История вирусов-вымогателей: кто их придумал и зачем

01.07.17 | 11:44

За последние полтора месяца компьютеры в разных странах мира дважды атаковали программы-вымогатели - в мае это был вирус WannaCry, в июне - NotPetya, совместивший в себе элементы WannaCry и других вымогателей - Petya и Mischa.

Вредоносные программы-вымогатели известны еще с середины 1980-х годов. Изначально они были нацелены на обычных людей, использующих компьютеры под управлением MS-DOS и Windows.

Сейчас же они угрожают бизнесу и государственным учреждениям. Программ появляется все больше, они становятся дешевле и доступнее.

Русская служба Би-би-си напомнит, с чего все началось.

"Мозг", вышедший из-под контроля

Требование выкупа содержал первый же вирус, вызвавший глобальную эпидемию среди персональных компьютеров. Его история началась в 1986 году в небольшом компьютерном магазине в пакистанском Лахоре.

Управляющие магазином братья Фарук Алви - 17-летний Басит и 24-летний Амджад - разработали программу для отслеживания состояния сердечно-сосудистой системы. Программу тут же украли пираты, в результате братья недополучали прибыль.

Тогда братья создали Brain ("Мозг") - для защиты интеллектуальной собственности, как объяснили они спустя два года журналу Time. Этот вирус должен был атаковать компьютеры с установленной нелегальной копией их медицинской программы.

Brain

Image captionПо данным McAfee, Brain только в США заразил более 18 тыс. компьютеров

Вирус замедлял работу жесткого диска и операционной системы любого компьютера, куда вставляли зараженные дискеты. Он быстро вышел из-под контроля и атаковал университеты и компании, где никогда не слышали о программе Фаруков Алви.

Свое детище братья посвятили "миллионам вирусов, которых с нами больше нет", что напоминало пророчество - компьютерные вирусы еще не были столь массовым явлением.

Вирус предлагал позвонить по телефону в тот самый магазинчик в Пакистане, чтобы получить "вакцину". Братья стали получать звонки со всего света.

Они отключили телефоны и, не понеся никакого наказания, продолжили заниматься бизнесом - уже легальным: сейчас Фаруки Алви владеют крупным пакистанским интернет-провайдером Brain Net.

Вирус о вирусе

В 200 километрах от Нью-Йорка расположен сад бабочек, названный в честь биолога-эволюциониста Джозефа Поппа. Попп известен в научной среде благодаря книге "Популярная эволюция: жизненные уроки из антропологии", изданной им в 2000 году.

Еще более известен он в среде компьютерщиков как автор одного из самых экстравагантных вирусов-вымогателей.

В 1989 году Попп разослал за пределами США более 20 тыс. дискет, содержащих, как следовало из писем, образовательные программы о СПИДе некой PC Cyborg Corporation. Значительную часть адресатов составили европейские исследователи синдрома приобретенного иммунодефицита.

Программы действительно просвещали о СПИДе - первое время пользования. После нескольких перезагрузок содержащийся в них вирус скрывал папки и шифровал файлы, требуя выплатить 189 долларов за "продление лицензии" на счет в Панаме.

Хотя вернуть файлы в прежнее состояние не составляло труда, одна итальянская организация по изучению СПИДа все же потеряла накопленный за десять лет архив.

дискета

Image captionПопп рассылал свое детище примерно на таких 5-дюймовых дискетах

Попп возвращался с конференции в Найроби через амстердамский аэропорт, когда прочитал в журнале, что вирус заразил уже около 1000 компьютеров. Он написал на багаже другого пассажира "Доктора Поппа отравили" и привлек внимание полиции. В его багаже нашли логотип PC Cyborg Corporation.

Поппа арестовали дома в Огайо несколько дней спустя и экстрадировали в Великобританию по обвинению в десяти случаях шантажа. Перед судом он вел себя странно: ходил картонной коробкой на голове, накручивал бороду на бигуди - для "предотвращения радиации", и презервативами на носу - чтобы "защититься от микроорганизмов".

В итоге лондонский суд признал Поппа невменяемым и отправил обратно в Америку.

Вымогатель для взрослых

Бурный рост программ-вымогателей начался после 2015 года. Это обусловлено распространением мобильного интернета и криптовалют, которые позволяют злоумышленникам анонимно собирать средства со своих жертв.

Вирус

Image captionРеальная цель авторов NotPetya - уничтожать все данные жертв, а не собирать с них выкупы

Двое мужчин в костюмах за компьютером, логотип ФБР и Барак Обама. Коллаж сопровождался номером "дела" и фотографией "обвиняемого" в процессе просмотра порно - такую картину рано или поздно видели на своих смартфонах пользователи приложения Adult Player.

Приложение не только тайно фотографировало пользователей, но и блокировало устройство до выплаты "штрафа" в 500 долларов. На выплату жертве отводилось 24 часа.

Это приложение обнаружили в 2015 году исследователи из американской компании Zscaler. Так и осталось неизвестным, кто его создатели и сколько денег они собрали.

Финансовые показатели злоумышленников стали открытыми только с приходом биткойнов. Так, за первые три дня действия вируса WannaCry злоумышленники собрали 23,5 биткойна (65,8 тыс. долларов), на кошелек NotPetya за тот же срок пришло 4 биткойна (10,3 тыс. долларов).

программа

Image captionWannaCry понадобилось всего несколько суток в мае 2017 года, чтобы достичь статуса самой массовой кибератаки подобного рода в истории

В десятку стран, в которых пользователи чаще всего сталкиваются с вымогателями, входят Индия, Россия, Казахстан, Италия, Германия, Вьетнам, Алжир, Бразилия, Украина и США.
По данным Group-IB, вымогательство с использованием вредоносных программ - основная киберугроза в 2/3 странах Евросоюза.
Один из самых распространенных вирусов-вымогателей программа CryptoLocker - начиная с сентября 2013 года заразил более 250 тыс. компьютеров в странах ЕС.
В 2016 году количество атак шифровальщиков выросло более чем в 100 раз по сравнению с 2015 годом.