В сети вспыхнула эпидемия вируса-вымогателя. Грипп. Эпидемиологическая ситуация в России

Червь Win32/Stuxnet, обнаруженный на днях в компьютерах на промышленных предприятиях США, Ирана и ряда других стран, продолжает доставлять неприятности специалистам по сетевой безопасности. Активное распространение угрозы может спровоцировать эпидемию.

О черве Win32/Stuxnet стало известно несколько дней назад. Он распространяется через USB-накопители, «притворяясь» легальным ПО с помощью настоящих цифровых подписей. Предполагается, что основная цель вируса – кража промышленной информации, поскольку Win32/Stuxnet заражает компьютерные системы промышленных предприятий. Основными очагами заражения продолжают быть США и Иран.

Угроза эпидемии

Легальные цифровые подписи компаний Realtek и JMicron, которые использовались Win32/Stuxnet и его разновидностями, чтобы пройти мимо защитных технологий, уже отозваны компанией-регулятором Verisign, но вирусы продолжают успешно использовать подписи и продолжат еще какое-то время.

«Это связано с обновлением списка отозванных сертификатов -- это процедура не быстрая, а пока большинство пользователей его обновят, может пройти много времени», -- пояснил Infox.ru руководитель Центра вирусных исследований и аналитики компании ESET Александр Матросов.

Новые разновидности червя, использующие «уязвимость нулевого дня» в Windows Shell, попадая в компьютер, загружают из сети программы для похищения паролей. По данным аналитиков, сервер, с которого производятся эти атаки, находится в США, но ip-адрес принадлежит компьютеру китайского пользователя.

Специалисты отмечают, что в данный момент наблюдается классический процесс развития новых угроз: через несколько дней после обнародования информации о новой уязвимости, появляются самые разные варианты программ от разных авторов. «Популярность» уязвимости среди хакеров несет серьезную угрозу потенциальным жертвам подобных атак.

«Вирусные аналитики ESET фиксируют постоянный рост инфекций Win32/Stuxnet, но речь уже не идет только об одном черве, -- пояснил Александр Матросов. – Дело в том, что, как мы и прогнозировали, вектор заражения с использованием уязвимости в обработке Lnk-файлов стали использовать другие вредоносные программы. Для обнаружения подобных угроз ESET выделил отдельный класс сигнатур - LNK/Autostart. При этом ежедневно мы сталкиваемся с несколькими тысячами новых жертв этого вируса. Но на данный момент речь не идет об эпидемии, так как процент проникновения этой угрозы от общего числа вредоносных программ, обнаруживаемых нами каждый день, пока не так высок. Но если говорить непосредственно о цели злоумышленников, то для промышленных предприятий такой прирост может оказаться критичным».

Эксперт также отметил, что ранее неизвестная уязвимость, которая используется в механизме заражения этим червем, может вызвать лавинный эффект инфицирования при большом проценте проникновения в отдельных регионах. «Именно такую ситуацию мы наблюдаем в тех регионах, где активность этой угрозы наиболее велика», -- сообщил он.

Вирусный эффект

Как и раньше, эксперты полагают, что первые атаки Win32/Stuxnet имели в качестве своих целей промышленный шпионаж. Факт, что новые версии червей стремятся захватить пароли, пожалуй, только подтверждает данную версию. Однако заражение промышленных систем чаще приводит к другим неприятным последствиям.

Во вторник компания Dell распространила информацию о том, что в небольшой партии материнских плат PowerEdge R410, отправленной клиентам компании, содержался вредоносный код, внедренный во встроенное ПО для управления сервером. Представители компании отметили, что предупреждение касается лишь тех материнских плат, которые отгружались для замены старых или вышедших из строя экземпляров.

«Вероятнее всего, речь не идет о злом умысле, но исключать такую возможность не стоит, -- рассказал Александр Матросов. – По всей видимости, вредоносный код оказался в прошивке случайно. Говорить о какой-либо монетизации сложно, так как непонятны цели злоумышленников и были ли они вообще связаны с таким способом распространения».

Эксперт также отметил, что таких случаев заражения, как с материнскими платами Dell, в последнее время становится все больше.

«Чаще всего по какой-либо причине оказывается инфицированным какой-то элемент инфраструктуры предпродажной подготовки продукта, с которого происходит случайно заражение, -- сообщил Александр Матросов. – В частности, в начале нынешнего лета вредоносные программы были обнаружены на фотоаппаратах Olympus и смартфонах Samsung. А весной этого года троян был обнаружен в зарядном устройстве для пальчиковых батареек».

Несмотря на то что вредоносное ПО, поставляющееся «в комплекте» с продуктом, чаще всего не представляет особенной угрозы для пользователей и легко уничтожается, для производителя наличие вирусов – не только удар по собственной репутации, но и серьезные финансовые издержки, связанные с отзывом и обменом зараженных устройств.

