Академія ITSTEP підготувала добірку відомих вірусних програм — від мережевого черв'яка, який атакував Іранські ядерні заводи до тролінгу code red. Читайте, діліться з друзями та зберігайте статтю, щоб не забути найважливіше з історії кіберзлочинів.
CryptoLocker
Як часто ви заглядаєте до спаму? 2013 року активно в спам ніхто не потрапляв, чим і користувалися зловмисники.
На пошту надходив звичайний лист. При відкритті запускався CryptoLocker і шифрував файли на комп'ютері. Ось як виглядає один із документів після атаки вірусу.
Дані не можна було відновити власноруч. Натомість шахраї пропонували заплатити 10 біткоїнів за ключ, який розшифровував уражені файли.
2016 рік оновив правила гри — внесок у $300. Якщо його не внести на гаманець за 3 дні, інформація з комп'ютера автоматично видаляється.
Звичайно, після відправки грошей ключі не надходили і пошкоджені файли не відновлювалися.
Як лікували вірус? CryptoLocker легше та дешевше блокувати. Сучасні антивіруси видаляють програму ще до відкриття. Але не завжди. Тому не лінуйтеся і робіть резервні копії важливих даних на ПК.
Zeus Gameover
Вірус вважається першим повноцінним інструментом для злому банківських систем та крадіжки даних з ПК користувачів.
Офіційна версія від ФБР, як вірус працював у Мережі. Джерело: https://www.fbi.gov/news/stories/gameover-zeus-botnet-disrupted
Хакери розповсюджували вірус через email. Zeus заселявся у браузер і чекав, доки користувач увійде до онлайн-банкінгу. А потім крав дані гаманців та банківських карток і передавав на хакерський сервер.
Відстежити його неможливо. Тим більше, що після дебюту в 2007 році з'явилося 5 варіацій ПЗ (Zeus Gameover — останній). Сукупна шкода від Zeus — понад півмільярда доларів на 2016 рік.
Лікувати Zeus все одно, що шукати голку в копиці сіна. Він постійно оновлюється та обходить захист антивірусів. Позбутися вірусу можна лише перевстановивши систему без збереження заражених файлів.
PlugX
PlugX — це один з різновидів Трояна. Знайдено його у 2007 році при атаках на державні установи. Останній раз помічений у 2022 році аналітиками «Касперський», які досліджували роботу хакерів Пакистану.
Як працює вірус:
-
PlugX вшивається у будь-яку ліцензійну програму.
-
Ви завантажуєте софт із інтернету або встановлюєте через накопичувач.
-
Після розпакування програми встановлюється офіційна програма. Паралельно архів PlugX проникає у систему.
Кодові імена для PlugX від антивірусів
Вірус краде персональні дані та підключає ПК до ботнета — хакерської мережі для передачі шкідливого ПЗ. А відстежити його неможливо — цифровий підпис ліцензії софту не дає системам безпеки реагувати на шкідливий код.
Щоб виключити можливе зараження шкідливим програмним забезпеченням, проскануйте комп'ютер за допомогою ліцензійного антивірусу.
Stuxnet
Під прикриттям уряду спецслужби використовують шкідливе програмне забезпечення для кібервійни. Один із таких вірусів — Stuxnet virus.
Вірус не шкодить комп'ютеру звичайного користувача. Але, якщо це мережа ПК промислового комплексу — програмне забезпечення обходить чотири ступені захисту Windows і контролює механізми заводу.
Як виглядає код Stuxnet 2009 року.
Яскравий приклад роботи Stuxnet — зараження 1368 із 5000 центрифуг на заводі зі збагачення урану в Ірані. Після розслідувань творця вірусу не знайшли.
2012 року активна фаза Stuxnet закінчилася. Але за його шаблоном створюють копії. Мета шкідливого програмного забезпечення не змінилася — промислові об'єкти зі слабким антивірусним захистом.
Mydoom
Вірус з'явився у 2004 році і працює досі. Сумарні збитки від програми — $30 млрд, частково паралізовані пошукові системи Google та Yahoo! А у 2015 році ПЗ скоротило інтернет-трафік на 10%.
З 2% всіх шкідливих листів майже 15% припадали на вірус MyDoom. Дані дослідження https://unit42.paloaltonetworks.com/mydoom-still-active-in-2019/
А ось як змінилася статистика через 3 роки:
MyDoom все більше захоплював email-трафік, витісняючи слабкий код.
Листи від вірусу схожі. Наприклад, маскування під повідомленням, що лист не доставлений відправнику:
-
Delivery failed
-
Delivery reports about your e-mail
-
Mail System Error - Returned Mail
-
MESSAGE COULD NOT BE DELIVERED
-
RETURNED MAIL: DATA FORMAT ERROR
-
Returned mail: see transcript for details
Черв'як MyDoom використовує і клікбейти:
-
Натисни мене ще раз
-
Привіт
-
привіт
-
передай привіт моєму маленькому другові
Приклад листа 2019 року на пошті із замаскованим MyDoom
Вірус працюватиме, поки користувачі відкривають подібні листи з розсилки. А їх дані підуть на сервери ботнета для розсилки на мільйони ПК.
Як боротися з ПЗ — оновити антивірус і просканувати систему.
Sasser та Netsky
Код цих вірусів схожий. Та й творці Netsky стверджували в спамній розсилці, що відповідальна за програмне забезпечення команда Sasser.
Sasser — це різновид комп'ютерного хробака. Він вражає ПК на операційних системах Microsoft Windows XP і Windows 2000. Якщо на вашому жорсткому диску є такі файли: C:WIN.LOG або C:WIN2.LOG, або збої з появою на екрані LSASS.EXE — це ознаки Sasser.
Черв'як, як і аналогічні програми, проникає в систему та викрадає конфіденційні дані користувачів. Netsky відрізняється лише способом передачі — через листи на email.
Яшан Свен (так звати хакера) не отримав серйозного покарання. Натомість німецька компанія Securepoint прийняла його на посаду радника з кібербезпеки. Ось як: створив шпигунський вірус, а тепер працює проти шпигунів!
CodeRed
Ще один підвид мережевого черв'яка з 2001 року. Вірус названий на честь газованого напою, який пив вечорами програміст Марк Майффрет, щоб не заснути у пошуках CodeRed. Він і розповів розробникам про небезпеку.
Завдання черв'яка — атакувати якомога більшу кількість ПК, заразивши браузери та ОС. При переході на вкладки вірус видавав користувачеві системну помилку або повідомлення «HELLO! Welcome to http://www.worm.com! Hacked By Chinese!».
Після того черв'як почав DDos-атаку на Білий дім з усіх уражених ПК. Але розробники знайшли код раніше, ніж він спрацював. Паралізувати сервери американського уряду не вдалося.
Nimda
Назва вірусу — слово admin навпаки (Nimda). Він поширювався через email у вигляді листа з випадковим набором символів у темі листа та файлом «readme.exe».
Користувач відкриває файл інсталяції і вірус проникає в систему. Далі він атакує системний диск і робить його загальнодоступним (викладає в мережу). Користувач при переході на сайт з ураженим диском отримував Nimda вірус автоматично без інсталяційного файлу.
ILOVEYOU
Вірус увійшов до книги рекордів Гіннеса, як найруйнівніший за 20-річчя. А працював він просто — через поштові скриньки Microsoft Outlook.
Користувачеві надходив лист «ILoveYou» з файлом «LOVE-LETTER-FOR-YOU.TXT.vbs». Користувач не міг встояти перед клікбейтом, відкривав пошту та заражав свій ПК. Потім вірус переписував дані на ПК і надсилав схожі листи всім контактам користувача через Outlook.
Коментар євангеліста компанії Avast про атаку комп'ютерного вірусу i love you у 2000 році
За кілька днів шкідливе програмне забезпечення заразило понад 50 мільйонів комп'ютерів по всьому світу.
Melissa
Цей малюк у 1999 році вражав ПК через поштові розсилки Outlook. У листі був Word із шкідливим ПЗ, про що користувач не знав. Відповідно відкривав файл для перевірки.
Вірус Melissa вражав пакет Word на ПК та розсилав аналогічні листи контактам користувача через Outlook. Суттєвої шкоди програма не завдавала, але навантажувала систему та гальмувала комп'ютери.
Хочете знати про кібербезпеку більше? Працювати в Avast або Malwarebytes? Створювати антивіруси такими, як їх бачите? Тоді переходьте на спеціальний курс від Академії ITSTEP і навчіться мислити швидше за шкідливе ПЗ.
