Наиболее распространенные типы вредоносных программ и способы борьбы с ними

Что такое Riskware?

К категории Riskware относят легальные программы, которые могут причинить вред компьютеру, если используются злоумышленниками для удаления, блокирования, изменения или копирования данных, а также для нарушения работы компьютеров и сетей. В категорию Riskware входят следующие виды программ, которые широко используются в легальных целях:

  • утилиты удаленного администрирования;
  • программы-клиенты IRC;
  • программы дозвона;
  • программы для загрузки файлов;
  • программное обеспечение для мониторинга активности компьютеров;
  • утилиты управления паролями;
  • серверные веб-службы, такие как FTP, Web, Proxy и Telnet.

По своему назначению это не вредоносные программы, но некоторые их функции могут быть использованы во вредоносных целях.

Что надо знать о Riskware

При таком большом количестве легальных программ, которые злоумышленники могут использовать в незаконных целях, нелегко решить, какие из программ представляют угрозу. Например, программы удаленного администрирования часто используются системными администраторами и службами поддержки клиентов для диагностики и устранения неполадок, возникающих на компьютерах пользователей. Однако если такая программа установлена на вашем компьютере злоумышленником (без вашего ведома), он получит удаленный доступ к вашему компьютеру. Полностью контролируя ваш компьютер, злоумышленник сможет использовать его практически в любых нужных ему целях.

«Лабораторией Касперского» зарегистрированы случаи секретной установки легальных программ удаленного администрирования, таких как WinVNC, для получения несанкционированного полного удаленного доступа к компьютеру.

В качестве другого примера можно взять утилиту mIRC — легальную сетевую программу-клиент IRC, которая может использоваться злоумышленниками в незаконных целях. Регулярно обнаруживаются троянские программы, использующие функции mIRC для выполнения вредоносных действий без ведома пользователя. Часто вредоносные программы устанавливают программу-клиент mIRC для последующего вредоносного использования. В таких случаях mIRC обычно сохраняется в папке Windows и вложенных в нее папках. Поэтому обнаружение mIRC в этих папках почти всегда указывает на заражение компьютера вредоносной программой.

Обнаружение и удаление Riskware-программ

Так как Riskware-программы могут присутствовать на компьютере на законных основаниях, антивирусы не всегда могут определить степень опасности конкретной Riskware-программы.

Существует много причин, чтобы подозревать обнаруженную антивирусной программой Riskware-программу в том, что она представляет собой угрозу. Например, если вы не давали согласия на установку программы и не знаете о ее происхождении, или вы прочитали описание этой программы и у вас появились сомнения в ее безопасности. В таких случаях антивирусное программное обеспечение поможет избавиться от такой Riskware-программы.

Отказ от обнаружения Riskware-программ

Если при обнаружении Riskware-программ вы уверены в том, что это разрешенные вами программы, можно принять решение о том, что такие Riskware-программы не вредны для ваших устройств или данных. Кроме того, конкретные программы можно добавить в список исключений, чтобы антивирус не отмечал эти Riskware-программы как вредоносные.

История

До того, как доступ в Интернет получил широкое распространение, вирусы распространялись на персональные компьютеры, заражая исполняемые программы или загрузочные секторы гибких дисков. Вставляя свою копию в инструкции машинного кода в этих программах или загрузочных секторах , вирус заставляет себя запускаться всякий раз, когда запускается программа или загружается диск. Ранние компьютерные вирусы были написаны для Apple II и Macintosh , но они получили более широкое распространение с преобладанием IBM PC и системы MS-DOS . Первым вирусом для IBM PC в «дикой природе» был вирус загрузочного сектора, получивший название (c) Brain , созданный в 1986 году братьями Фарук Алви в Пакистане.

Первые черви, сетевые инфекционные программы, возникли не на персональных компьютерах, а в многозадачных системах Unix . Первым широко известным червем был Internet Worm 1988 года, заразивший системы SunOS и VAX BSD . В отличие от вируса, этот червь не внедрялся в другие программы. Вместо этого он использовал дыры в безопасности ( уязвимости ) в программах сетевых серверов и начал работать как отдельный процесс . То же самое поведение используется и сегодняшними червями.

С появлением в 1990-х годах платформы Microsoft Windows и гибких макросов ее приложений стало возможным писать опасный код на макроязыке Microsoft Word и подобных программ. Эти макровирусы заражают документы и шаблоны, а не приложения ( исполняемые файлы ), но полагаются на тот факт, что макросы в документе Word представляют собой форму исполняемого кода.

Опции удаления вредоносных программ

Самый надежный способ удалить вредоносные программы – использовать надежный антивирусный инструмент. Только автоматическое удаления может помочь вам определить каждую версию и удалить каждый вредоносный компонент. Кроме того, вы можете иметь дело с серьезным типом вредоносного программного обеспечения, который может блокировать ваше средство безопасности. Если наш рекомендуемый инструмент не в состоянии исправить ваш компьютер, вы должны выполнить эти альтернативные шаги:

  • Повторите установку антишпионского ПО. Затем переименуйте исполняемый файл и запустите его;
  • Перезапустите компьютер в безопасном режиме и повторите установку средства безопасности;
  • Установите альтернативную антивирусную программу;
  • Используйте программу SpyHunter или HelpDesk;
  • Свяжитесь с 2spyware сервисом через раздел “Ask Us”.

Потеря или кража информации

Если целью атаки является уничтожение или кража информации, то ущерб от успешной атаки равен стоимости этой информации. Если атакован домашний компьютер, который используется только для развлечений, то цена вопроса минимальна. Если же под удар попадает важная информация, то может пропасть результат многолетнего труда, библиотека фотографий, важная переписка и т.п. Естественно, что спасением от уничтожения является элементарное резервное копирование, но многие им просто пренебрегают.

В случае кражи информации — тем более, в случаях целенаправленной атаки на заведомо определённую жертву — результат может оказаться плачевным для владельца этих данных, особенно если речь идёт об утечке информации, критически важной для компании, организации или даже государства. Клиентские базы данных, финансовая и техническая документация, номера банковских счетов, детали коммерческих предложений — список можно продолжать бесконечно

Мы живём в век информации, и её потеря или утечка иногда оказывается самой плохой и неожиданной новостью.

Как происходит заражение

Способов занести «заразу» существует очень много. Например, внедрить зловред в файл, пересылаемый по электронной почте. Обычно используются документы в офисных форматах, обычно Word, или PDF. Текст письма при этом составлен по всем правилам социальной инженерии, и жертва в полной уверенности, что прислан именно какой-нибудь счет за услуги. Однако на самом деле это замаскированный исполняемый файл с изменённой иконкой.

Предупреждение системы безопасности Windows при попытке запуска замаскированного под офисный документ исполняемого модуля 

Другой способ заражения – через веб-сайт. Раньше рисковали только посетители ресурсов, со скажем так, сомнительным содержимым: порнографическим, с нелицензионным ПО или контентом. Но сейчас заражают вполне благопристойные ресурсы. Так, не так давно зловред был обнаружен на российском сайте госуслуг.

Никуда не исчезло и использование такого канала распространения, как через нелицензионное ПО. Если во времена расцвета софтверного «пиратства» был заражен каждый седьмой диск, то сейчас «чистый» дистрибутив программы или игры будет, скорее, исключением. Именно так распространяется Stantinko, который заразил несколько сотен тысяч компьютеров в России и Украине. Также злоумышленники освоили заражение видео- и аудиофайлов. Довольно часто под видом MP3 загружают исполняемые файлы, которые, как легко догадаться, являются зловредами. Очень часто зараженное ПО используют сотрудники всяческого рода сервисных служб.