Например, как в случае с USB-зарядным устройством Energizer, продажи которого приостановили из-за того, что никаким иным образом, кроме как заменой, «вирусную» проблему нельзя было решить: специальное приложение, отображавшее уровень заряда батареек, вместе с троянцем было предустановленно на флэш-память зарядного устройства. Возможность его перепрошивки не предполагалась.

Скриншот с сообщением WCry

Компании по меньшей мере из 12 стран мира подверглись атаке вируса-вымогателя WannaCrypt, также называемого WCry. Как пишет Meduza со ссылкой на директора по связям с общественностью «Мегафона» Петра Лидова, часть компьютеров компании оказалась заражена. В России от вируса также уже пострадали компьютеры Министерства внутренних дел. В «Билайне» утверждают, что специалистам удалось отбить атаку.

К настоящему времени WCry поразил более 123 тысяч компьютеров по всему миру. При этом специалисты отметили резкий спад темпов распространения вируса. Дело в том, при заражении вирус проверял наличие в сети некоего домена, не найдя который, включал шифрование. Специалисты по безопасности зарегистрировали в сети домен, который ищет вирус, что и стало причиной замедления темпов заражения.

WannaCrypt представляет собой программное обеспечение, блокирующее компьютер пользователя и шифрующее все данные, находящиеся на нем. После поражения на экран выводится сообщение с требованием денег для разблокировки, причем заставка имеет функцию выбора языка, на котором отображается сообщение. Размер требуемого выкупа составляет 300 долларов в биткоинах.

Вирус-вымогатель отводит пользователю три дня на перечисление средств на счета злоумышленников. Если пропустить этот срок, сумма требуемого выкупа удвоится.

Распространение вируса WCry, первая версия которого появилась еще в феврале текущего года, началось взрывными темпами 12 мая 2017 года. Новая версия вируса, предположительно, использует SMB -эксплоит, разработанный Агентством национальной безопасности США, похищенный и опубликованный в апреле текущего года хакерской группой The Shadow Brokers.

Для заражения вирус использует сетевой протокол SMB, реализующий удаленный доступ к файлам и устройствам в одной сети. Сегодня этот протокол используется системами семейства Windows, которые стали уязвимыми для WCry. Как сообщает Engadget, американская компания Microsoft уже выложила патч для операционной системы Windows XP и рекомендации по защите компьютера от вируса-вымогателя.

В качестве первых шагов защиты от нового вируса Microsoft предлагает отключить протокол SMBv1 , а также заблокировать на роутере (если оборудование это позволяет) порт 445 для входящего SMB-трафика. Если операционная система Windows (кроме XP, 8 и Windows Server 2003) получила обновление (выпущено еще в марте текущего года), то она не уязвима для WCry.

В ноябре прошлого года в сети распространение получил вирус-вымогатель HDDCrypto. В частности, он автоматы по продаже билетов трамвайной системы Muni Metro в Сан-Франциско. В результате автоматы по продаже билетов не работали почти сутки, и все это время трамваями Сан-Франциско можно было пользоваться бесплатно. За снятие блокировки вирус требовал сто биткойнов.

Василий Сычёв

Компьютеры в РФ, на Украине, в Турции и Германии. По предварительным данным, криптовирус Bad Rabbit (англ. "плохой кролик") послужил причиной недоступности для пользователей сайтов ряда СМИ, в частности - российского агентства "Интерфакс". Кроме того, сообщалось о "хакерской атаке" на информационную систему международного аэропорта Одессы (Украина) и метрополитен Киева.

Вирусы-вымогатели (ransomware, криптовирусы) работают по схожей схеме: они блокируют рабочий стол пользователя компьютера, шифруют все файлы определенных типов, найденные на компьютере, после чего удаляют оригиналы и требуют выкуп (обычно - перевод определенной суммы денежных средств на счет злоумышленников) за ключ, разрешающий продолжить работу и вернуть файлы. Зачастую создатели криптовирусов ставят пользователям жесткие условия по срокам уплаты выкупа, и если владелец файлов не укладывается в эти сроки, ключ удаляется. После этого восстановить файлы становится невозможно.

Редакция ТАСС-ДОСЬЕ подготовила хронологию первых в истории вирусов, а также наиболее масштабных вирусных компьютерных атак.

В 1971 году первую в мире программу, которая была способна самостоятельно размножать свои копии в компьютерной сети, создал инженер американской технологической компании BBN Technologies Боб Томас. Программа, получившая название Creeper не была вредоносной: ее функционал ограничивался самокопированием и выведением на терминал надписи: "Я крипер, поймай меня, если сможешь". Годом позже другой инженер BBN, изобретатель электронной почты Рэй Томлинсон, создал первый антивирус, который самостоятельно "размножался" на компьютерах сети и удалял Creeper.

В 1981 году был создан первый вирус, который впервые вызвал неконтролирумую "эпидемию". Вирус под названием Elk Cloner (англ. "Клонирователь оленя") был создан 15-летним американским студентом Ричардом Скрентой для компьютеров Apple II. Вирус заражал магнитные дискеты и после 50-го обращения к зараженному носителю выводил на дисплей стишок, а в отдельных случаях он мог также повредить дискету.

В феврале 1991 года в Австралии появился первый вирус, масштаб заражения которым составил более 1 млн компьютеров по всему миру. Вредоносная программа Michelangelo была написана для IBM-совместимых персональных компьютеров (ПК) и операционной системы DOS. Она срабатывала каждый год 6 мая, в день рождения итальянского художника и скульптора Микеланджело Буонаротти, стирая данные на главной загрузочной области жесткого диска. Прочую информацию с диска можно было восстановить, но рядовому пользователю ПК сделать это было сложно. Создатель вируса остался неизвестен, отдельные случаи срабатывания программы фиксировались вплоть до 1997 года.

2 июня 1997 года студент Датунского университета (Тайбэй, Тайвань; КНР) Чэнь Инхао создал первую версию вируса Chernobyl ("Чернобыль" или CIH - по первым слогам имени имени автора). Вирус заражал компьютеры с операционными системами Windows 95 и 98, срабатывал каждый год 26 апреля, в годовщину катастрофы на Чернобыльской АЭС. Вирус стирал загрузочную область жесткого диска и, реже, данные BIOS - загрузочной области компьютера. В последнем случае требовалось менять чип на материнской плате или даже приобретать новый компьютер, так как старый выходил из строя. По оценкам, заражению подверглись более 60 млн ПК по всему миру, ущерб превысил $1 млрд. Непосредственно к Чэнь Инхао исков подано не было, он избежал ответственности.

5 мая 2000 года в мире началась наиболее масштабная эпидемия компьютерного вируса. Созданный филиппинскими студентами Реонелем Рамонесом и Онелем де Гузманом "почтовый червь" ILOVEYOU (англ. "я тебя люблю") рассылал себя по всем контактам электронной почты владельца зараженного ПК и заменял на свои копии большинство файлов с документами, изображениями и музыкой. Только в первые 10 дней эпидемии число зараженных компьютеров превысило 50 млн. Чтобы защититься от эпидемии, многие государственные учреждения по всему миру временно отключили электронную почту. Совокупный ущерб впоследствии был оценен в $15 млрд. Создателей вируса быстро вычислила филиппинская полиция. Однако они остались безнаказанными из-за отсутствия в местном уголовном кодексе статьи, предусматривающей ответственность за компьютерные преступления.

В сентябре 2010 года вирус Stuxnet поразил компьютеры сотрудников АЭС в Бушере (Иран) и создал проблемы в функционировании центрифуг комплекса по обогащению урана в Натанзе. По мнению экспертов, Stuxnet стал первым вирусом, который был использован как кибероружие.

12 мая 2017 года значительное число компьютеров с операционной системой Windows подверглось атаке вируса-вымогателя WannaCry (англ. "хочу плакать"). Вирус шифрует файлы пользователя, чтобы их нельзя было использовать; за расшифровку данных злоумышленники требовали заплатить $600 в криптовалюте биткойн. Всего было заражено до 300 тыс. компьютеров в по меньшей мере 150 странах мира. Предполагаемый ущерб превысил $1 млрд. От атаки, в частности, пострадали Национальная система здравоохранения (NHS) Великобритании, испанская телекоммуникационная компания Telefonica, электронная система суда бразильского штата Сан-Паулу и др. Глобальная хакерская атака также затронула компьютеры российских силовых ведомств и телекоммуникационных компаний. Атакам подверглись системы МЧС, МВД, РЖД, Сбербанка, мобильных операторов "Мегафон" и "Вымпелком". По данным американских экспертов, вымогавшим средства злоумышленникам поступило всего 302 платежа в общем размере около $116,5 тыс. По оценкам Сбербанка, более 70% "успешно" атакованных компьютеров принадлежали российским организациям и физическим лицам. После атаки Microsoft выпустила обновления пакетов безопасности для уже не поддерживавшихся операционных систем Windows XP, Windows Server 2003 и Windows 8.

27 июня 2017 года от атаки компьютерного вируса - шифровальщика Petya.А пострадали десятки компаний в РФ и на Украине. По сообщению Group-IB, которая занимается предотвращением и расследованием киберпреступлений, в России атаке подверглись компьютерные системы "Роснефти", "Башнефти", "Евраза", российских офисов компаний Mars, Mondeles и Nivea. На Украине вирусной атаке подверглись компьютеры "Киевэнерго", "Укрэнерго", "Ощадбанка" и концерна "Антонов". Также из-за вируса временно отключился автоматический мониторинг промышленной площадки на Чернобыльской АЭС. Вирус Petya распространяется через ссылки в сообщениях электронной почты и блокирует доступ пользователя к жесткому диску компьютера, требуя выкуп в размере $300 в биткойнах. Этим он схож с вредоносной программой WannaCry, с которой была связана предыдущая крупная вирусная атака в мае 2017 года.