxnet оказался успешным и иранская ядерная программа таким образом будет отброшена на несколько лет назад Тогда, в 2010 году, вирус распространился через Интернет и на другие компьютеры, многие из которых могли принадлежать промышленным организациям, например, водохранилищам или атомным электростанциям. Но вирус успели вовремя декодировать.
Не без уязвимости
С развитием вирусов, естественно, стали появляться и антивирусные программы, которые сейчас есть практически на каждом компьютере. Если не бродить совсем уж по злачным сайтам, шанс подцепить вирус крайне мал. Но он все-таки есть, например, вирус может проникнуть на ваше устройство через уязвимость. Этим воспользовался и вирус 2017 года «WannaCry», от которого пострадало около 500 тысяч компьютеров с операционной системой Windows. Этот сетевой червь через Интернет искал компьютеры с уязвимостью EternalBlue, и в случае успеха, устанавливал бэкдор DoublePulsar, через который загружался и запускался исполняемый код программы WannaCry. Дальше по известной схеме: вирус проникал в операционную систему, блокировал все данные и далее вымогатели требовали выкуп за расшифровку. Причем хакеры WannaCry решили не отставать от модной тенденции, и требовали выкуп в биткоинах. Похожий вирус прошлого года — «Petya», создатели которого тоже требовали выкуп за расшифровку в биткоинах. Но в отличие от «WannaCry» вредоносная программа блокировала не только данные, но и поражала операционную систему запуска. Раз уж мы упомянули об уязвимостях, с помощью которых вирусы могут попасть на наши устройства, нельзя не упомянуть про Meltdown и Spectre, о которых заговорили в начале января 2018 года. Сообщалось, что все процессоры Intel после 2010 года выпуска и AMR64 подвержены этой уязвимости, из-за которой у злоумышленников появляется доступ к вашим паролям, даже если весь ваш софт идеально написан и пропатчен. Над уязвимостью еще в декабре 2017 года стал работать Линус Торвальдс со своей командой, и как сообщалось, специалистам удалось ее устранить. В конце года появились патчи для операционных систем Windows и Linux, и, казалось бы, беда миновала, но все оказалось не так просто. Патч, который решает проблему с Intel, начал сильно тормозить работу компьютеров. Те, кто использует ПК для игр или проводит время в интернете, замедление устройства вряд ли заметит, но, если у вас на Intel файлохранилище, падение производительности может быть до 50%.
Помоги себе сам
К тому же не стоит забывать, что Meltdown — это один из способов эксплуатации этой уязвимости, всего их представлено три. И двум другим, получившим общее название Spectre, процессоры AMD или Samsung очень даже подвержены. Большая проблема этих уязвимостей еще и в том, что подобрать патч для Spectre гораздо сложнее, чем для Meltdown. И на данный момент такого патча просто нет. Трудность в том, что наложить «заплатку» только на ядро недостаточно, надо патчить сами приложения, чтобы они не давали другим программам проникать в свою память. А теперь давайте представим, сколько времени уйдет у программистов, чтобы создать патчи для всех программ. Пока такие средства защиты еще не сделаны, эксперты предлагают обезопасить себя самим, например, включить все средства защиты в браузерах и прочих приложениях. Конечно, лучше прислушаться к совету специалистов, но важно понимать, что 100% защиты такие действия не дадут. Единственное, что может внести хоть какой-то вклад в решение ситуации — это обновление микрокода процессоров, которое может выпустить только сама Intel, которая до сих пор полностью не признает существование уязвимости. Кстати, примеры кода, которого достаточно, чтобы вас обокрасть, уже доступны по всему интернету. Поэтому лучшая рекомендация сейчас — это отключить компьютеры от Сети на пару месяцев и никакие носители в него не вставлять. Но понятно, что это подходит почти никому, советует IT-специалист, автор шоу «16 бит тому назад» Дмитрий Бачило.
Если говорить о вирусах в целом, то сейчас все современные антивирусные программы легко справляются с простыми «Червями» или «Троянскими конями», но хакеры не дремлют, и каждый год появляются новые вирусы, к которым разработчики просто не успевают подбирать алгоритмы для антивирусных программ. Поэтому даже в компьютерной сфере нужно следовать правилу «помоги себе сам», и стараться не подвергать свой компьютер лишней опасности.