Также злоумышленники используют внешние накопители. Для заражения обычных домашних пользователей такой способ довольно редок, но при целевых атаках на крупные компании или государственные ведомства именно он, пожалуй, доминирует.

И, наконец, зловреды могут рассылать себя сами по сетевым каналам. Именно таким образом происходит заражение разного рода «умных» устройств, например, сетевых роутеров или телевизоров последнего поколения.

Файлы исполняемых программ

Файлы программ состоят из двоичных команд, предназначенных для непосредственного выполнения центральным процессором. Изменяя этот файл, можно изменять действия, выполняемые программой.

Как мы уже говорили, файловые компьютерные вирусы вставляют
свой вредоносный код в тело программных файлов таким образом, что при запуске
программы управление передается вирусу. Затем вирус выполняет свои вредоносные
действия и возвращает управление программе-жертве.

Как правило, программа, зараженная компьютерным вирусом,
внешне ведет себя как обычно, поэтому пользователь не подозревает, что на его
компьютере «живет» вирус.

Некоторые вирусы внедряются в тело программного файла таким
образом, что размер файла-жертвы остается неизменным, что служит дополнительным
средством маскировки.

Программные
файлы служат одним из широко используемых каналов распространения компьютерных
вирусов и других вредоносных объектов

В качестве вредоносных действий вирус, прежде всего, записывает свой код в другие, еще не зараженные файлы. Таким образом, через
некоторое время все файлы, хранящиеся на диске компьютера, будут заражены
файловым вирусом.

Пользователь, получив зараженный программный файл у другого
пользователя или загрузив его из Интернета, рискует заразить свой компьютер,
если запустит этот файл на выполнение.

Заметим, что если файловый вирус появился на одной рабочей станции сети, то он может заразить все рабочие станции и сервер этой
сети. При этом вирус попадет только в такие сетевые каталоги, к которым есть доступ на запись у пользователя рабочей станции.

Т.е. вирус имеет те же права доступа к сетевым ресурсам, что и пользователь, на компьютере которого находится вирус. Именно поэтому не рекомендуется
без крайней на то необходимости подключаться к сети с правами администратора, т.к. при этом, если на рабочей станции появится вирус, он будет иметь
неограниченный доступ к ресурсам сети.

Вирус
обычно имеет те же права доступа к сетевым ресурсам, что и пользователь, на
компьютере которого находится этот вирус

Один из способов защиты сетевых каталогов с программами от
проникновения компьютерных вирусов является установка прав доступа и режима
«Только чтение». Это можно сделать средствами файловой системы NTFS (если сервер работает в среде ОС MicrosoftWindows) или средствами файловых систем других ОС, таких как NovellNetWare, FreeBSD, Linux и других Unix-подобных ОС.

Заметим, что подобная защита не будет работать, если вирус
получит права доступа, эквивалентные правам системного администратора.

Файловый
вирус или другой вредоносный объект может  использовать регистрационную базу данных
ОС Windows для автоматического запуска при загрузке ОС.

Для этого
он использует следующий ключ регистрационной базы данных:

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run

Пути распространения файловых вирусов обычно совпадают с
путями распространения файлов:

·обмен программными файлами через дискеты, компакт-диски, флэш-диски или другие аналогичные устройства внешней памяти;

·загрузка программ со страниц серверов Web
или из каталогов FTP;

·обмен программными файлами через файловые серверы интрасетей

Пожалуй, единственно надежный канал получения программ,
свободных от вирусов и других вредоносных объектов, является приобретение
лицензионных копий программ на компакт-дисках непосредственно у
компании-разработчика и ее партнеров. Тем не менее, известны случаи, когда по
чьей-то ошибке в продажу попали лицензионные компакт-диски с зараженными файлами.

Для того чтобы не допустить проникновения на свой компьютер
вирусов и других вредоносных объектов через программные файлы, нужно перед
запуском в обязательном порядке проверять все новые программы антивирусом.
Особенно это относится к программам, полученным по электронной почте или
загруженным из Интернета.

Нелицензионные
программы потенциально опасны, т.к. файлы этих программ могут содержать
компьютерные вирусы и другие вредоносные объекты

Кроме того, следует устанавливать на своем компьютере и
запускать только такие программы, которые были получены из надежного источника.

Загрузочные секторы дисков и дискет

На 1 уроке мы уже рассказывали, как происходит загрузка ОС.

Этот процесс многоступенчатый.

Прежде всего, на первом этапе программа загрузки, записанная
в постоянной памяти компьютера BIOS, считывает содержимое первого сектора дискеты или диска (в зависимости от способа загрузки),
где находится загрузочный сектор.

В загрузочном секторе тоже имеется программа загрузки, которая выполняется на втором этапе. Эта программа предназначена для загрузки ОС.

Программа загрузки из первого сектора диска или дискеты загружает и запускает загрузчик ОС, который включается в работу на третьем этапе.

Модифицируя содержимое первых секторов дискет и дисков,
загрузочные и комбинированные файлово-загрузочные вирусы могут перехватить
управление на втором или третьем этапе загрузки ОС. Если это произойдет, вирус
получит управление до момента загрузки ОС и сможет контролировать как процесс
загрузки, так и операции, выполняемые системными модулями ОС.

Как происходит распространение загрузочного вируса?

Прежде всего, этот вирус распространяется вместе с дискетами.

Загрузочные
и файлово-загрузочные вирусы распространяются вместе с дискетами, когда
пользователь пытается загрузить компьютер с зараженной дискеты

Если к пользователю попала дискета, зараженная загрузочным
вирусом,  он может случайно или намеренно загрузить с нее ОС (например, при
помощи комбинации клавиш Control+Alt+Delete, при помощи кнопки сброса, или любым другим способом).

Это часто происходит, если пользователь забывает вынуть
дискету из компьютера после завершения работы. Включив компьютер на другой
день, он может, не желая этого, выполнить попытку загрузки с забытой дискеты.

В результате загрузочный вирус получит управление, запишет свой код в загрузочный сектор жесткого диска компьютера, и в дальнейшем
будут заражать все дискеты, с которым работает пользователь. Заражение
произойдет даже в том случае, если пользователь не копировал ни одного файла с
дискеты.

Загрузочные
или файлово-загрузочный вирус может быть установлен на компьютер вирусом или
вредоносной программой другого типа

Если вирус обладает только свойствами загрузочного вируса,
то он способен распространяться лишь через загрузочные записи дискет. Однако
файлово-загрузочные вирусы могут распространяться и через файлы, поэтому они
могут распространяться быстрее загрузочных вирусов.

Кроме того, загрузочные и файлово-загрузочные вирусы могут
попасть на компьютер в результате действия вирусов и вредоносных объектов
другого типа.

Заметим, что механизм многоступенчатой загрузки ОС с
применением загрузочных секторов допускает одновременное заражение компьютера
сразу несколькими разными загрузочными и файлово-загрузочными вирусами.

Для удаления загрузочных и файлово-загрузочных вирусов
необходимо использовать антивирусные программы.

Социальная инженерия

Методы социальной инженерии тем или иным способом заставляют пользователя запустить заражённый файл или открыть ссылку на заражённый веб-сайт. Эти методы применяются не только многочисленными почтовыми червями, но и другими видами вредоносного программного обеспечения.

На признание «I LOVE YOU» среагировали очень многие, и в результате почтовые сервера больших компаний не выдержали нагрузки — червь рассылал свои копии по всем контактам из адресной книги при каждом открытии вложенного VBS-файла.

Почтовый червь Mydoom, «рванувший» в интернете в январе 2004 г., использовал тексты, имитирующие технические сообщения почтового сервера.

Стоит также упомянуть червь Swen, который выдавал себя за сообщение от компании Microsoft и маскировался под патч, устраняющий ряд новых уязвимостей в Windows (неудивительно, что многие пользователи поддались на призыв установить «очередную заплатку от Microsoft»).

Случаются и казусы, один из которых произошел в ноябре 2005. В одной из версий червя Sober сообщалось, что немецкая криминальная полиция расследует случаи посещения нелегальных веб-сайтов. Это письмо попало к любителю детской порнографии, который принял его за официальное письмо, — и послушно сдался властям.

В последнее время особую популярность приобрели не файлы, вложенные в письмо, а ссылки на файлы, расположенные на заражённом сайте. Потенциальной жертве отправляется сообщение — почтовое, через ICQ или другой пейджер, реже — через интернет-чаты IRC (в случае мобильных вирусов обычным способом доставки служит SMS-сообщение). Сообщение содержит какой-либо привлекательный текст, заставляющий ничего не подозревающего пользователя кликнуть на ссылку. Данный способ проникновения в компьютеры-жертвы на сегодняшний день является самым популярным и действенным, поскольку позволяет обходить бдительные антивирусные фильтры на почтовых серверах.

Используются также возможности файлообменных сетей (P2P-сети). Червь или троянская программа выкладывается в P2P-сеть под разнообразными «вкусными» названиями, например:

  • AIM & AOL Password Hacker.exe
  • Microsoft CD Key Generator.exe
  • PornStar3D.exe
  • play station emulator crack.exe

В поиске новых программ пользователи P2P-сетей натыкаются на эти имена, скачивают файлы и запускают их на выполнение.

Также достаточно популярны «разводки», когда жертве подсовывают бесплатную утилиту или инструкцию по взлому различных платёжных систем. Например, предлагают получить бесплатный доступ к интернету или сотовому оператору, скачать генератор номеров кредитных карт, увеличить сумму денег в персональном интернет-кошельке и т.п. Естественно, что пострадавшие от подобного мошенничества вряд ли будут обращаться в правоохранительные органы (ведь, по сути, они сами пытались заработать мошенническим способом), и интернет-преступники вовсю этим пользуются.

Необычный способ «разводки» использовал неизвестный злоумышленник из России в 2005-2006 годах. Троянская программа рассылалась на адреса, обнаруженные на веб-сайте job.ru, специализирующемся на трудоустройстве и поиске персонала. Некоторые из тех, кто публиковал там свои резюме, получали якобы предложение о работе с вложенным в письмо файлом, который предлагалось открыть и ознакомиться с его содержимым. Файл был, естественно, троянской программой. Интересно также то, что атака производилась в основном на корпоративные почтовые адреса. Расчёт, видимо, строился на том, что сотрудники компаний вряд ли будут сообщать об источнике заражения. Так оно и произошло — специалисты «Лаборатории Касперского» более полугода не могли получить внятной информации о методе проникновения троянской программы в компьютеры пользователей.

Бывают и довольно экзотические случаи, например, письмо с вложенным документом, в котором клиента банка просят подтвердить (вернее — сообщить) свои коды доступа — распечатать документ, заполнить прилагаемую форму и затем отправить её по факсу на указанный в письме телефонный номер.

Другой необычный случай доставки шпионской программы «на дом» произошел в Японии осенью 2005. Некие злоумышленники разослали заражённые троянским шпионом CD-диски на домашние адреса (город, улица, дом) клиентов одного из японских банков. При этом использовалась информация из заранее украденной клиентской базы этого самого банка.

Академическое исследование

Идея самовоспроизводящейся компьютерной программы восходит к первоначальным теориям о работе сложных автоматов. Джон фон Нейман показал, что теоретически программа может воспроизводить себя. Это составляло правдоподобный результат в теории вычислимости . Фред Коэн экспериментировал с компьютерными вирусами и подтвердил постулат Неймана, а также исследовал другие свойства вредоносных программ, такие как обнаруживаемость и самообфускация с использованием элементарного шифрования. Его докторская диссертация 1987 года была посвящена компьютерным вирусам. Комбинация криптографической технологии как части полезной нагрузки вируса, использующей его для целей атаки, была инициирована и исследована с середины 1990-х годов и включает первоначальные идеи вымогателей и уклонения.

Правовые вопросы

За создание, использование и распространение вредоносных программ предусмотрена различная ответственность, в том числе и уголовная, в законодательстве многих стран мира. В частности, уголовная ответственность за создание, использование и распространение вредоносных программ для ЭВМ предусмотрена в Статье 273 УК РФ. Для того, чтобы программа считалась вредоносной, нужны три критерия:

  • Уничтожение информации или нарушение работы. Таким образом, взломщик защиты от копирования — не вредоносная программа. Однако иногда во взломщики добавляют «троянских коней».
  • Несанкционированная работа. Определяется обычно от противного: для санкционированной работы программа должна предупредить пользователя о своей опасности и не исполнять опасные функции в неожиданные моменты. Программа форматирования диска, входящая в комплект любой ОС, уничтожает данные, но не является вредоносной, так как её запуск санкционируется пользователем.
  • Заведомость — явная цель несанкционированно уничтожить информацию. Программы с ошибкой могут пройти как нарушение прав потребителей или как преступная халатность — но не как вредоносные.

Более чёткие критерии, по которым программные продукты (модули) могут быть отнесены к категории вредоносных программ, до настоящего времени нигде четко не оговорены. Соответственно, для того, чтобы утверждение о вредоносности программы имело юридическую силу, необходимо проведение программно-технической экспертизы с соблюдением всех установленных действующим законодательством формальностей.

Стоит признать, что в РФ нарушение авторских прав часто квалифицируют как «создание и распространение вредоносных программ» — из-за более жёсткого наказания за последнее. Впрочем, создание вредоносных программ — преступление против оператора ЭВМ (владельца аппаратного обеспечения либо уполномоченного им человека), нарушение авторского права — против правообладателя.

Другие определения термина «вредоносная программа»

Согласно статье 273 Уголовного Кодекса Российской Федерации («Создание, использование и распространение вредоносных компьютерных программ») определение вредоносных программ выглядит следующим образом: «… заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации…»

Действующая формулировка статьи 273 трактует понятие вредоносности чрезвычайно широко. Когда обсуждалось внесение этой статьи в УК, подразумевалось, что «несанкционированными» будут считаться действия программы, не одобренные явным образом пользователем этой программы. Однако, нынешняя судебная практика относит к вредоносным также и программы, модифицирующие (с санкции пользователя) исполняемые файлы и/или базы данных других программ, если такая модификация не разрешена их правообладателями. При этом, в ряде случаев, при наличии принципиальной позиции защиты и грамотно проведенной экспертизе, широкая трактовка статьи 273 была признана судом незаконной.

Корпорация Microsoft трактует термин «вредоносная программа» следующим образом: «Вредоносная программа (malware) — это сокращение от „malicious software“, обычно используемое как общепринятый термин для обозначения любого программного обеспечения, специально созданного для того, чтобы причинять ущерб отдельному компьютеру, серверу, или компьютерной сети, независимо от того, является ли оно вирусом, шпионской программой и т. д.»

Как защитить себя от вредоносного ПО?

Существует три простых действия, которые можно предпринять, чтобы защитить себя от вредоносных программ прямо сейчас.

  1. Регулярно делать обновление системы Вирусы и многие трояны проникают из-за программных ошибок и уязвимостей системы. Необходимо регулярно устанавливать патчи, если они доступны, а лучше включить автоматическое обновление на своем устройстве.
  2. Всегда проверять источник загружаемого ПО Программное обеспечение рекомендуется скачивать только из официальных источников. Так вы будете уверенны в том, что продукт не содержит вирусов и троянов, а значит его можно безопасно установить на свой компьютер.
  3. Использовать брандмауэр Брандмауэр должен быть установлен на каждом компьютере, и его нежелательно отключать даже на какое-то время. VPN может быть использован в качестве альтернативы брандмауэра.

BlueLeaks — самая громкая утечка данных из госорганов

Когда: июнь 2020 года.

Кого или что атаковали: правоохранительные органы и спецслужбы США.

Что произошло:

Хакеры из группировки Anonymous получили доступ к 269 Гб секретных данных правоохранительных органов и спецслужб США в виде более 1 млн файлов: видеоролики, электронные письма, аудиофайлы, а также документы по планированию и разведке за последние десять лет — включая те, что подтверждают слежку за активистами Black Lives Matter. Файлы передали группе хакеров-активистов DDoSecrets , которая опубликовала полученную информацию.

В ответ на это Twitter заблокировал аккаунт DDoSecrets, а в Германии заблокировали сервер , на котором хранились данные BlueLeaks — по запросу от американских властей.

Кстати, в январе 2019 года та же группировка опубликовала 175 Гб данных о тайных сделках Кремля, Русской православной церкви и участии России в войне на Донбассе .

Последствия: Опубликованные документы вызвали громкий скандал и обвинения в адрес американских спецслужб, которые завели уголовное дело в ответ на это. Их действия в отношении хакеров сравнили с преследованием WikiLeaks .

Кибератака на Tesla: как тебе такое, Илон Маск?

В 2016 году китайская хакерская группа Whitehat Keen Security Lab взломала Tesla Model S через точку доступа Wi-Fi . Tesla быстро устранила уязвимость, но потом хакеры проделали это снова. Они предлагали водителям подключиться к Wi-Fi, а потом устанавливали вредоносное ПО и получали полный доступ к системам управления.

В последующие годы обнаруживались все новые уязвимости . Например, можно было подключить свой ноутбук к сетевому кабелю за приборной панелью, запустить автомобиль с помощью специальной программы и управлять им. По счастливой случайности никто из водителей не пострадал, хотя у злоумышленников был доступ, в том числе, к тормозной системе. Это вызывает, в свою очередь, много вопросов к беспилотникам, где контроль со стороны водителя минимален.

В августе 2020 года русский хакер Егор Крючков попытался внедрить вредоносное ПО в систему управления Tesla . Для этого он предложил сотруднику компании взятку в $1 млн. Однако затея провалилась, а самого хакера осудили на пять лет.

10. Самая скандальная кибератака российских хакеров

Когда: май 2020 года.

Кого или что атаковали: Агентство национальной безопасности США.

Что произошло:

Хакеры попытались взломать почтовые серверы АНБ . Злоумышленники использовали уязвимость в агенте пересылки сообщений Exim, обнаруженную в июне 2019 года. Она позволяет преступнику отправлять вредоносное письмо на сервер и сразу же получать возможность удаленно запускать там же свой код.

АНБ обвинила в атаке хакерскую группировку Sandworm (она же — Telebots, Voodoo Bear, Iron Viking и BlackEnergy), связанную с Россией — ту самую, которая предположительно запустила вирус NotPetya. Ее же Минюст США позже обвинил в причастности к политическим событиям в Грузии и на Украине, а также во вмешательстве в выборы во Франции и атаке на компьютерную сеть Зимних Олимпийских игр в Пхенчхане в 2018 году .

Кибератака на звезд

В 2014 году, в результате нескольких кибератак, хакеры получили доступ к фото и видео знаменитостей, которые хранились в облаке iCloud. Многие из них — включая интимные — попали в сеть: их опубликовали на ресурсе 4chan. В числе пострадавших оказались Ким Кардашьян, Аврил Лавин, Кейли Куоко, Дженнифер Лоуренс, Кирстен Данст, Рианна, Скарлетт Йоханссон, Вайнона Райдер.

Ролик блогера Wylsacom об утечках 2014 года

Некоторые поспешили заявить, что фото и видео поддельные:

Кибератаки могут убивать?

К сожалению, да. В 2015 году хакеры взломали сайт Ashley Madison , предназначенный для знакомств замужних женщин и женатых мужчин. В результате атаки утекли данные 40 млн пользователей. Некоторым из них начали рассылать угрозы с требованием выкупа в $1 тыс. Некоторые из пострадавших испугались, что их супруг узнает об измене, и покончили с собой.

Второй случай произошел в сентябре 2020 года. Злоумышленники атаковали ИТ-систему университетской клиники в Дюссельдорфе. В результате 30 серверов и все подключенные устройства — в том числе аппараты жизнеобеспечения — на некоторое время вышли из строя. Этого оказалось достаточно, чтобы одна из пациенток скончалась . Полиция завела уголовное дело по факту убийства. Правда, позже в одном из изданий появилось опровержение: якобы смерть пациентки не была связана с кибератакой .

Виды атак вредоносного ПО

Вирусы, черви и трояны определяются по способу их распространения. Другие вредоносные программы названы согласно видам их атак.

Шпионское ПО следит за компьютером пользователя и крадет его пароли или другую личную информацию. Более того, оно также может буквально шпионить за владельцем с помощью веб-камеры или подслушивая разговоры с помощью микрофона.

Одна из разновидностей шпионского ПО — Stalkerware, которая устанавливается на телефон жертвы и передает данные о местоположении и личную информацию тому, кто ее преследует. Многие современные антивирусные программы включают компоненты, специально разработанные для защиты от программ-шпионов.

Рекламное ПО показывает нежелательные рекламные объявления, иногда они основываются на данных о пользователе, украденных шпионским ПО. Реклама бывает настолько ресурсоемкой, что пользоваться устройством становится практически невозможно. 

Фото в тексте: Nebojsa Tatomirov /

Руткит — это набор программных средств, которые подключаются к операционной системе, чтобы скрыть компоненты вредоносной программы. Когда утилита безопасности запрашивает у Windows список файлов, руткит перехватывает его, удаляет свое собственное имя и передает скомпрометированный список запрашивающей программе. Руткиты могут выполнять такие же действия и с запросами данных из реестра.

Компьютер, на который устанавливается бот, как правило, не страдает от него напрямую. Но он начинает причинять вред другим. Бот тихо прячется, пока владелец (иногда его называют бот-пастухом) не передаст команду. Затем, вместе с сотнями или тысячами других таких же ботов, он выполняет любые инструкции. Они часто используются для рассылки спама.

Дроппер — маленькая и незаметная программа, которые занимается исключительно загрузкой вредоносного ПО на компьютер жертвы и может получать инструкции от разработчика. Создатель дроппера зарабатывает, распространяя чужие программы.

Как следует из названия, программа-вымогатель шифрует компьютер или данные пользователя с целью получения выкупа. Теоретически антивирус должен отслеживать программы-вымогатели так же, как и любые другие вредоносные программы. Однако учитывая последствия подобных атак, есть смысл использовать отдельную утилиту защиты от программ-вымогателей.

Итоги

На этом уроке мы изучили все основные объекты и каналы
распространения вредоносных программ:

·файлы исполняемых программ;

·файлы офисных документов;

·файлы интерпретируемых программ;

·загрузочные секторы дисков и дискет;

·сообщения электронной почты;

·пиринговые (файлообменные) сети;

·интрасеть или Интернет;

·драйверы ОС

Создавая систему защиты от вирусов и вредоносных программ,
системный администратор должен четко представлять себе, откуда может возникнуть
угроза безопасности. Эти знания также необходимы и пользователю, особенно если
его компьютер подключен к интрасети или Интернету.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector