Sinkabout Наводим на мысли

Вирус «Чернобыль»: 20 лет спустя

Двадцать лет назад, в день памяти о трагедии на Чернобыльской атомной станции, порядка полумиллиона компьютеров по всему миру оказались заражены неизвестным вирусом под названием CIN (впоследствии ставший известным под названием «Чернобыль»). Вирус действовал по принципу «логической бомбы», то есть до «часа икс» он спал и никак не проявлял себя, а 26 апреля 1999 года уничтожил все данные на жёстких дисках инфицированных компьютеров. Sinkabout вспомнил историю его создания и поговорил с IT-специалистом о том, для чего вирус был создан, по какому принципу работал и возможны ли такие угрозы сейчас.

Как появился вирус?

Вирус был написан студентом из Тайваня по имени Чэнь Инхао в то время, пока он учился в местном университете. За пределы Тайваня вирусу удалось выбраться благодаря тому, что Чэнь разослал его в местные интернет-конференции. Всего за неделю CIN заразил компьютеры в других странах. В частности — Австрии, Австралии, Великобритании и Израиле. Впоследствии вирус обнаружили в России и Беларуси. Спустя месяц заражённые файлы выявили на американских web-серверах, которые распространяют игровые программы.

«Вирус долгое время не определялся антивирусными программами того времени, плюс заражал собой любые запущенные на компьютере программы и игры. А массовое распространение он получил, когда были заражены американские серверы с играми. То есть человек скачивает игру, играет, и ничего не происходит. Но в один день компьютер не включается. Невозможно было узнать, есть ли у тебя вирус или нет, пока компьютер не переставал работать», — поясняет IT-специалист Вадим Дмитриев.

Как работал «Чернобыль»?

Фото: pixabay.com

Стоит сразу оговориться: название «Чернобыль» появилось из-за ассоциаций даты активации вируса с годовщиной событий на Чернобыльской АЭС, а также разрушительных и массовых последствий вируса. На самом же деле Чэнь никакой символический смысл в него не вкладывал — это просто была дата его дня рождения. Вирус работал по принципу «логической бомбы» — то есть представлял собой программу, которая запускается при определённых временных или информационных условиях. Логические бомбы, срабатывающие в определённое время, сегодня содержат многие вирусы, например, всем известные «черви». Работал CIN следующим образом: при запуске заражённого файла (например, игры) вирус инсталлировал свой код в память Windows (уязвимыми для вируса являлись только системы Windows 95 и 98), перехватывал обращения к файлам и при открытии EXE-файлов записывал в них свою копию. Также в отдельных случаях вирус наносил повреждения микросхемам BIOS. «Чернобыль» использовал прямой доступ к данным на дисках, и таким образом ему удавалось обходить встроенную в BIOS стандартную антивирусную защиту от записи в загрузочные сектора дисков. После стирания Flash-памяти вирус переходил к стиранию информации на всех установленных винчестерах. Поскольку до момента активации CIH-вирус был совершенно безвреден, его файл весил всего 1 Кб, а сама программа работала как обыкновенная фоновая, подобно любой служебной — отыскать его было сложно. По разным оценкам, ущерб от вируса составил до 1 миллиарда долларов США. И это не считая моральные потери — ведь в 1999 году облачные хранилища ещё не были распространены, и огромное количество пользователей потеряли свои личные данные.

Что произошло потом?

Чэнь Инхао получил серьёзный выговор от университета. Сам автор сказал, что создал вирус, чтобы показать разработчикам программного обеспечения, у которых он купил антивирусные программы, насколько они бесполезны. Он извинился перед пострадавшими и вместе со своим сокурсником написал антивирусную программу для борьбы с «Чернобылем».

Чэня арестовали в 2000 году, но в итоге так и не предъявили обвинений, поскольку местное законодательство тогда не предусматривало ответственности за кибератаки. Впоследствии Чэнь устроился работать разработчиком в софтверную компанию.

Фото: pixabay.com

«Он хотел показать создателям антивирусов, насколько они неэффективно работают. И, конечно, проверить свои силы. Это же ещё был 1998 год, хакерами называли всех, кто разбирался в программировании. При этом само поведение Чэнь не говорит о его злых намерениях: он выпустил исходный код в открытый доступ, сознался после инцидента», — говорит Вадим Дмитриев.

Впоследствии появились модификации вируса с различной длиной, но по функциональности они были похожи на «Чернобыль» — также срабатывали на компьютерах в определённое время, однако таких разрушительных последствий уже не наносили.

«После того как создатель выложил исходный код, антивирусы смогли его определять. При этом начали появляться его подобия, копии от других хакеров. Эта гонка вирусов-антивирусов так работает до сих пор», — добавляет IT-специалист.

По его словам, с 1999 года крупных атак, которые были бы запрограммированы на символическую дату, не было, а сейчас принцип «логической бомбы» используется скорее для точечных атак.

«Сейчас подобный принцип используют в основном для точечных атак. Это чаще всего „мы зашифровали ваши файлы, дайте нам 10000$, или через 10 дней мы всё удалим“. Также есть бот-неты. Это сеть заражённых компьютеров, которые активируются по команде в определённый момент. То есть они заражены вирусом, но не знают об этом, пока не поступит команда извне. Крупных атак на символическую дату с тех времён не было», — заключает Дмитриев.

Какие ещё разрушительные вирусы известны?

В 2006 году «Чернобыль» был включён в топ-10 наиболее разрушительных компьютерных вирусов в мире по версии компьютерного журнала CRN. Также в списке оказались такие вирусы, как «Мелисса», «Я тебя люблю», и ряд других.

Фото: pixabay.com

«Мелисса»

1999 год выдался довольно разрушительным по части появления новых вирусов. Так, вирус «Мелисса», названный американским программистом Дэвидом Л.Смитом в честь стриптизёрши из Майами, оказался самым быстрым по степени распространения. «Мелисса» сочетала в себе возможности сетевого червя и макровируса, используя для распространения адресную книгу Outlook (сейчас ей уже мало кто пользуется). Первым 500 адресам в компьютере пользователя рассылались письма с темой «Важное сообщение». Внутри же был следующий текст: «Вот тот документ, который ты просил... не показывай никому». Прикреплённый файл часто назывался LIST.DOC — щелчок по нему позволял вирусу распространяться дальше. По оценкам CRN, вирус заразил от 15 до 20% компьютеров по всему миру. Автора вируса в результате нашли и приговорили к 20 месяцам тюремного заключения и штрафу в размере 5 тысяч долларов.

ILOVEYOU

Вирус был создан спустя год после «Мелиссы» и распространялся похожим образом. На почту пользователя приходило письмо с темой «I LOVE YOU», к которому был прикреплён файл под названием LOVE-LETTER-FOR-YOU.txt.vbs. Скачав это вложение, пользователь заражал свой компьютер, а вирус отсылал письма по всем адресам в Outlook пользователя и переписывал файлы.

ILOVEYOU причинил ущерб на 8,7 миллиардов долларов, а еще 15 миллиардов ушло на то, чтобы удалить вирус из систем. Авторами вируса оказались филиппинские программисты Реонаеля Рамонес и Онель де Гузман. Их задержали, однако из-за того, что в филиппинском законодательстве на тот момент не было статьи, предусматривающей ответственность за кибератаки, программистов отпустили.

Conficker

Вирус Conficker появился в сети 21 ноября 2008 года. Он атаковал операционные системы Microsoft Windows — начиная от Windows 2000 до Windows 7. Всего за два месяца вирус смог поразить 12 миллионов компьютеров по всему миру — используя уязвимость службы Server service, вирус скачивал сам себя из интернета. В свою очередь компания Microsoft даже назначила награду в размере 250 тысяч долларов за информацию о создателях вируса, однако их так и не нашли. Вирус существует до сих пор, постоянно изменяясь, а причинённый им ущерб оценивается в 9,1 миллиарда долларов.

WannaCry

12 мая 2017 года большое число компьютеров, работающих на операционной системе Windows, подверглось атаке вируса-вымогателя WannaCry (от англ. «хочу плакать»). Вирус действовал следующим образом: он шифровал файлы пользователя, чтобы их нельзя было использовать; а за расшифровку данных злоумышленники требовали заплатить 600 долларов в криптовалюте биткойн. Всего было заражено до 300 тысяч компьютеров в 150 странах мира, а предполагаемый ущерб превысил миллиард долларов. Среди пострадавших — Национальная система здравоохранения Великобритании, испанская телекоммуникационная компания Telefonica, электронная система суда бразильского штата Сан-Паулу, а также ряд ведомств и компаний в России. Так, атаке WannaCry подверглись системы МЧС, МВД, РЖД, Сбербанка, а также мобильных операторов «Мегафон» и «Вымпелком».

Petya

27 июня 2017 года от атаки компьютерного вируса-шифровальщика Petya пострадали десятки компаний в России и на Украине. Вирус действовал схожим образом: он распространялся через ссылки в сообщениях электронной почты и блокировал доступ пользователя к жёсткому диску компьютера. За разблокировку хакеры требовали выкуп в размере 300 долларов в биткойнах. В России атаке подверглись компьютерные системы «Роснефти», «Башнефти», «Евраза», российских офисов компаний Mars, Mondeles и Nivea. На Украине от вирусной атаки пострадали компьютеры «Киевэнерго», «Укрэнерго», «Ощадбанка» и концерна «Антонов». Кроме того, из-за вируса временно отключился автоматический мониторинг промышленной площадки на Чернобыльской АЭС.

490
Написать свой комментарий...