В более, чем 8000 страниц доклада Vault 7 упоминается более 20 антивирусов от известных во всем мире компаний, среди которых Avast, Kaspersky, McAfee, Norton, Microsoft Security Essentials. Кроме того, в отчете содержатся комментарии хакеров ЦРУ об эффективности продуктов от пяти вендоров, которые предназначены для защиты в том числе от шпионажа.

Многие компании моментально отреагировали на публикацию и в подробностях сообщили механизмы взлома смартфонов, компьютеров и смарт-телевизоров средствами ЦРУ, а также выпустили рекомендации по защите от шпионажа. Некоторые вендоры заявили, что для надежной защиты пользователей от попыток эксплуатации уязвимостей требуется тесное сотрудничество компаний.

Руководитель компании Avast Software Винс Стеклер так прокомментировал ситуацию: “Хакеры всегда ищут способ для эксплуатации программных уязвимостей. Последние утечки как никогда привлекают наше внимание к проблемам безопасности целевых платформ”.

“Существует острая необходимость в сотрудничестве с другими представителями антивирусной индустрии и в открытых платформах между поставщиками безопасности и мобильными операционными системами, чтобы всегда оставаться на шаг впереди в этой игре в кошки-мышки”.

Портал Newsweek показал, как ЦРУ поступает с антивирусами, которые мы повседневно используем для защиты компьютеров и устройств. Ниже представлено мнение агентства о пяти антивирусных вендорах.

F-Secure

Финская компания F-Secure предоставляет свои услуги миллионам домашних пользователей и более 100000 корпоративных пользователей. В классификации ЦРУ финский антивирус получил описание как “продукт низкого уровня, которые вызывает минимальные трудности”.

Руководитель исследовательского подразделения F-Secure Микко Хиппонен (Mikko Hypponen) сказал, что нет ничего удивительного, в том, что специализированные техники взлома ЦРУ позволили обойти защитные меры, используемые в F-Secure.

Хиппонен заявил: “F-Secure упоминается в утечке в том контексте, что ЦРУ может беспрепятственно обходить защиту некоторых наших продуктов. Однако, агентство всегда сможет найти способ для обхода наших продуктов. Даже если они могут сделать это прямо сейчас, то многомиллионные инвестиции позволят обнаружить брешь в безопасности”.

Avira

Немецкая компания Avira описывается ЦРУ как “схожая с F-Secure”. Одни и та же уязвимость в обоих продуктах может эксплуатироваться с помощью идентичного хакерского инструмента.

Avira предоставляет услуги защиты для более 100 миллионов пользователей через партнерские отношения с другими компаниями.

По данным ЦРУ, Avira исторически была популярным продуктом среди контртеррористических целей, но “как правило, от ее защиты можно легко уклониться”.

Kaspersky

Российская антивирусная компания “Лаборатория Касперского” также упоминается в докладе Vault 7. Судя по рассекреченным документам, ЦРУ удавалось обходить защитные механизмы продуктов компании.

“Лаборатория Касперского” является одной из самой крупной компании в антивирусной индустрии с общей аудиторией более 400 миллионов пользователей.

Компания моментально отреагировала на публикацию WikiLeaks. Уязвимости, которые использовались агентством, уже устранены в антивирусах компании.

AVG

AVG стал более серьезным испытанием для ЦРУ. Простые техники взлома были успешно отражены продуктом, но в конечном итоге хакерам удалось обойти защитные механизмы решения.

Обнаруженная уязвимость эксплуатировалась с помощью сложной техники Process Hollowing. В документах ЦРУ используется следующее описание: “Недурно, и под недурно имеется в виду очень мило”.

Comodo

Компания Comodo, которая разрабатывает в том числе корпоративные решения безопасности, получила почетный знак от ЦРУ, который описывается в документах как “невыносимая боль в заднице”.

В документе упоминается, что “Comodo ловит абсолютно все, включая стандартные сервисы Windows, пока вы сами это не остановите”.

Самопровозглашенный “Глобальный лидер в решениях кибербезопасности” оступился в одной из версий антивирусной защиты, которая содержит очень легкие в эксплуатации уязвимости. Хакер ЦРУ описывает атаку на версию Comodo 4-х летней давности.

В рассекреченных документах сообщается “Основные пользователи Comodo - клинические параноики, многие из которых не спешили обновиться даже до 6.X версии. Это какой-то позор, потому что продукт содержит просто огромную дыру в безопасности. Если бы такая дыра была на дорожном покрытии, то преодолеть ее можно было только грузовиком с огромными колесами”.

