Історія комп’ютерних вірусів – це захоплива, хоча й тривожна сага про людську допитливість, технічні досягнення та зловмисні наміри. Від простих програм, що розмножувалися, до складних троянів, здатних паралізувати цілі системи, віруси залишають свій слід у цифровому світі.
Ось кілька найцікавіших вірусів, які залишили слід в історії:
1. Creeper (1971)
- Чим цікавий: Creeper вважається першим комп’ютерним вірусом. Creeper з’явився в мережі ARPANET (попереднику Інтернету). Вірус не завдавав шкоди, лише переміщувався між комп’ютерами і виводив повідомлення: “I’m the creeper, catch me if you can!“
- Вплив: Він не пошкоджував файли, але відкрив еру вірусів і, як наслідок, привів до створення першого антивірусу — Reaper, який видаляв Creeper.
Конфлікт між Creeper і Reaper надихнув на створення гри для програмістів під назвою Memory Battle. Creeper з’явився в аніме Digimon Tamers і комп’ютерній грі Digital: A Love Story.
2. Elk Cloner (1982)
- Чим цікавий: Один із перших вірусів для персональних комп’ютерів, який поширився «in-the-wild», тобто був виявлений на комп’ютерах користувачів, а не в системі, в якій був створений. Elk Cloner поширювався через дискети Apple II і демонстрував повідомлення після кожного 50-го завантаження системи.
- Вплив: Створений 15-річним програмістом Річем Скрента як жарт, вірус став першим прикладом шкідливого ПЗ, яке масово поширювалося серед користувачів ПК.
Elk Cloner був створений Річардом Скрента, як пранк в 1982 році. Скрента вже мав репутацію жартівника серед своїх друзів, тому що, під час обміну комп’ютерними іграми та програмним забезпеченням, він часто зміщував дискети, щоб вимкнути або відображати повідомлення на екрані. Через цю репутацію багато його друзів просто перестали приймати від нього дискети. Тому Скрента думав про методи зміни дискет без фізичного дотику або шкоди для них. Під час зимових канікул Скрента відкрив, як автоматично запускати повідомлення на своєму комп’ютері Apple II. Він розробив те, що зараз відомо як вірус завантажувального сектора, і почав поширювати його на початку 1982 року серед друзів середньої школи і місцевого комп’ютерного клубу. Двадцять п’ять років потому, в 2007 році, Скрента назвав його «якимось дурним маленьким практичним жартом».
3. Morris Worm (1988)
- Чим цікавий: Один із перших комп’ютерних черв’яків, який вразив близько 10% всіх підключених до Інтернету комп’ютерів на той час. Створений студентом Робертом Моррісом, черв’як використовував кілька уразливостей в UNIX-системах.
- Вплив: Викликав значні перебої в роботі мереж, призвів до створення законів проти кіберзлочинності в США та створення сертифікатів безпеки.
На відміну від сотень тисяч хакерів, Роберт Таппан Морріс, на той час аспірант Корнельського університету, не намагався «атакувати» комп’ютери Інтернету. Він вважав, що його маленький експеримент буде поширюватися набагато повільніше і не викличе реальних проблем. Він помилявся.
Збиток від хробака Морріса був оцінений приблизно в 96,5 мільйонів доларів.
Сам Морріс добре законспірував код програми, і навряд чи хто міг довести його причетність. Він запустив хробака з комп’ютера Массачусетського технологічного інституту. Він приховав свої файли, від’єднавши їх після спроб заразити якомога більше інших серверів. Проте батько Роберта, комп’ютерний експерт Агентства Національної Безпеки, вирішив, що синові краще у всьому зізнатися.
На суді Роберту Моррісу загрожувало до п’яти років позбавлення волі та штраф у розмірі 250 тисяч доларів, проте, беручи до уваги пом’якшувальні обставини, його засудили до трьох років умовно, 10 тисяч доларів штрафу і 400 годин громадських робіт.
4. ILOVEYOU (2000)
- Чим цікавий: Це один із найбільш руйнівних вірусів в історії. Поширювався через електронну пошту з темою “I love you”, що змушувало людей відкрити файл-вкладення. Вірус видаляв файли і копіював себе на всі контакти з поштової книги.
- Вплив: Завдав збитків на понад 10 мільярдів доларів. Він інфікував мільйони комп’ютерів по всьому світу, включно з урядовими й корпоративними системами.
Вірус був розісланий на поштові скриньки з Філіппін у ніч із 4 травня на 5 травня 2000 року; у темі листа містився рядок «ILoveYou», а до листа був доданий скрипт «LOVE-LETTER-FOR-YOU.TXT.vbs». Найчастіше користувач відкривав вкладення. При відкритті вірус розсилав копію себе всім контактам в адресній книзі Microsoft Outlook. Він також перезаписував файли певних типів та розповсюджувався через IRC-канали, створюючи файл LOVE-LETTER-FOR-YOU.HTM у системному каталозі Windows.
Через 20 років після створення вірусу знайшли його автора. Це чоловік якого звуть Онел де Гусман. Він стверджує, що спочатку зовсім не планував завдавати збитків на мільярди доларів, а хотів лише отримати доступ до інтернету, націлившись на користувачів у своєму районі.
Програміст розповів, що створив ILOVEYOU на базі своєї попередньої розробки, але додав можливість розсилати себе контактам користувача Outlook. Його адвокат заявив, що підзахисний навіть не підозрював наслідки своїх дій.
Чоловік зізнався, що спочатку він відправив вірус комусь із мешканців Сінгапуру, а потім пішов випити з другом. Він зрозумів, що запустив глобальний хаос, коли почув від матері про якогось хакера, якого шукає поліція Маніли.
5. Code Red (2001)
- Чим цікавий: Черв’як, який вражав сервери з операційною системою Windows NT та 2000. Code Red атакував сервери, що використовували сервер IIS (Internet Information Services), і змушував їх показувати повідомлення “Hacked By Chinese!“.
- Вплив: Черв’як заразив понад 359 тисяч серверів протягом перших 14 годин після запуску, спричинивши величезні збитки.
Детальний та оперативний опис та аналіз хробака зробили фахівці eEye Digital Security. Вони також дали вірусу назву — натяк на різновид напою Mountain Dew і попереджувальну фразу у вірусі — «Зламано китайцями!», що є натяком на комуністичний Китай, хоча насправді вірус, швидше за все, був написаний етнічними китайцями на Філіппінах. Цією фразою черв’як замінював контент сайтів на зараженому сервері.
Уразливість, яку використовує черв’як, заснована на переповненні буфера. Під час сканування Code Red не перевіряв наявність IIS на новому комп’ютері-жертві, а просто відправляв пакети з експлойтом по мережі на згенеровану IP-адресу, сподіваючись, що значна частина заражень, розісланих таким досить неефективним способом, знайде своїх жертв. Цей інтенсивний метод сканування призвів до величезних потоків сміттєвого трафіку, перевантаження мереж і зробивши присутність хробака майже очевидною для адміністраторів. З причин, відомих лише творцям вірусу, він активно поширювався лише з 1 по 19 число кожного місяця, залишаючись сплячим на заражених машинах протягом решти часу.
6. Blaster (2003)
- Чим цікавий: Вірус вражав операційні системи Windows XP та 2000, використовуючи уразливість у віддалених процедурах виклику. Його відома особливість — перезавантаження комп’ютера кожні кілька хвилин з виведенням повідомлення.
- Вплив: Blaster заразив мільйони комп’ютерів, викликав масові збої у роботі комп’ютерних систем і змусив Microsoft оперативно випустити патч.
Перша хвиля зараження цим хробаком пройшлася 11 серпня по комп’ютерним мережам США. На відміну від інших хробаків зараження Blaster проходило не при контакті із зараженим файлом, а випадковим чином. Потрапляючи в комп’ютер, вірус починав генерувати випадкові IP-адреси, і, згенерувавши адресу, шукав уразливості в системі жертви, а знайшовши — заражав комп’ютер. Далі цикл повторювався.
Blaster в своєму коді містив приховане послання, адресоване Біллу Гейтсу: «Біллі Гейтс, навіщо ви робите це можливим? Годі робити гроші, виправте ваше програмне забезпечення!»
За звинуваченням у створенні Blaster був заарештований американський школяр Джеффрі Лі Парсон. Однак він заявив, що не робив даний вірус, а лише вніс невеликі зміни в нього. Як він сказав з цього приводу: «Я розумію, що уряду потрібно піймати когось за ці злочини. Але я не той, кого їм слід ловити». А його мати, Ріта Парсон, додала: «Мій син не такий розумний, він не геній. Кожен, хто щось розуміє в комп’ютерах, зумів би зробити те ж, що і Джефф».
У суді Джеффрі Лі Парсон визнав свою провину у створенні модифікації черв’яка і розповсюдження її в інтернеті. Суддя Марша Печман вирішила не застосовувати до нього максимального покарання. У підсумку остаточним вердиктом для Джеффрі Лі Парсона стало півтора року тюремного ув’язнення і 225 годин громадських робіт.
7. Stuxnet (2010)
- Чим цікавий: Це перший відомий вірус, створений спеціально для виведення з ладу фізичних об’єктів, зокрема ядерних об’єктів Ірану. Stuxnet був надзвичайно складним і ціленаправленим шкідливим ПЗ, яке націлювалося на промислові системи управління Siemens.
- Вплив: Вірус призвів до руйнації тисяч центрифуг на ядерних об’єктах Ірану і став першою відкритою кіберзброєю.
Існує припущення, що Stuxnet є спеціалізованою розробкою ізраїльських спецслужб, спрямованою проти ядерного проекту Ірану. Як доказ згадуються завуальовані згадки слова MYRTUS, що містяться в коді хробака. Цим словом буквально перекладається з івриту ім’я біблійного персонажа, перської цариці юдейського походження Есфірі, яка допомогла зірвати плани повного знищення юдеїв у Перському царстві.
8. WannaCry (2017)
- Чим цікавий: Вірус-вимагач, який шифрував файли на комп’ютерах і вимагав викуп у біткоїнах. Він використовував уразливість у Windows, відому як EternalBlue, для швидкого поширення.
- Вплив: WannaCry вразив понад 230 тисяч комп’ютерів у 150 країнах, зокрема лікарні, що призвело до серйозних збоїв у роботі медичних закладів.
Спочатку відповідальними за хакерську атаку британське видання The Telegraph назвало угрупування Shadow Brokers, пов’язану з російськими урядовими структурами.
Проте вже в червні 2017 року британський Національний центр з кібербезпеки (англ. National Cyber Security Centre) поклав відповідальність за атаку на КНДР. В грудні того ж року уряд Сполучених Штатів оприлюднив власні висновки, згідно яких відповідальність лежить на угрупуванні Lazarus Group, за яким стоїть уряд КНДР.
9. NotPetya (2017)
- Чим цікавий: Хоча цей вірус виглядав як класичний вірус-вимагач, його справжньою метою було знищення даних. Спочатку він вразив українські компанії, але швидко поширився глобально, вражаючи корпоративні мережі по всьому світу.
- Вплив: Збитки від NotPetya оцінюються в мільярди доларів. Він спричинив масштабні збої в роботі великих корпорацій.
27 червня 2017 року почалося масове поширення вірусу, який був новою модифікацією шкідливої програми Petya. Вірус використовував ті ж вразливості системи, що і WannaCry (наприклад, експлойт EternalBlue і бекдор DoublePulsar), а за відновлення доступу до даних вимагав відправити 300 доларів в біткойнах. При цьому фахівці не рекомендують користувачам йти на поводу у вимагачів, оскільки це все одно не допоможе їм відновити доступ до даних. На думку головного інженера компанії McAfee Крістіана Біка, ця версія була розроблена так, щоб максимально швидко поширюватися. Вірус отримував пароль адміна завдяки утиліті Mimikatz. У компанії ESET заявили, що поширення шкідливої програми почалося в Україні.
Атака була в основному спрямована проти України, на яку припало 75 % всіх постраждалих від атаки комп’ютерів. Атаці піддалися енергетичні компанії, Аеропорт Харкова, Чорнобильська АЕС, урядові сайти, київський метрополітен. Національний банк України опублікував на своєму сайті офіційну заяву про хакерську атаку на банки країни і боротьби з нею. Пізніше стали з’являтися повідомлення про хакерську атаку на російські банки, компанії Хоум Кредит, Роснафта і Башнафта. Також повідомлення про зараження стали надходити з Італії, Ізраїлю, Сербії, Угорщини, Румунії, Польщі, Аргентини, Чехії, Німеччини, Великої Британії, США, Данії, Нідерландів, Іспанії, Індії, Франції та Естонії.
За офіційно не підтвердженими даними, ще в листопаді 2017 року ЦРУ дійшло остаточного висновку, що за атаками із використанням NotPetya стоять відповідні підрозділи під управлінням ГРУ ГШ РФ. За даними Washington Post, яка оприлюднила цю інформацію, цей підрозділ має назву “Головний центр спеціальних технологій”( рос. Главный центр специальных технологий).
Відповідальність за атаку на росію поклали всі п’ять країн-членів союзу FVEY: Австралія, Велика Британія, Канада, Нова Зеландія, США, а також уряди Данії та України.
10. Conficker (2008)
- Чим цікавий: Один із найвідоміших черв’яків, що поширювався через уразливості у Windows. Conficker створював “ботнети” — мережі заражених комп’ютерів, які могли використовуватися для масових атак або розповсюдження іншого шкідливого ПЗ.
- Вплив: Незважаючи на всі зусилля зупинити його поширення, Conficker досі залишається одним із найскладніших для викорінення вірусів.
Симптоми зараження:
- Відключені і/або не включаються служби: Windows Update Service, Background Intelligent Transfer Service, Windows Defender, Windows Error Reporting Services;
- Блокується доступ комп’ютера до сайтів виробників антивірусів;
- При наявності заражених комп’ютерів в локальній мережі підвищується об’єм мережевого трафіку, оскільки з цих комп’ютерів починається мережева атака;
- Антивірусні програми з активним мережевим екраном повідомляють про атаку Intrusion.Win.NETAPI.buffer-overflow.exploit
- Комп’ютер починає дуже повільно реагувати на дії користувача, при цьому Диспетчер Завдань повідомляє про 100 % використання ресурсів ЦП процесом svchost.exe
- Блокується служба IPSec. Як наслідок — порушення роботи мережі.
Перші версії хробака, а саме Conficker.A перевіряли наявність української розкладки клавіатури і самознищувалися в цьому випадку. Крім того, скачувалася база даних GeoIP з сайту maxmind.com і при скануванні українські адреси, виявлені з її допомогою, не заражалися. У наступних версіях цей функціонал вже не був реалізований.
Ці комп’ютерні віруси ілюструють, як кіберзлочинність еволюціонувала з часом, перетворившись з експериментальних проєктів у серйозну загрозу для безпеки цілих держав і великих організацій.