Из «истории болезни»
Как принято считать, если существует замок, то к нему обязательно должен быть ключ. В случае с компьютерными вирусами работает обратная логика. Их история развития началась 66 лет назад, когда некий Джон фон Нейман предположил, что в теории могут существовать программы, которые будут работать как биологические вирусы, то есть заражать программное обеспечение вычислительных приборов и так или иначе повреждать их.
Спустя 10 лет эта теория подтвердилась, и появились первые, пусть и примитивные, варианты таких программ. А спустя еще 20 лет - первые полноценные компьютерные вирусы.
В последние три десятилетия они все больше развивались и дошли до уровня не отдельных программ, а целых систем или даже системных комплексов. Однако прежняя их классификация осталась, и сейчас вирусы делятся на несколько основных групп: сетевые черви; трояны, или троянские кони; полиморфные вирусы и так называемая группа «стелс», или скрытые вирусы.
Каждая из них имеет свои цели и собственную структуру. Но все они, можно сказать, немного устарели. Ведь любой отдельный вирус из таких групп, с точки зрения возможности преодоления современной цифровой защиты, намного слабее комплексных решений.
Но в начале 2000-х годов появились новые технологии, учитывающие человеческий фактор в защитной системе. Спам и фишинг, о которых мы уже писали в наших исследованиях, сейчас являются головной болью всех, кто во всемирной Сети, от крупных корпораций до рядового пользователя. Ну а самый современный вид вредоносного продукта, черви-ботнеты, во много раз упростил и удешевил нелегальную цифровую деятельность.
Создать собственный компьютерный вирус сейчас может любой школьник, хоть сколько-нибудь владеющий компьютером и имеющий доступ в интернет. Благо в Сети есть куча конструкторов и даже обучающих файлов. А вычислительные мощности позволяют на обычном ноутбуке создать целую лабораторию по созданию программного обеспечения (ПО).
Однако на месте не стоят и защитные технологии. Будь то антивирус Касперского или любой другой, даже бесплатный, антивирусный продукт легко защитит от львиной доли вредоносного субъекта. Эксперты Касперского утверждают о 99-процентной защите, другие продукты гарантий не дают. Но все-таки при наличии и регулярном обновлении антивирусных программ ваш персональный компьютер защищен как минимум от 90 процентов всех потенциальных угроз.
И вот тут-то в игру вступают человеческий фактор и те самые фишинговые технологии. Агрессивная программа может пробивать себе путь байт за байтом.
Вот вы нажали «согласен» на обработку данных на незнакомом сайте. Вот забыли снять галочку с установки дополнительного расширения какой-то программы, а потом еще отреагировали на ее просьбу скачать обновление. Конечно, все куда проще, если пользователь вообще проигнорировал сообщение антивируса о потенциальной угрозе.
«Да как такое вообще возможно?» - удивится опытный пользователь. Действительно, кто же в здравом уме будет осознанно лишать себя защиты и допускать возможность проникновения в свою святая святых? Однако такие случаи далеко не редкость, и вот почему.
Каждый сам себе эксперт
Конечно же, все без исключения специалисты рекомендуют пользоваться только лицензионным оборудованием. И дело тут не только в потенциальных проблемах с законом, но и в информационной безопасности ваших устройств. Крупные разработчики программного обеспечения обычно тесно сотрудничают с разработчиками антивирусных программ как в области защиты собственных продуктов, так и в совместимости работы.
Другими словами, антивирусы «знакомы» с большинством популярных программ, имеют информацию об их функционале и коде. Если же программа антивирусу не знакома, он прогоняет ее через свой сканер и ищет те участки кода, которые потенциально могут быть вирусом. Если программа содержит сходный с некоторыми вирусами код, антивирус ее попросту блокирует. Если же код антивирусу совершенно не знаком, он спрашивает самого пользователя: доверять ли новой программе?
И в этом-то основная проблема. Зачастую пользователи работают с нелицензионным ПО или с так называемыми взломанными аналогами. При этом, раз уж программу взломали, не составит труда втиснуть в нее необходимые дополнения. А пользователь на все замечания антивируса реагирует согласием, таким образом вполне самостоятельно открывая путь вредоносным программам. По статистике, около 85 процентов вирусов занесены на цифровые устройства самими пользователями, и не менее трети из них попали туда при отключенном антивирусе.
Что же с этим делать? Во-первых, лучше, конечно, использовать только надежное и проверенное программное обеспечение. Понятно, что это дорого, а кому-то, возможно, и вовсе не нужно. Но перед установкой стоит хотя бы прогнать потенциальную программу через антивирус и не игнорировать его замечания.
Возможно, лучше будет скачать или установить аналог программы из другого, более надежного источника. Благо, в Сети сейчас всего полно. Кроме того, следует регулярно запускать сканирование своего устройства и обновлять антивирусное ПО. Если уж вы взяли на себя ответственность за защиту и наполнение собственного устройства, делайте это хорошо.
Письма несчастья
Тем не менее, раз за разом возникают ситуации, когда даже самое современное антивирусное ПО не спасет пользователя от атаки. Самое большое распространение сейчас получили так называемые вирусы-шифровальщики. Запускаясь на устройстве, они блокируют доступ к части его функционала или шифруют некоторые данные, после чего появляется сообщение с требованием денежного перевода неким злоумышленникам взамен на возврат доступа к функциям или информации.
Чаще всего под атаку попадают базы 1С-бухгалтерии. И многие фирмы платят, потому что расшифровать данные далеко не всегда возможно, а их потеря грозит куда большими проблемами. Механизм работы здесь следующий. Во-первых, отметим, что платить сразу ни в коем случае не стоит. Ведь вместо грозного технологического оружия вы могли «поймать» обычный winlocker, который перехватывает управление действиями пользователя и на каждое действие открывает окно с требованием оплаты. В любом случае лучше сразу обратиться к специалисту. Если проблема тривиальна, он быстренько найдет файлик злоумышленников и возвратит работоспособность устройства.
Но бывают ситуации, когда создатели вирусов постарались на славу. И вот тогда ваш айтишник наткнется только на кучу зашифрованных файлов. Помочь в таком деле можно далеко не всегда. В этом случае файлы сменят свое расширение, например, на формат M5bFu. Содержимое файлов вместо своей структуры становится похоже на результат работы генератора случайных чисел. Собственно, так оно и есть.
В структуру файлов добавили случайные элементы, вычисление которых невозможно либо займет слишком много времени. Расшифровать их можно с помощью специального ключа, который генерируется в единственном экземпляре и индивидуален для каждого зараженного компьютера.
В общем, если у вас под рукой нет специалиста, который обладает достаточно глубокими знаниями в области языков программирования, принципов передачи информации и общих схем шифрования, скорее всего вам придется заплатить. Вопрос в том - кому? Лучше всего, конечно же, обратиться к профессионалам и заплатить им, а не злоумышленникам. Тем более что большинство хакеров не слишком заботятся о защите своих вирусных творений. Расчет скорее идет на то, чтобы быстро «срубить бабла», на тех, у кого нет времени или возможности заниматься дешифровкой. А первоначальные суммы хакеры запрашивают обычно небольшие. Однако общую сумму переданных таким образом средств по всему миру только за 2016 год оценивают в сумму не менее ста миллионов долларов. Как говорится, с миру по нитке – хакеру на софт.
Бывают, конечно, случаи, когда трояны защищены очень хорошо, и даже у лучших специалистов возникают проблемы с расшифровкой. В такой ситуации можно признавать свое поражение и быть готовым расстаться либо с информацией, либо с деньгами.
Заражение, кстати, в 90 процентах случаев (не устанем это повторять) происходит по вине самого пользователя. Обычно на почту приходит письмо от какой-нибудь крупной организации с серьезным названием. Возможен, кстати, вариант, что такое письмо придет со взломанного почтового ящика вашего знакомого. В письме располагается файл с пометками «срочно в работу», «заявление», «ответить до…», который, собственно и является шифровальщиком. Открыв такой файл, пользователь дает зеленый свет вирусу.
В последнее время самыми популярными отправителями таких «писем счастья» являются налоговые или судебные органы, а также местная администрация. Естественно, не настоящие. В почтовом адресе может быть изменена буква или другой символ. Например, g0rsud@mail.ru, где буква «о» заменена на ноль. По запарке можно и не отличить. Собственно, на то и рассчитано. А внутри файл, весьма похожий по виду на судебное постановление, но имеющий нестанадартное расширение.
Например, .exe для текстового документа или изображения. Такое расширение имеют файлы, запускающие работу программ. Если его активировать, вирус тут же начинает свою работу.
Самыми сладкими клиентами для вирусов-шифровальщиков и их авторов являются крупные корпорации. Ведь именно там может быть действительно важная информация. А тут еще отчет горит, акционеры требуют объяснений, а вся бухгалтерская база внезапно оказывается зашифрованной. Виновата обычно какая-нибудь «тетя… из бухгалтерии», которая поверила в письмо из псевдоналоговой. Но на самом деле не менее виновато и руководство компании, которое не проинформировало ее о потенциальной угрозе, не провело ликбез для сотрудников компании и установило нелицензионное программное обеспечение.
Тем более что от попадания в такую ситуацию не застрахован никто. Знавали мы и опытных компьютерщиков, из-за невнимательности жмущих «разрешить» на запрос вирусной программы и потом несколько часов устраняющих последствия неосторожного клика. Главное помнить, что компьютерный вирус сродни вирусу обыкновенному. Проще предупредить его проникновение, чем потом от него «лечиться».