Comodo отреагировала на данную публикацию. В сообщении электронной почты представитель компании сообщает: “Самые страшные вещи не сообщаются ЦРУ, потому что они связаны с самим ЦРУ. Получить звание “невыносимая боль в заднице” от такой экспертной хакерской организацией с гигантским финансированием, как ЦРУ, является для нас поводом для гордости. Версия Comodo Internet Security 6.x уже давно устарела, а значит устарели и упоминаемые уловки агентства”.

Нашли опечатку? Нажмите Ctrl + Enter

Компьютеры в РФ, на Украине, в Турции и Германии. По предварительным данным, криптовирус Bad Rabbit (англ. "плохой кролик") послужил причиной недоступности для пользователей сайтов ряда СМИ, в частности - российского агентства "Интерфакс". Кроме того, сообщалось о "хакерской атаке" на информационную систему международного аэропорта Одессы (Украина) и метрополитен Киева.

Вирусы-вымогатели (ransomware, криптовирусы) работают по схожей схеме: они блокируют рабочий стол пользователя компьютера, шифруют все файлы определенных типов, найденные на компьютере, после чего удаляют оригиналы и требуют выкуп (обычно - перевод определенной суммы денежных средств на счет злоумышленников) за ключ, разрешающий продолжить работу и вернуть файлы. Зачастую создатели криптовирусов ставят пользователям жесткие условия по срокам уплаты выкупа, и если владелец файлов не укладывается в эти сроки, ключ удаляется. После этого восстановить файлы становится невозможно.

Редакция ТАСС-ДОСЬЕ подготовила хронологию первых в истории вирусов, а также наиболее масштабных вирусных компьютерных атак.

В 1971 году первую в мире программу, которая была способна самостоятельно размножать свои копии в компьютерной сети, создал инженер американской технологической компании BBN Technologies Боб Томас. Программа, получившая название Creeper не была вредоносной: ее функционал ограничивался самокопированием и выведением на терминал надписи: "Я крипер, поймай меня, если сможешь". Годом позже другой инженер BBN, изобретатель электронной почты Рэй Томлинсон, создал первый антивирус, который самостоятельно "размножался" на компьютерах сети и удалял Creeper.

В 1981 году был создан первый вирус, который впервые вызвал неконтролирумую "эпидемию". Вирус под названием Elk Cloner (англ. "Клонирователь оленя") был создан 15-летним американским студентом Ричардом Скрентой для компьютеров Apple II. Вирус заражал магнитные дискеты и после 50-го обращения к зараженному носителю выводил на дисплей стишок, а в отдельных случаях он мог также повредить дискету.

В феврале 1991 года в Австралии появился первый вирус, масштаб заражения которым составил более 1 млн компьютеров по всему миру. Вредоносная программа Michelangelo была написана для IBM-совместимых персональных компьютеров (ПК) и операционной системы DOS. Она срабатывала каждый год 6 мая, в день рождения итальянского художника и скульптора Микеланджело Буонаротти, стирая данные на главной загрузочной области жесткого диска. Прочую информацию с диска можно было восстановить, но рядовому пользователю ПК сделать это было сложно. Создатель вируса остался неизвестен, отдельные случаи срабатывания программы фиксировались вплоть до 1997 года.

2 июня 1997 года студент Датунского университета (Тайбэй, Тайвань; КНР) Чэнь Инхао создал первую версию вируса Chernobyl ("Чернобыль" или CIH - по первым слогам имени имени автора). Вирус заражал компьютеры с операционными системами Windows 95 и 98, срабатывал каждый год 26 апреля, в годовщину катастрофы на Чернобыльской АЭС. Вирус стирал загрузочную область жесткого диска и, реже, данные BIOS - загрузочной области компьютера. В последнем случае требовалось менять чип на материнской плате или даже приобретать новый компьютер, так как старый выходил из строя. По оценкам, заражению подверглись более 60 млн ПК по всему миру, ущерб превысил $1 млрд. Непосредственно к Чэнь Инхао исков подано не было, он избежал ответственности.

5 мая 2000 года в мире началась наиболее масштабная эпидемия компьютерного вируса. Созданный филиппинскими студентами Реонелем Рамонесом и Онелем де Гузманом "почтовый червь" ILOVEYOU (англ. "я тебя люблю") рассылал себя по всем контактам электронной почты владельца зараженного ПК и заменял на свои копии большинство файлов с документами, изображениями и музыкой. Только в первые 10 дней эпидемии число зараженных компьютеров превысило 50 млн. Чтобы защититься от эпидемии, многие государственные учреждения по всему миру временно отключили электронную почту. Совокупный ущерб впоследствии был оценен в $15 млрд. Создателей вируса быстро вычислила филиппинская полиция. Однако они остались безнаказанными из-за отсутствия в местном уголовном кодексе статьи, предусматривающей ответственность за компьютерные преступления.

В сентябре 2010 года вирус Stuxnet поразил компьютеры сотрудников АЭС в Бушере (Иран) и создал проблемы в функционировании центрифуг комплекса по обогащению урана в Натанзе. По мнению экспертов, Stuxnet стал первым вирусом, который был использован как кибероружие.

12 мая 2017 года значительное число компьютеров с операционной системой Windows подверглось атаке вируса-вымогателя WannaCry (англ. "хочу плакать"). Вирус шифрует файлы пользователя, чтобы их нельзя было использовать; за расшифровку данных злоумышленники требовали заплатить $600 в криптовалюте биткойн. Всего было заражено до 300 тыс. компьютеров в по меньшей мере 150 странах мира. Предполагаемый ущерб превысил $1 млрд. От атаки, в частности, пострадали Национальная система здравоохранения (NHS) Великобритании, испанская телекоммуникационная компания Telefonica, электронная система суда бразильского штата Сан-Паулу и др. Глобальная хакерская атака также затронула компьютеры российских силовых ведомств и телекоммуникационных компаний. Атакам подверглись системы МЧС, МВД, РЖД, Сбербанка, мобильных операторов "Мегафон" и "Вымпелком". По данным американских экспертов, вымогавшим средства злоумышленникам поступило всего 302 платежа в общем размере около $116,5 тыс. По оценкам Сбербанка, более 70% "успешно" атакованных компьютеров принадлежали российским организациям и физическим лицам. После атаки Microsoft выпустила обновления пакетов безопасности для уже не поддерживавшихся операционных систем Windows XP, Windows Server 2003 и Windows 8.

27 июня 2017 года от атаки компьютерного вируса - шифровальщика Petya.А пострадали десятки компаний в РФ и на Украине. По сообщению Group-IB, которая занимается предотвращением и расследованием киберпреступлений, в России атаке подверглись компьютерные системы "Роснефти", "Башнефти", "Евраза", российских офисов компаний Mars, Mondeles и Nivea. На Украине вирусной атаке подверглись компьютеры "Киевэнерго", "Укрэнерго", "Ощадбанка" и концерна "Антонов". Также из-за вируса временно отключился автоматический мониторинг промышленной площадки на Чернобыльской АЭС. Вирус Petya распространяется через ссылки в сообщениях электронной почты и блокирует доступ пользователя к жесткому диску компьютера, требуя выкуп в размере $300 в биткойнах. Этим он схож с вредоносной программой WannaCry, с которой была связана предыдущая крупная вирусная атака в мае 2017 года.

Трансляция

С начала С конца

Не обновлять Обновлять

На этом «Газета.Ru» завершает онлайн-репортаж. Спасибо, что были с нами. Сегодня 74 страны мира столкнулись с одной из крупнейших хакерских атак в мире. Мошенники блокировали компьютеры и просили выкуп в криптовалюте. Сумма, по разным источникам, составляет от 300 до 600 долларов.

Наиболее пострадавшей страной стала Россия. Также серьезно пострадали Украина, Япония, Индия и другие страны.

Берегите себя и свою информацию. Обновите свой Windows и делайте мир безопасным.

Мы продолжаем следить за развитием событий. Оставайтесь с нами.

Раньше аналогичные сообщения поступали из Испании. Теперь вот и россияне подтянулись.

Написано вроде бы и понятно, но все равно как-то не по-русски. Значит, софт писался как минимум не испанцами и не русскими.

МЧС России также сообщило о попытках атаковать их компьютеры. Ничего у хакеров не вышло.

«Все попытки вирусных атак на компьютеры были блокированы, заражению не подвергся ни один компьютер. Все интернет-ресурсы МЧС России работают в штатном режиме», — сообщили ТАССу в пресс-службе ведомства.

Хакерская атака действительно объединила сегодня почти весь мир. Да, делать сеть безопасной, видимо, — наша общая задача.

«А если АНБ создаст инструмент для атаки на Windows XP, который больше не поддерживается Microsoft, и он попадет в руки преступников — должно ли агентство само выпустить патч?»

