Троян-вымогатель, ботнеты и черви: Самые опасные компьютерные вирусы

С самого начала создания компьютеров, ещё в прошлом веке, начали создавать и вредоносные программы разного рода с финансовой или иными целями. По словам экспертов, первыми были программы, которые полностью уничтожали ПО, их развивали практически до конца прошлого века.

Например, известный вирус с условным названием «чернобыль», действующий на Windows 95/98/ME. Его разработали на Тайване в 1998 году, и всего за неделю это ПО умудрилось повредить системы в нескольких странах мира, принеся огромный ущерб.

Вспоминается также Melissa, созданная в США Дэвидом Смитом и довёдшая до того, что у компаний Intel и Microsoft наблюдалось выключение собственных почтовых серверов. Nimda, распространяющаяся по электронной почте, уничтожающий личные данные Slammer и филиппинский ILOVEYOU. В своё время они принесли немало вреда, а некоторые продолжают приносить вред и сейчас. Однако какие же есть более современные вирусы, опасные для компьютера?

Stuxnet
Разновидность компьютерного червя, поражающего устройства с операционной системой Microsoft Windows. Впервые о нём стало известно 17 июня 2010 года. Обнаружен червь был и на рядовых компьютерах, и в промышленных системах, через которые управлялись автоматизированные производственные процессы. Stuxnet модифицирует и перехватывает информационные потоки между системой программируемых логических контроллеров марки Simatic S7 и рабочих станций SCADA-системы Simatic WinCC фирмы Siemens.
Соответственно, через него несанкционированно собирают данные (то есть, шпионят), устраивают диверсии на промышленных объектах, электростанциях, в аэропортах и так далее. Фактически, он полностью физически разрушает инфраструктуру. В одном из западных СМИ заявляли, что разработку этого вируса совместно вели американская и израильская разведки, причём в благих целях: на хотя бы некоторое время приостановить работу иранской компьютерной системы ядерной программы Ирана.

Hajime
Сейчас популярно заражать компьютеры и подключённые к web устройства и объединять их в сеть (ботнет). Сеть эту можно использовать для использования DDOS-атак – говоря проще, направлять на какой-нибудь сервер запросы от всех узлов этой сети, вызывая перегрузку, а от перегрузки сервер перестаёт обрабатывать запросы от нормальных узлов (например, на сайт не получится зайти) или, если сервер арендуется и оплачивается по входящему/исходящему трафику, то арендаторы могут влезть в большие долги у арендодателя. Hajime – сравнительно новый зловред, который появился в октябре прошлого года, и сейчас особенно активизировался, по данным «Лаборатории Касперского».
Самое опасное в том, что пока не известны цели этого вируса. В модулях не обнаружена какая-либо форма угрозы, поэтому предполагают, что когда это всё-таки проявится, то это станет бедой для многих пользователей. Пока Hajime только распространяется, заразив на данный момент 300 тысяч гаджетов. Страны, где он распространяется – Иран, Бразилия, Вьетнам и Россия. Чтобы заразить, используются брутфорс-атаки, то есть, подбирается пароль путём перебирания разного рода комбинаций. Когда заражение успешно, Hajime всячески скрывает себя на устройстве. Отмечается, что чаще им заражаются веб-камеры и роутеры. Специалисты рекомендуют пользователям выбирать самые сложные и максимально не угадываемые комбинации в качестве паролей, а также как можно чаще обновлять ПО от производителя.

RSAUtil
Многие пользовательские ПК заражают сейчас троянами-вымогателями, которые, попав на компьютер, шифруют пользовательские файлы по критериям (например, документы и проекты популярных пакетов проектирования) и затем перекрывают экран окном с сообщением о шифровании и требовании перевести деньги. Ключ, с помощью которого шифруются файлы, берётся с удалённого сервера злоумышленника и удаляется перед выводом окна (то есть, нельзя просто вмешаться в работу зловреда и вытащить ключ расшифровки). Только у трояна есть связь с сервером для возможности получить ключ и расшифровать файлы назад, так что если работу зловреда прекратить или даже удалить его, файлы так и останутся зашифрованными.
Алгоритмы шифрования обычно используются сильные, и для подбора ключа могут потребоваться столетия, поэтому обычно предпочитают платить. Чтобы нельзя было отследить злоумышленника по тому, куда отправляются деньги, используется чаще всего не банковский счёт, а кошелёк криптовалюты (типа Bitcoin).
Именно к таким «вымогателям» относится RSAUtil. Обнаружили его совсем недавно, в мае этого года. Распространение вируса происходит через взлом в службах протокола по удалённому рабочему столу. Написано вредоносное ПО на Delphi, оно обладает свойством добавлять расширение .helppme@india.com (в ссылке для отправления по электронной почте) к зашифрованному файлу. В каждой папке, кроме всего прочего, оказывается скопированный текстовый файл с именем How_return_files.txt, в котором есть информация, как выкупить. Кроме вируса, злоумышленниками загружаются инструменты и конфигурации, предназначенные для того, чтобы вымогатель запускался.
В числе этих инструментов – файл CMD, который осуществляет очистку следов того, что машину скомпрометировали (чистятся журналы событий), а также файлы, не дающие компьютеру оказаться в спящем режиме (соединение постоянно активно), файл-картинка, не дающий поменять изображение, и bat-файл – чтобы настраивать различные опции. Когда шифровка завершена, отображается блокировочный экран, где указаны контакты злоумышленника - helppme@india.com или hepl111@aol. Когда пользователь платит выкуп, он получает дешифровочный ключ, и произойдёт восстановление доступа к файлам.