ТОП 10 комп’ютерних вірусів в історії людства

Комп’ютерні віруси справді схожі на реальні. Вони можуть заразити тисячі комп’ютерів за лічені хвилини, тому ми називаємо це епідемією. Зараз важко уявити, як можна жити без антивірусу, а колись це було реальністю. Отже, ми склали список із 10 найнебезпечніших вірусів в історії, щоб згадати з чого все почалося. Почнемо 😊

1. Вірус CIH (1998)

Цей вірус був створений студентом із Тайваню, ініціали якого були CIH. Він почав поширюватися по мережі 26 квітня – у день аварії на Чорнобильській АЕС, тому багато користувачів називають його просто – Чорнобиль. Цей вірус є небезпечним, оскільки він не тільки перезаписує дані на жорсткому диску комп’ютера і робить його непридатним. Цей вірус навіть міг перезаписати BIOS хост-системи – після такого ПК не зможе завантажитися. Ніхто не очікував такої каверзи в далекому 1998 році. CIH чи Чорнобиль заразили майже півмільйона комп’ютерів у всьому світі. Вражає, чи не так?

2. Вірус MORRIS WORM 🐛(1998)

Цей вірус запам’ятався світу і набув величезного розголосу через пресу, а його творець був першою людиною (!), засудженою в США відповідно до Закону про комп’ютерне шахрайство та зловживання. Зараз це здається звичайною справою, але в 1998 році ніхто не міг очікувати, що можуть позбавити волі за “якесь” віртуальне шахрайство. Листопад 1998 року запам’ятався як місяць, коли один вірус паралізував роботу всього Інтернету, що спричинило 96 мільйонів доларів збитку. Дуже переконливо, як для одного з перших вірусів. Через незначну помилку в його «коді» – він продовжував встановлювати на одному ПК необмежену кількість разів, повністю виводячи з ладу комп’ютери по всьому світу.

3. Вірус МЕЛІСА (1999)

Цей вірус запам’ятався тим, що розповсюджувався через імейл. У п’ятницю, 26 березня 1999 року, люди по всьому світу отримали електронний лист, в якому була лише одна пропозиція: “Ось цей документ, який ви просили… нікому не показуйте. 😉”, з прикріпленим документом Word. В даний час ми всі чудово розуміємо, що це вірус, але ще 1999 року це було щось нове. Та й мозок, що втомився після робочого тижня, не відразу міг розпізнати загрозу. Ті, хто відкрив DOC-файл (а були тисячі, хто це зробив), дозволили вірусу заразити свою систему і надіслати цей лист усім контактам вашого облікового запису, використовуючи ваше ім’я. Найгірше, цей вірус модифікував документи користувача Word з цитатами з телешоу «Сімпсони». Автор цього вірусу був спійманий і засуджений до 20 місяців позбавлення волі.

4. Вірус ILOVEYOU 💖(2000)

Самий романтичний у нашому списку небезпечних вірусів – вірус ILOVEYOU. Можливо, із-за його милого імені або ж підступної стратегії він заразив 45 мільйонів користувачів протягом всього двох днів! Так як працює цей вірус? Користувач отримує електронний лист із файлом «LOVE-LETTER-FOR-YOU» з розширенням vbs (Visual Basic). Коли він потрапляє в систему, він змінює всі ваші файли, зображення, музику, а потім розширюється на всі ваші контакти. Шкода від цього була величезною – не таке любовне знання, яке ми очікуємо отримати. Творець вірусу був знайдений, але його персона не була розголошена. В той час на Філіппінах не було законів проти кіберзлочинців. Пощастило, що сказати 😊

Вірус ILOVEYOU

5. Вірус CODE RED (2001)

Вірусу CODE RED для зараження Інтернету не було потрібно відправляти листи на пошту. Для CODE RED або Bady вам просто потрібно підключитися до Інтернету, і відкрити заражений сайт, що відображував текст «Зламано китайцями!» («Взломано китайцами!»). Він поширювався миттєво – менш ніж за тиждень було заражено майже 400 000 серверів, і майже мільйон персональних комп’ютерів. Китайці постарались 🙁

Вірус CODE RED

6. Вірус MYDOOM (2004)

Вірус MYDOOM з’явився 26 січня 2004 року. Ця епідемія змогла заразити майже 2 мільйони користувачів ПК. Вірус був прикріплений до листа електронною поштою, в якому повідомлялося про помилку (Ошибка поштової транзакції). Коли ви нажали на розміщення, воно дублювало це електронний лист на всі адреси, знайдені у ваших списках контактів. Перекратити це було дійсно складно, тому що вірус заблокував доступ до сайтів найпопулярніших антивірусних програм, а також до оновлених служб Microsoft. Все продумали!

7. Вірус SASSER (2004)

Вірус SASSER вразив світ, тому що йому вдалося перервати супутникові повідомлення для французького телебачення і навіть вдалося змінити кілька рейсів авіакомпанії Delta. Щоб проникнути в систему, вірус замість класичного спаму електронною поштою використовував уразливість в неоновлених системах Windows 2000 і Windows XP. Як тільки вірус заражав комп’ютер, він починав шукав інші уразливі системи. Заражені ПК починали крашитися і працювали нестаблільно. Цей вірус був написаний студентом, який випустив вірус у свій 18-й день народження. Йому дійсно пощастило, що він написав код, будучи неповнолітнім, оскільки за це отримав лише умовний вирок. Що сказати – підліток 😊

Вірус SASSER

8. Вірус BAGLE (2004)

На початку 2004 року з’явився новий вірус – черв’як Bagle. Вірус BAGLE інфікував користувачів ПК через листи на е-мейл. Цей вірус є першим, який був створений для отримання прибутку, оскільки він отримував доступ до фінансової, особистої та іншої інформації. Саме з того часу почало зароджуватися прибуткове зловмисне ПЗ, і в даний час це величезна проблема для багатьох користувачів і антивірусних компаній.

9. Вірус CONFICKER (2008)

Черв’як Win32 Conficker або просто Conficker – дуже підступний вірус, створений спеціально для атак на Windows. Використовуючи вразливості в ОС, Conficker непомітно пройшов перевірку антивірусних програм і більш того – блокував доступ до оновлень ОС. Імена всіх служб були замінені, і вірус реєструвався в різних частинах системи, тому було практично неможливо знайти і знищити всі його фрагменти. У світі було понад 12 мільйонів заражених комп’ютерів, що змусило антивірусні компанії та постачальників ОС підвищити їх безпеку.

10. STUXNET (2010)

Вірус Stuxnet у 2010 році завдав величезної шкоди світовій безпеки. Він призначений для великих промислових об’єктів, включаючи електростанції, плотини, системи обробки відходів, а також хімічні та ядерні об’єкти. Це дозволило хакерам контролювати всі важливі елементи управління системою, не будучи поміченими. Це перша атака, яка дозволила кіберзлочинцям маніпулювати реальним обладнанням і завдати величезної шкоди світовій безпеці. Більше всього постраждав Іран – 60 відсотків усього завданого збитку припало на цю країну.

STUXNET Virus

Епоха прибуткових вірусів

Як не дивно, значна кількість з перелічених мною вище вірусів не приносила ні копійки своїм розробникам. Більшість шкідливого ПЗ у той час розроблювалося та розповсюджувалося здебільшого задля завдання шкоди або для вихваляння своїми навичками у програмуванні. Тим не менш, вже тоді існували віруси, які тим чи іншим чином монетизували свою активність. Починаючи з кінця 2000, такі шкідливі програми почали витісняти решту, і наразі є панівними серед кіберзагроз.

Початок епохи прибуткового шкідливого ПЗ задало тренд на виокремлення різних його типів. Шпигунські програми, шифрувальники-вимагачі, бекдори, трояни віддаленого доступу – вони, або їх ідейні попередники, існували і раніше, але ніколи не були виокремлені настільки чітко. Давайте розглянемо приклади найвідоміших комп’ютерних вірусів за останні 10 років.

Шифрувальник-вимагач Petya

Шифрувальник Petya, мабуть, найвідоміший в Україні вірус. 28 червня 2017 року його атака паралізувала роботу великої кількості підприємств країни, завдавши збитків на понад 10 мільярдів доларів. З урахуванням концентрації жертв у нашій країні, а також типової атаки на честь державного свята (Дня Конституції), автора атаки відслідкувати неважко. І хоч росія й не зізналася у причетності до цієї атаки, багато ознак вказує саме на неї. Ключовим способом здійснення атаки стало використання вразливості у програмі для подання податкових звітностей M.E.Doc, яка через цей інцидент була замінена на більшості підприємств.

Троян-шифрувальник WannaCry

Багатьма аналітиками шифрувальник WannaCry визнається первістком широкомасштабного використання вимагачів проти корпорацій. З 12 по 15 квітня 2017 року ця шкідлива програма атакувала близько 200,000 комп’ютерів у корпоративних мережах. Більшість жертв було з Тайваню, Індії, України та росії. Така масовість і одночасність була можлива завдяки використанню вразливості EternalBlue. Переповнення буферу Server Message Block – вбудованого механізму комунікації між сервером та комп’ютерами у локальній мережі – дозволяло виконання довільного коду, чим і скористалися зловмисники. Розслідування вказують на причетність двох громадян Північної Кореї, які можливо належать до хакерського угрупування Lazarus.

Незважаючи на неприємність ситуації, вихід з неї виявився простим і елегантним. Вже на другий день атаки фахівці змогли знайти вразливість у самому шифрувальнику, за рахунок чого вірус було зупинено, а згодом і видалено. Щоправда, для розшифровки файлів потребувалися окремі операції.

Кіберзлочинне угрупування LockBit

Кіберзлочинне угрупування LockBit з’явилося у 2019, вирізняючись незвично публічною моделлю роботи. На відміну від решти груп вимагачів, вони не соромилися давати інтерв’ю журналістам з кібербезпеки, а також показували високу активність на форумах у Даркнеті. Окрім цього, угрупування має у своєму арсеналі унікальні програмні рішення, які дозволяють їм блискавично атакувати компанії, шифруючи файли та викрадаючи важливу інформацію. Їх ПЗ постійно оновлюється, що ще сильніше пришвидшує їх операції та створює перешкоди для виявлення шкідника та його аналізу вірус-аналітиками.

Шифрувальник Locky

Ще один представник шифрувальників “першої хвилі”. Впродовж 2016-2017 років вимагач атакував близько мільйона комп’ютерів, не відрізняючи компанії і поодиноких користувачів. Розповсюджувався цей вірус через ботнет Necrus, створений задовго до активації атаки. Іншим методом доставки зловмисного ПЗ був “класичний” спам електронною поштою.

Шифрувальник Locky має спільну історію з Petya. Фахівці в певний момент викрили ґлітч у механізмі обробки пакетів, що надходять від хост-системи, на командному сервері. Завдяки ньому, вдалося тимчасово вимкнути шкідника на усіх заражених системах. Однак, зловмисники змогли повернути контроль над інфікованими системами і розгорнули ще більш масштабну кампанію з розповсюдження. Незважаючи на повне припинення активності у 2017, зразки шкідливих програм, що використовують код Locky, час від часу з’являється і в наш час.

Троян Emotet

Перша активність трояна Emotet була зареєстрована у липні 2014 під іменем Heodo/Geodo. На початку, це був класичний шпигун, який майже одразу прославився атаками на найрозвиненіші країни Європи, Швейцарію, Австрю та Німеччину. Через півтора роки після запуску, шкідник отримав функціонал лоадера – можливість завантажувати та запускати інше шкідливе ПЗ. Це оновлення стало визначним для подальшої долі Emotet.

У ролі лоадера Емотет почав розвивати велетенські ботнети, які охоплювали сотні тисяч машин. Для підвищення стабільності, вони були розділені на “епохи” – навіть якщо частина серверних потужностей буде відімкнена, решта мережі буде продовжувати функціонувати. Ці мережі згодом використовувались для розгортання шпигунів TrickBot, IceID, а також шифрувальників UmbreCrypt та Panda. Emotet було помічено у атаках на Аллієнтаун, Лейк Сіті, Франкфурт, та навіть Берлін. У 2021, декілька членів кіберзлочинного угрупування, яке стоїть за Emotet, було заарештовано у Києві. Після цього активність вірусу сильно знизилася, і після кількох спроб на повернення, Емотет майже повністю припинив активність.

QakBot

QakBot є одним з найстаріших вірусів серед тих, що активні по тепер. Перша поява QakBot відбулася аж у 2007 році, під іменем PinkSlipBot. З самого початку, цей шкідник вирізнявся модульністю та можливістю як викрадати дані, так і надавати віддалений доступ та доставляти інших шкідників. Ключовим методом розповсюдження цього шкідника є і залишається прицільний фішинг та спам електронною поштою. Багато аналітиків пов’язують QakBot з російськими хакерами, і це підтверджується численними розслідуваннями від спеціалізованих структур у Великобританії та США.

Під кінець літа 2023, ФБР провела блискучу операцію, яка дозволила зупинити і видалити це шкідливе ПЗ з понад 700 тисяч заражених комп’ютерів. Тим не менш, основні серверні потужності та ключові керівники кіберзлочинної групи на свободі – тому QakBot може повернутися, рано чи пізно.

Шифрувальник STOP/Djvu

На відміну від вже згаданих шифрувальників, сімейство STOP/Djvu не використовує масованих одночасних атак. Натомість, кіберзлочинці використовують атаки “хвилями”, постійно випускаючі нові й нові версії. Такий підхід ускладнює відстеження та розшифровку нових зразків шкідливої програми

З моменту появи у 2019 році, шифрувальник STOP/Djvu атакував десятки, якщо не сотні тисяч осіб. Точну кількість уражених систем підрахувати важко, оскільки шкідник активний і понині. Злочинці націлюють кампанії з розповсюдження переважно на користувачів, використовуючи “злами” ігор та програм, що розповсюджуються на торент-трекерах. Окрім цього, популярною була і тактика доставки вимагача через ботнети, зокрема Emotet.

Криптомайнер XMRig

Вірус-продукт ери активного використання криптовалют XMRig паразитує на апаратному забезпеченні інфікованої системи задля майнингу. Використання центрального процесору для цієї задачі є неефективним, але завдяки створенню мереж з десятків тисяч заражених комп’ютерів, цю проблему можна обійти. Додатково, цей шкідник націлений на майнинг монет Monero та DarkCoin, які мають значно простіші до обчислення моделі блокчейну.

Головним негативним ефектом активності XMRig є постійне завантаження центрального процесора на 80-85%. Не важливо, встановлений в системі Pentium чи Threadripper – цей шкідник буде використовувати стільки потужності, скільки зможе. Через це комп’ютер має труднощі з відкриттям навіть базових програм, на кшталт браузера чи пакету MS Office.

Шпигун RedLine

Шпигунське ПЗ завжди мало свою нішу, однак в останні роки його популярність зросла в рази. Серед них вирізнився RedLine – шпигунське ПЗ російського походження, яке має дуже широкий функціонал та купу трюків у арсеналі, які ускладнюють його виявлення. З 2020 року комп’ютерний шпигун встиг атакувати не тільки користувачів, а й цілі компанії і навіть муніципалітети.

Як і у реальних шпигунів, ефективність RedLine забезпечується прихованістю його активності. Шкідник робить усе, аби його не помітили, і намагається завершити активну фазу роботи якомога швидше. Цей шпигун зазвичай збирає дані з браузера, включно з файлами cookie та автозаповненням, а також може перехоплювати авторизаційні токени у ряді десктопних програм.

Шифрувальник GandCrab

GandCrab є прикладом вимагача, команда якого “пішла красиво”. Після півтора року успішних атак на користувачів з усього світу, група кібер-шахраїв заявила що “вони заробили 2 мільярда доларів, чого вистачить ще їх онукам”, і завершила свою діяльність. Багато аналітиків пов’язують появу кіберзлочинного угрупування Conti з продовженням діяльності частини членів GandCrab. За короткий період активності, цей шифрувальник атакував більше 20 тисяч систем.

Більше інформації

Хакери використовують Діскорд для розповсюдження троянів та вимагачів

Якщо ви один з тих криптовалютних ентузіастів на Діскорд, то наведена нижче інформація точно для вас. Дослідники з кібербезпеки попереджають про новий вид криптору, який спеціально використовується в атаках на криптовалютні спільноти. Вони кажуть, що під загрозою цього зловмисного програмного забезпечення стоять такі криптоспільноти, як DeFi, NFT і Crypto. Для тих, хто не надто цікавиться усією цією криптовалютною справою, NFT це невзаємозамінні токени. Цей термін позначає унікальні токени, які дають право власності на дані, що зберігаються на блокчейн технології. За декілька років вся індустрія значно зросла, оцінювана вартість якої, складає тепер понад 2,5 трильйона доларів.

Всередині індустрії люди використовують Діскорд, групову платформу для спілкування, де можна приєднатися до будь-якого чату та надсилати один одному приватні повідомлення. Криптору, що атакує такі спільноти фахівці дали назву Бабадеда (за російськомовною назвою плейсхолдера, який використовується в програмі). Криптор легко обходить антивірусну на основі сигнатур детекцію. Під час останніх кампаній зловмисники використовували Бабадеда для доставки RAT, викрадачів інформації та навіть програм-вимагачів LockBit.

Для створення ілюзії справжності у Діскорд хакери застосували ряд заходів

Для проведення кампанії хакер створив бота Діскорд на офіційному каналі компанії. Вони надсилали нічого не підозрююючим жертвам приватні повідомлення із запрошенням завантажити програму, яка дасть користувачеві доступ до нових функцій та/або додаткових переваг. Багато людей прийняли їх за справжні, все виглядало так, ніби вони були прислані від компанії. Повідомлення містили URL-адресу, яка спрямовувала користувача на підроблений сайт. Все було організовано так, щоб користувач завантажив шкідливу програму-інсталятор.

Хакери використовують Діскорд  для розповсюдження троянів та вимагачів
“Нібито” справжні повідомлення, що отримували користувачі на Діскорд

Для стоворення ілюзії справжності хакери застосували додаткових мір. Серед них:

  • Підроблена сторінка мала дуже схожий на оригінальну сторінку інтерфейс користувача;
  • Хакери підписували домени сертифікатом (через LetsEncrypt), який вмикав з’єднання HTTPS;
  • Вони також використовували техніку під назвою кіберсквоттинг. Це коли додаються або видаляються літери з оригінального домену або домену верхнього рівня для створення фейкового;

Коли користувач натискав «Завантажити додаток», сайт перенаправляв запит на завантаження на інший домен через /downland.php,. Така схема вможливлювала непоміченість фейковості сайту. Фахівці з кібербезпеки виявили 82 доменів, створені в період з 24 липня 2021 року по 17 листопада 2021 року. Вони також знайшли різні варіанти криптору. Усі вони мали однаковий основний потік виконання. Зловмисники приховували криптор всередині офіційних програм, що ускладнювало його виявлення.

Одразу за тим, як користувач завантажує шкідливий інсталятор через несправжній Діскорд чат, починає виконуватися процес копіювання стиснутих файлів в щойно створену папку з ім’ям цілком непримітного якогось застосунка як “Монітор здоров’я додатків IIS” використовуючи один з наступних шляхів каталогу:
C:\Users\<користувач>\AppData\Local\
C:\Users\\AppData\Roaming\

Короткі технічні деталі роботи криптора

Програма починає встановлення і копіювання шкідливих файлів разом з іншими безкоштовними файлами або файлами з відкритим вихідним кодом. Після завершення видалення файлів починається виконання через основний виконуваний файл. На цьому етапі з’являється фейкове повідомлення про помилку програми, певно зроблено для того, щоб змусити користувача подумати, що програма вийшла з ладу, поки вона все ще продовжує працювати у фоновому режимі. Після ретельного огляду коду функції фахівці з кібербезпеки виявили, що він набагато довший, ніж фактичний код завантаження DLL. Це було зроблено спеціально для того, щоб приховати справжні функціональності програми та ускладнити її виявлення антивірусами. Наступний етап виконання відбувається всередині додаткового файлу, зазвичай це файл PDF або XML. Але фахівці з кібербезпеки відзначають, що вони також спостерігали використання таких файлів, як PNG, Text або JavaScript. Далі слідує складний ряд дій, який занадто довгий, щоб помістити його в одну публікацію.

Будемо коротко. Завершальним етапом є фіксація таблиці адрес імпорту та таблиці переміщення знову введеного PE. І зловмисне програмне забезпечення переходить до точки входу щойно введеного PE з оригінальними аргументами командного рядка.