If NSA builds a weapon to attack Windows XP—which Microsoft refuses to patches—and it falls into enemy hands, should NSA write a patch? https://t.co/TUTtmc2aU9

— Edward Snowden (@Snowden) May 12, 2017

«Это особый случай. Если бы АНБ вовремя уведомило о найденных уязвимостях, у больниц были бы годы — даже не месяцы — чтобы подготовиться», — продолжил Сноуден.

В сети активно интересовались, что же думает Эдвард Сноуден по данному вопросу. Вот что.

«Вот это да, АНБ создало инструменты для взлома американского софта, которые в итоге угрожают жизни сотен пациентов», — пишет бывший сотрудник Агентства национальной безопасности Эдвард Сноуден.

В МВД РФ признали, что в пятницу компьютеры ведомства все же подверглись вирусной атаке. По словам официального представителя МВД Ирины Волк, заражено было меньше 1% компьютеров. Все успели вовремя отследить и локализовать. «Департаментом информационных технологий, связи и защиты информации МВД России была зафиксирована вирусная атака на персональные компьютеры ведомства, находящиеся под управлением операционной системы Windows. Благодаря своевременно принятым мерам было блокировано порядка тысячи зараженных компьютеров, что составляет менее 1%», — цитирует ТАСС Волк.

Кстати, эксперты говорят, что самый простой обезопасить себя от атаки — это закрыть порт 445.

Буквально пару недель назад «Газета.Ru» в своем материале о том, что количество хакерских атак с вымогательством в интернете выросло вдвое за последний год. Об этом свидетельствует ежегодный отчет о киберпреступлениях от телекоммуникационной компании Verizon.

На диаграмме отчетливо видно, что наибольшие проблемы с атакой испытывает Россия. Следом — Украина и Индия, правда, с очень большим отрывом.

Примечательно, но Великобритания, где пользователи сети острее всего реагируют на атаку, даже не вошла в топ-20 наиболее пострадавших стран.

Тут появилась крутая видеографика, на которой показано, с какой скоростью и где шло распространение вируса. Судя по всему, первыми атакам подверглись США и Китай. Россию «подключили» очень скоро. И, судя по всему, первая атака совершена, ожидаемо, на компьютеры в Москве. Саму интерактивную карту можно посмотреть .

В ESET Russia, тем не менее, говорят, что вирус как раз эксплуатирует уязвимость большинства версий Microsoft. «При эксплуатации уязвимости запускается сетевой шифратор, и расшифровка файлов практически невозможна. Способ защититься от этого вируса — обновить ОС», — сказал «Газете.Ru» Виталий Земских, руководитель отдела поддержки продаж ESET Russia. К слову, собеседник подтвердил, что мартовским обновлением ОС MS17010 все «фиксится», как нужно.

А вот и еще комментарий от Microsoft. Представители компании заявляют, что тот пробел, которым сегодня воспользовались мошенники, Windows как раз и закрыл 14 марта вместе с обновлением. Те, кто с этого момента все же увидел надпись «Идет обновление системы», как говорят в компании, в безопасности.

Различные СМИ по всему миру пишут, что главными целями киберпреступников стали все же телекоммуникационные системы и больницы.

Microsoft заявила, что пользователи с бесплатным антивирусным программным обеспечением и включенной функцией обновления системы Windows будут защищены от атак. Об этом пишет Sky News. Пользователи старой доброй «винды» могут выдохнуть.

Раз уж актуально, вот самые элементарные правила компьютерной безопасности. 1. Обновляйте установленные антивирусные программы в строго установленные сроки.

2. Обращайте внимания на то, какие файлы из почты вы скачиваете на свой рабочий и домашний компьютер.

3. Лучше всего если вашим компьютером, что на работе, что дома, пользуетесь только вы.

4. Обновляйте все приложения и программы. Программисты работают над устранением брешей в безопасности своего софта. Не пренебрегайте их трудом.

5. Установите антивирусы на мобильные устройства.

6. Будьте осторожны даже с теми источниками, которым вы доверяете. Их тоже могут взломать.

7. Сочетайте разные антивирусные технологии. Не только общее сканирование, но и сканеры на отдельные, например, браузеры.

8. Имейте запасную антивирусную программу, софт которой записан на отдельный — «чистый» и проверенный носитель.

10. И главное, если вас вдруг «взломали», не паникуйте. Главное, помните, что любую проблему можно исправить.

Глава представительства Avast в России и СНГ Алексей Федоров в беседе с «Газетой.Ru» подчеркнул, что сегодняшняя атака — одна из самых масштабных. «Судя по специализации большей части жертв, которые в первую очередь подверглись атаке (медучреждения), злоумышленники постарались добраться до организаций, для которых оперативный доступ к информации и корректная работа IT-инфраструктуры являются в буквальном смысле вопросом жизни и смерти. Соответственно, они будут готовы быстро заплатить вымогателям деньги, чтобы вернуть работоспособность своей инфраструктуры», — комментирует ситуацию Федоров.

Также он констатировал, что «циничность и масштабы деятельности компьютерных злоумышленников растут». «Мы имеем дело с хорошо скоординированной атакой международного уровня», — добавил представитель Avast и посоветовал пользователям ПК строго соблюдать правила компьютерной безопасности.

В твиттере пишут, что WannaCry ломается при отсутствии файлов. А еще пишут, что программа поддерживает 28 языков. Напоминаем, атаки зафиксированы в 74 странах.

Ransomeware WannaCry представляет собой зловредный вирус, который попадает на компьютер жертвы и шифрует или блокирует на нем все файлы и данные, предлагая заплатить выкуп за дешифровку, рассказала «Газете.Ru» консультант по безопасности Check Point Software Technologies. «Сейчас вымогатели действительно становятся одной из самых критических угроз: по данным Check Point, во вторую половину 2016 года они неоднократно попадали в топ-3 самых активных вредоносных программ для атак по всему миру. Для их доставки злоумышленники используют фишинг, спам-рассылки и другие инструменты. Опасность состоит в том, что многие предпочитают платить выкуп, тем самым поощряя злоумышленников дальше использовать эту технику», — рассказал эксперт.

К слову, компьютеры какой страны первыми подверглись атаке, также непонятно. Все происходит со стремительной скоростью.

А вот Financial Times уже имеет некоторые представления о природе вируса. Газета пишет, что WannaCry представляет собой модифицированную вредоносную программу Агентства национальной безопасности США Eternal Blue. Программа распространяет вирус через протоколы обмена файлами, которые установлены на компьютерах многих организаций по всему миру. Пишут, что вирус распространяется с какой-то удивительно высокой скоростью.

Хакеры действуют на просторах интернета беспрестанно. Однако лишь некоторые их атаки становятся действительного крупными и легендарными. Пришло время взглянуть на несколько исторических хаков.

Взлом Ashley Madison 2015 года: 37 миллионов пользователей

Группа хакеров, известная как Impact Team, взломала серверы компании Ashley Madison и украла личные данные 37 миллионов пользователей. После этого хакеры опубликовали полученную информацию на различных веб-сайтах. Очерненная репутация пользователей возымела эффект во всем мире, в том числе появлялись сообщения, что пользователи заканчивали свои жизни самоубийством из-за хака. Этот взлом запомнился не только тем, что этот акт был публичным, но также и тем, что хакеры завоевали себе славу борцов против неверности и лжи.

Вирус Conficker 2008 года: до сих пор инфицирует миллионы компьютеров ежегодно

Несмотря на то что эта мощная вирусная программа не нанесла непоправимого ущерба, она по прежнему отказывается умирать. Она постоянно прячется, а при первой возможности копируется на другие машины. Но еще более пугающим является то, что этот вирус продолжает открывать задние двери на инфицированных компьютерах для дальнейших хакерских атак. Этот вирус размножается и распространяется по различным компьютерам, где он скрывается в тени, параллельно превращая ваш компьютер в бота для рассылки спама или же считывая данные вашей кредитной карты и ваши пароли, затем пересылая эти данные хакерам. Этот вирус является очень умной компьютерной программой. Он деактивирует ваш антивирус, чтобы защитить себя. Он так известен благодаря тому, насколько он настойчиво продолжает существовать и насколько широко он распространился. Спустя восемь лет после того, как он был обнаружен, он до сих пор путешествует по интернету.

Вирус Stuxnet 2010 года: блокирована ядерная программа Ирана

Эта вирусная программа, которая весила менее одного мегабайта, была запущена в сеть иранских ядерных заводов. Когда вирус достиг точки назначения, он взял под контроль всю систему. Затем он приказал пяти тысячам урановых центрифуг вращаться без контроля, внезапно останавливаться, а затем снова начинать вращение, параллельно посылая отчеты о том, что все в порядке. Эта хаотичная манипуляция продолжалась в течение 17 месяцев, заставляя заводы жить своей собственной жизнью, а рабочих и ученых сомневаться в собственном рассудке. И на протяжении всего этого времени никто не знал, что происходит. Коварная и скрытная атака принесла больше вреда, чем если бы эти центрифуги были бы просто уничтожены. Вирус вел тысячи специалистов по неправильному пути в течение полутора лет, потратив тысячи часов работы и урановые ресурсы, оцениваемые миллионами долларов. Этот хак запомнился как размахом, так и хитростью: вирус атаковал ядерную программу страны, которая находилась в состоянии конфликта с США и другими мировыми державами, а также он обманывал тысячи научных работников в течение полутора лет, пока он скрытно выполнял свою грязную задачу.

Взлом Home Depot 2014 года: более 50 миллионов кредитных карт

Используя пароль одного из продавцов сети магазинов, хакеры смогли украсть самое большое количество данных кредитных карт в истории. Используя бреши в операционной системе «Майкрософта», хакеры смогли проникнуть на серверы до того, как «Майкрософт» предпринял попытку закрыть эти бреши. Как только они смогли попасть в первый магазин сети в Майами, хакеры начали действовать по всему континенту. Они наблюдали за транзакциями, проходящими в 7 тысячах кассовых аппаратов этой сети. Они собирали данные о кредитных картах, по мере того как пользователи совершали покупки в этих магазинах. Эта хакреская атака запомнилась тем, что она была направлена против мощной корпорации и миллионов ее доверенных клиентов.

Spamhaus 2013 года: крупнейшая DDOS-атака в истории

DDOS-атака — это, по сути, поток данных. Используя десятки компьютеров, которые повторяют одинаковый сигнал с большой частотой и на высоком уровне шума, хакеры буквально затапливают и перегружают компьютерные системы в интернете. В марте 2013 года эта конкретная DDOS-атака оказалась настолько большой, что она замедлила работу всего интернета во всем мире, а также полностью отключило его в некоторых частях мира на целые часы.

Взлом eBay 2014 года: 145 миллионов пользователей

Многие говорят, что это было самое крупное нарушение общественного доверия в истории онлайн-бизнеса. Однако другие говорят, что это было гораздо менее печально, чем массовые кражи, так как произошла утечка лишь личных данных, а не финансовой информации. Независимо от того, с какой точки зрения вы решите взглянуть на этот инцидент, миллионы покупателей в интернете потеряли свои данные, которые были защищены паролем. Этот хак является особо запоминающимся, так как он оказался невероятно публичным, а также из-за того, что eBay в данной ситуации был описан как сервис, имеющий очень слабую систему безопасности, а также очень медленно и неадекватно реагирующий на ситуацию.

Взлом JPMorgan Chase 2014 года: 83 миллиона банковских счетов

В 2014 году российские хакеры взломали крупнейший банк Соединенных Штатов Америки и украли данные 7 миллионов банковских счетов малого бизнеса и 76 миллионов личных банковских счетов. Хакеры проникли в 90 компьютеров банка и с них просмотрели личную информацию пользователей счетов.

Вирус The Melissa 1999 года: 20 процентов компьютеров в мире было инфицировано

Мужчина из Нью-Джерси выпустил макро-вирус в интернет, где он проникал на компьютеры с операционными системами Windows. Этот вирус был замаскирован под прикрепленный к электронному письму файл Word с заголовком «Важное сообщение от (имя человека)». Как только пользователь нажимал на это прикрепленное сообщение, вирус активировался и приказывал компьютеру скопировать этот вирус в качестве массовой рассылки для первых пятидесяти контактов.

Взлом LinkedIn, раскрытый в 2016 году: 164 миллиона аккаунтов

Этот взлом, который удалось раскрыть только через четыре года после того, как он случился, запомнился тем, что крупнейшей социальной сети для сотрудников пришлось признать утерю данных 117 миллионов пользователей, которые затем были перепроданы на черном рынке. Значительным этот хак является из-за того, какое количество времени потребовалось компании, чтобы понять, что она была взломана. Четыре года — это довольно много времени для осознания того, что вас ограбили.

Взлом Anthem Health Care 2015 года: 78 миллионов пользователей

Базы данных второго по размерам медицинского страховщика в Соединенных Штатах Америки подвергались скрытой атаке в течение нескольких недель. Детали проникновения не разглашаются, однако компания заявляет, что медицинская информация украдена не была. Хакерам удалось украсть только контактную информацию и номера социального страхования.

Взлом сети Sony Playstation 2011 года: 77 миллионов пользователей

В апреле 2011 года группа хакеров под названием Lulzsec взломала базу данных Sony в сети Playstation, выложив в открытый доступ контактную информацию, логины и пароли 77 миллионов игроков. Sony заявляет, что данные кредитных карт украдены не были. Компания приостановила работу сервиса на несколько дней, чтобы улучшить систему безопасности и залатать дыры.

Взлом Global Payments 2012 года: 110 миллионов кредитных карт

Global Payments — это одна из крупнейших компаний, занимающихся транзакциями кредиторов и поставщиков. Она специализируется на малом бизнесе. В 2012 году система этой компании была взломана хакерами, которые украли информацию о кредитных картах. С некоторых карт, данные о которых были украдены, затем были сделаны нелегальные транзакции.

На вопрос «Какой антивирус вы используете на своей виндовой машине?» многие безопасники (в том числе и сотрудники нашей редакции) отвечают просто: никакой. Когда эпидемии в сотни тысяч зараженных компьютеров разгораются, невзирая на все самые передовые технологии систем защиты, а антивирусы в наших тестах показывают сомнительные результаты, об отказе от антивируса вполне стоит подумать.

План статьи будет таков: как локализовать заразу, если она все-таки проникла на твою машину, как победить руткиты и как восстановить систему после заражения, если все зашло слишком далеко. В конце статьи мы дадим несколько банальных, но по-прежнему актуальных советов о том, как избежать заражения (с другой стороны, как можно называть банальными советы, соблюдение которых снизило бы количество зараженных машин Сети в десятки раз?).

Что делать в случае заражения?

Итак, если у тебя есть подозрение на то, что машина инфицирована, в первую очередь ты должен выполнить несколько действий:

• отключить хост от сети (вытащить UTP-кабель, погасить Wi-Fi);
• вынуть из портов все внешние девайсы (HDD- и USB-устройства, телефоны и прочее).

Все эти действия связаны с необходимостью изолировать нашего пациента от внешнего мира. Отключать хост нужно обязательно и от доступа во внешний мир через интернет и локалку, поскольку малварь практически со стопроцентной вероятностью будет пытаться себя распространить на весь доступный ей сегмент. К тому же если зловред является частью ботнет-сети или содержит компоненты RAT , то он может бездействовать до того момента, как поступит управляющая команда с из внешней сети. Также это страхует нас и от утечки локальных данных во внешний мир, к примеру через DNS-туннелированные или подобные хакерские фичи. Следуя этой же логике, рекомендуют как можно скорее вытащить все подключенные к пациенту девайсы: к примеру, если это вирус-шифровальщик, то он может просто не успеть добраться до данных на внешних HDD и USB-флешках.

INFO

Ты можешь еще услышать совет сразу выключить зараженный компьютер. Здесь неоднозначно. С одной стороны, это может приостановить разрушительные действия зловреда. Но есть и риск того, что после выключения в следующий раз ОС больше вообще не загрузится, а данные на винтах потрутся. Поэтому действовать нужно по обстоятельствам, многое зависит от того, какая именно малварь была запущена и какие цели она преследует. Ниже при рассмотрении кейсов мы расскажем и о первой, и о второй ситуации.

Ну и конечно, для успешной борьбы с малварью и восстановления системы у тебя должны быть привилегии административной учетной записи, так как многие действия (манипуляции с системными файлами, остановка и перезапуск сетевых служб, восстановление реестра, изменение конфигурации загрузчика и тому подобное) потребуют от нас всей полноты прав на систему. 🙂

WARNING

Неверные и неосмысленные действия могут привести к нарушению нормальной работы ОС, ПО или к потере данных. Ни автор, ни редакция не несут ответственности за ущерб, причиненный неправильным использованием материалов данной статьи. Выполняй только те действия, суть и значение которых ты осознаешь.

Поиск процессов и обезвреживание малвари в памяти

Любая малварь, чтобы выполнять свои действия, должна быть запущена в оперативной памяти. И неважно, как именно бинарный код был загружен в RAM - из exe-файла, вложенного в письмо, скрипта из инфицированной HTML-странички или был собран только из сетевых пакетов, как нашумевший в начале 2000-х годов бестелесный червь Slammer , поразивший тысячи серверов за несколько десятков минут. Поэтому ключевой задачей на первом этапе становится поиск и идентификация процесса зловреда в памяти. И стандартный менеджер задач Windows тут нам не помощник. Почему? Да потому, что даже начинающий кодер на Delphi может использовать функции, позволяющие скрывать из области видимости штатного Task Manager’а запущенный процесс. Я еще молчу о том, что зловред может содержать руткит , который будет скрывать его действия в системе.

Итак, к нам на помощь придут утилиты - самостоятельные и комплексные менеджеры задач. Первая тулза, которую мы рассмотрим, - это Process Monitor , бесплатная утилитка из набора SysInternals Suite . По сути, она объединяет в себе сразу две другие утилиты - FileMon (мониторинг файловой системы) и RegMon (мониторинг реестра). Тулза предоставляет мощный инструмент для мониторинга файловой системы, системного реестра, а также всех процессов в оперативной памяти в реальном времени.

На панели есть несколько интересных кнопок, позволяющих выполнять фильтрацию процессов и действий системы по нужным нам критериям:

• show registry activity - просмотр активности реестра (чтение, запись ключей);
• show file system activity - просмотр действия с файлами (чтение, запись);
• show network process activity - аналогично по процессам, использующим сеть;
• show process and thread - просмотр процессов и нитей.

Вторая, более навороченная тулза - это Process Explorer . Предназначена для мониторинга процессов в системе. Позволяет не только отследить процесс, но и уточнить, какие файлы и папки им используются. Фишка программы в том, что тут же в рабочем окне можно выделить процесс и по щелчку мыши проверить его на VirusTotal.

• - программы, которые запускаются только один раз, когда пользователь входит в систему;
• - программы, которые запускаются при входе текущего пользователя в систему;
• - программы, которые запускаются только единожды при входе текущего пользователя в систему.

Что у нас есть из тулз для этого случая? Первое - это программа Autoruns , которая позволяет управлять автозагрузкой в Windows. С ее помощью можно увидеть все программы, службы, драйверы и командные файлы, которые будут запускаться вместе с системой, а при необходимости - отключить их.

Скажем пару слов об интерфейсе и вкладках:

• Everything - отображает все файлы, которые будут запускаться автоматически при загрузке Windows;
• Logon - содержит все программы, которые будут запускаться автоматически;
• Explorer - автозапуск всех элементов проводника Windows;
• Internet Explorer - все надстройки и дополнения, которые установлены в Internet Explorer;
• Scheduled Tasks - процессы, которые запускаются автоматически из диспетчера задач;
• Services - файлы служб, автоматически запускаемые при загрузке машины;
• Drivers - все файлы, относящиеся к драйверам.

Восстанавливаем реестр

Реестр Windows, начиная с самых первых версий ОС, остается критически важным компонентом системы, по сути представляя собой базу данных для хранения различных параметров и настроек рабочего окружения, установленного ПО и самой Windows. Логично, что нарушение работы реестра или его повреждение грозит неработоспособным состоянием ОС. Сам реестр, который открывается штатной утилитой regedit , физически представлен несколькими файлами, хранящимися по пути %SystemRoot%\System32\config\ . Это файлы с именами SYSTEM, SOFTWARE, SECURITY, SAM, DEFAULT без расширений и доступные только для системных процессов NT AUTHORITY\SYSTEM, LocalSystem. Но если реестр открывать через штатный редактор, то эти файлы предстанут в виде большого иерархического дерева.

Первое, что приходит на ум, - это, конечно же, сделать бэкапы этих файлов и при необходимости просто заменить битые на резервные копии. Но из-под загруженной ОС простым копированием выполнить это не удастся, а экспорт данных с использованием regedit может получиться неполноценным. Поэтому рассмотрим инструменты, которые помогут нам в этом деле.

Штатные инструменты Windows для восстановления реестра

«Из коробки» Windows, к сожалению, не имеет отдельного инструмента, позволяющего делать резервные копии реестра. Все, что может дать система, - это функциональность морально устаревшей NTBackUp родом из эпохи Windows XP / 2003 Server или в новых ОС Windows 7, 8, 10 ее реинкарнацию в виде «программы архивирования и восстановления Windows », предлагающей создать целиком образ системы (всей системы - не реестра!). Поэтому рассмотрим лишь небольшой пример действий в консоли восстановления, позволяющих восстановить реестр вручную. По сути это операции замены битых файлов на инфицированной системе оригинальными файлами реестра из заранее сделанной резервной копии.

Все, перезагружаем машину и смотрим на результат!

Продолжение доступно только подписчикам

Вариант 1. Оформи подписку на «Хакер», чтобы читать все материалы на сайте

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов.