А вот что является техническим чудом, так это то, что древний зонд, запущенный 36 лет назад, до сих пор функционирует и даже умудряется обмениваться с Землёй данными, притом что наземные службы и сам зонд разделяют уже 17 часов…
Табун иноходцев: десять самых оригинальных и популярных троянов современности
Андрей Васильков
Опубликовано 21 марта 2013
Число записей в базах современных антивирусов исчисляется миллионами. Однако если отбросить многочисленные клоны и сошедшие со сцены образцы вредоносного кода, то в сухом остатке будет не так много принципиально разных и реальных угроз. Современные вирусописатели не развлекаются, а преследуют вполне криминальные цели, для реализации которых чаще всего используются различные троянские программы и компоненты. Давайте посмотрим на TOP-10 самых оригинальных и актуальных из них.
– обширное семейство, насчитывающее свыше полутора тысяч представителей. Наиболее необычным из них является Trojan.Mayachok.2.
Это первый зарегистрированный буткит, заражающий Volume Boot Record файловой системы NTFS. Вот как описывают эту особенность специалисты компании «Доктор Веб»:
«Вирусы, модифицирующие MBR (Master Boot Record) и BOOT-секторы, известны ещё со времен DOS, в то время как современные ОС предоставляют новые возможности, в том числе и для вирусописателей. В рассматриваемом нами случае BOOT-сектор является первым сектором VBR, который, например, для раздела NTFS занимает 16 секторов. Таким образом, классическая проверка только загрузочного сектора не может обнаружить вредоносный объект, так как он располагается дальше — внутри VBR».
«Маячок.2» был впервые обнаружен летом 2011 года, но всплески его эпидемии отмечаются до сих пор. Троян блокирует доступ в интернет и показывает ложное сообщение о необходимости обновить браузер. Помимо установленного по умолчанию Internet Explorer, создатели «Маячка» не обошли вниманием альтернативные браузеры – стилизация под интерфейс выполнена также для Mozilla Firefox и Opera.
При клике на фальшивое диалоговое окно происходит запрос номера мобильного телефона жертвы, на который приходит ответный код. Введя его, пользователь активирует вовсе не загрузку обновления, а платную подписку.
Этот троянец иллюстрирует ленивый, но от этого не менее эффективный подход к созданию вредоносного кода. Зачем писать все компоненты самому, если полно готовых, а функционально объединить их можно даже на простейшем языке программирования?
Троян состоит из множества (чужих) компонентов и написан на Бейсике. Его большой размер мало кого смущает в эпоху выделенных каналов, терабайтных винчестеров и общей расслабленности. Он ищет файлы пользователя по формату. В основном это документы, но список потенциально важных данных очень большой. Затем троянец шифрует их с помощью архиватора WinRAR и закрывает паролем. Исходные файлы необратимо удаляются с помощью утилиты Sysinternals SDelete. Происходит не просто удаление записи о файле из таблицы файловой системы, а его многократное затирание. Восстановить уничтоженные таким образом данные невозможно.
Дальше работает обычная схема вымогательства. Для расшифровки созданных архивов предлагается отправить перевод, а затем письмо на один из указанных адресов в домене gmail.com. Пароли на архив используются разные, а их длина может достигать полусотни символов. Поэтому простое удаление вируса оставит жертву со множеством зашифрованных архивов, вскрыть которые за приемлемое время, скорее всего, не удастся.
Размер требуемого вознаграждения составляет тысячи долларов. Разумеется, платить его не стоит. Столкнувшись с таким заражением, свяжитесь с представителями антивирусных компаний. Они разберут код шифровальщика и постараются вычислить использованный пароль. Обычно такая услуга оказывается бесплатно.
В качестве профилактики делайте резервные копии всех важных данных и храните их отдельно на внешних носителях. При всех своих недостатках диски однократной записи DVD-R здесь являются средством выбора. Резервные копии на флэшке или отдельном жёстком диске могут также быть удалены при подключении к заражённой системе.