Цифровые эпидемии

Сегодня вирусы превратились в серьезную угрозу стабильности компьютерных сетей во всем мире. Ежедневно обнаруживается примерно 450 000 новых вредоносных программ. Все они наносят ущерб не только обычным пользователям Интернета, но и ставят под угрозу корпоративные сети.

Стоит сказать, что компьютерные вирусы — это всего лишь один вид вредоносного ПО (больше о вредоносном ПО мы рассказываем здесь). Однако на деле, классические вирусы не так широко распространены: многие известные кибератаки были вызваны компьютерными червями, более заразными и независимыми.

В этой статье мы расскажем об отличиях вирусов и червей, а также о масштабных компьютерных эпидемиях, вошедших в историю.

Компьютерный вирус — это тип вредоносного ПО, которое распространяется, вставляя свою копию в другую программу (“инфицируя”) и становясь ее частью. Практически все вирусы прикреплены к хосту (“хозяину” — например, исполняемому файлу или документу), что означает, что вирус может существовать в системе, но бездействовать, пока пользователь не запустит или не откроет вредоносный хост-файл или программу. Когда выполняется код хоста, выполняется и вирусный код.

Вирус распространяется, если программное обеспечение или документ, к которому он прикреплен, переносится с одного компьютера на другой. Способы передачи: общая сеть или диск, электронная почта, соцсети и мессенджеры, совместно используемые файлы.

Компьютерные черви похожи на вирусы тем, что они копируют свои функциональные копии, но, в отличие от вирусов, которые требуют распространения зараженного хост-файла, черви автономны и не требуют участия человека или хост-программы.

Для распространения червь использует либо уязвимость в целевой системе, либо обман пользователя, чтобы заставить его запустить себя. Также вредонос использует функции передачи файлов или информации в системе, чтобы перемещаться без посторонней помощи. Более продвинутые черви используют технологии шифрования, очистки и вымогателей.

Программа Creeper, о которой часто говорят как о первом вирусе, была создана в 1971 году. Заразив новый жесткий диск, Creeper пытался удалить себя с предыдущего компьютера. Creeper не был вредоносом в общем понимании, так как не причинял вреда данным — он лишь выводил простое сообщение: "I'M THE CREEPER. CATCH ME IF YOU CAN!" (Я CREEPER. ПОЙМАЙ МЕНЯ, ЕСЛИ СМОЖЕШЬ!)

А первый компьютерный червь Reaper был разработан как антивирус, который и должен был удалить программу Creeper.

Brain

Первая эпидемия была вызвана вирусом Brain, который заражал загрузочные сектора дискет. Вирус был разработан братьями Амджатом и Базитом Алви в 1986, а впервые обнаружен летом 1987. Вредонос должен был наказывать местных пиратов, ворующих программное обеспечение у фирмы братьев. Однако неожиданно для всех Brain вышел за границы Пакистана и заразил сотни компьютеров по всему миру.

Червь Морриса

2 ноября 1988 года Роберт Моррис распространил вредонос, который впоследствии назвали его именем. Червь Морриса нарушил работу свыше 6200 компьютеров, большинство сетей вышло из строя на срок до пяти суток.

Изначально вирус задумывался как безвредный, однако в сети червь показал себя более разрушительным, чем планировалось. Ошибка Морриса в кодировании, указавшая червю копировать себя независимо от статуса заражения компьютера, превратила червя из потенциально безвредного вычислительного упражнения в вирусную атаку типа «отказ в обслуживании». А сам Моррис стал первым человеком в истории, которого осудили в соответствии с законом о компьютерном мошенничестве.

I LOVE YOU

ILOVEYOU (он же Love Bug или Love Letter) — занесен в Книгу рекордов Гиннеса как самый опасный вирус всех времен. Вирус распространялся с помощью социальной инженерии по электронной почте. Жертвы получали письмо с темой «ILoveYou» и открывали вредоносное вложение, т.к. сообщения, как правило, приходили со знакомых адресов. Вредоносное вложение выдавало себя за безобидный файл TXT и не вызывало подозрений, потому что в то время Windows скрывала фактическое расширение файла. После запуска червь автоматически рассылался всем контактам в адресной книге Microsoft Outlook и перезаписывал файлы на компьютере собственными копиями, в результате чего при следующем запуске система не могла загрузиться.

В течение 10 дней было зарегистрировано 45 миллионов случаев заражения. Считается, что по крайней мере 10% компьютеров в мире, подключенных к Интернету, были поражены этим вирусом. Многие крупные корпорации решили полностью отключить почтовую систему, чтобы обезопасить себя. На тот момент это стало одной из самых масштабных компьютерных катастроф. Червь нанес ущерб почти в 15 миллиардов долларов.

Mydoom

Mydoom (он же Novarg) — самый быстро распространяющийся почтовый червь в мире. В 2004 году он нанес ущерб в размере 38 миллиардов долларов (с поправкой на инфляцию — 52,2 миллиарда долларов) и заразил более 50 миллионов компьютеров по всему миру. В какой-то момент вирус Mydoom отвечал за 25% всех отправленных писем. На сегодняшний день Mydoom — самый сокрушительный червь в истории.

Mydoom распространялся в основном по электронной почте. Червь собирал адреса с зараженных машин и отправлял на эти адреса свои копии. Известно также, что вирус подключал зараженные машины к ботнету (сеть других зараженных компьютеров), который выполнял распределенные атаки типа «отказ в обслуживании» (DDoS). Эти атаки целились в определенные веб-сайты или серверы (например, масштабная атака на Google в июле 2004 года полностью остановила работу поисковой системы). Также в 2004 году в период с 1 по 12 февраля Mydoom проводил DDoS‑атаку на сайт Microsoft.

Червь содержал текстовое сообщение "andy; I'm just doing my job, nothing personal, sorry" («Энди, я просто делаю свою работу, ничего личного, извини»), что наводит на мысль, что создателю червя заплатили.

Несмотря на объявленное вознаграждение в 250 000 долларов за какие-либо данные о создателе червя, разработчика этого опасного вредоноса так и не нашли.

Mydoom существует и сегодня, генерируя около 1% всех фишинговых писем. Это немало, учитывая, что ежедневно отправляется 3,4 миллиарда фишинговых писем .

WannaCry

WannaCry — смешанная угроза, сочетающая в себе аспекты червя и программы-вымогателя.

В 2017 WannaCry заражал компьютер жертвы с помощью уязвимости в протоколе совместного использования файлов Microsoft SMB версии 1. Чтобы заразить систему, WannaCry использовала EternalBlue, общедоступный эксплойт уязвимости. Затем WannaCry сканировал сеть, чтобы найти другие устройства с такой же непропатченной уязвимостью безопасности. Как только он находил новую жертву, он устанавливал себя на новое устройство и повторял процесс.

WannaCry распространился на системы 150 стран мира, заражая 10 000 компьютеров каждый час. Больше всего пострадали Россия, Украина, Индия и Тайвань.

Атака затронула многие крупные компании. Среди них Telefónica, FedEx и Deutsche Bahn. Nissan и Renault остановили производство. Пострадали больницы Национальной службы здравоохранения в Англии и Шотландии (были затронуты 70 000 устройств, включая компьютеры, МРТ-сканеры , холодильники для хранения крови; медицинские службы были вынуждены отказаться от оказания неотложной помощи в некритических ситуациях, а некоторые машины скорой помощи были "переадресованы").

В России атака затронула Министерство внутренних дел, Роснефть, РЖД, Сбербанк, МегаФон.

Общий ущерб от WannaCry составил $1 млрд.

За десятилетия вирусы эволюционировали. Они превратились из “вычислительных упражнений” с элементами розыгрыша и интеллектуального состязания в опасные инструменты, используемые для шпионажа и шантажа, кражи средств и интеллектуальной собственности.

Изменились и методы доставки вредоносов. Сегодня уже не только электронная почта, но и всевозможные мессенджеры и соцсети, уязвимые IoT-устройства дают злоумышленникам возможность разгуляться. Однако, справедливо отметить, что почта остается самым распространенным каналом доставки вредоносного ПО.