О Petya, ЕхPetr.. OneHalf - и о двух антивирусах 90х
К компьютерам на моей работе пришёл ЕхPetr... а ведь такое уже было лет 20 назад...Вспомнился мне не менее страшный вирус, чем нынче свирепствующий...
В нашем маленьком коллективе большой-большой компании)) заразились все компьютеры - в один миг.
Был я на вызове у клиента. Звонят мне с работы и говорят - компьютер глюкнул, сразу был синий экран с белыми буквами, потом чёрный с белыми.. а потом красные буквы, и на других компьютерах то же самое... Месяц назад уже было такое, но в гораздо меньших масштабах - одна, две организации-корпорации, но также по всей стране. А здесь, как потом оказалось, более десяти крупных организаций по всей стране, другие страны можно сказать почти не пострадали.
Так как я за своим компьютером во время атаки не был - на моём компьютере зашифровалось почти всё((
Подхожу к компу - вроде как работет скандиск chkdsk, но я же вижу - эмуляция, шрифт совсем другой, и не в окне работает, а на весь экран. ...бежит-бежит... 89% ..90%...Выключил...
Стоп, он же не всё зашифровал, если вдруг разгадают вирус, напишут лечащую программу и как потом расшифровывать - откуда же знать до какого места здесь зашифровано?
Был я на вызове у клиента. Звонят мне с работЄv ш уютюЁ Є - ъюья№¦ЄхЁ уы¦ъэєы, ёЁрчє сvы ёшэшщ ¤ъЁрэ ё схыvьш сєътрьш, яюЄюь ў¬Ёэvщ ё схыvьш.. р яюЄюь ъЁрёэvх сєътv, ш эр фЁєушї ъюья№¦ЄхЁрї Єю цх ёрьюх... ¦хё Ў эрчрф єцх сvыю Єръюх, эю т уюЁрчфю ьхэ№°шї ьрё°Єрсрї - юфэр, фтх юЁурэшчрЎшш, эю Єръцх яю тёхщ ёЄЁрэх. L чфхё№, ъръ яюЄюь юърчрыюё№, сюыхх фхё Єш ъЁєяэvї юЁурэшчрЎшщ яю тёхщ ёЄЁрэх, фЁєушх ёЄЁрэv ьюцэю ёърчрЄ№ яюўЄш эх яюёЄЁрфрыш.
Например, если шифрование шло с конца диска, то здесь видно границу где процесс прервался, и если со временем станет известен ключ и метод шифрования данные можно дешифровать. Но дешифровав весь абзац, где часть текста зашифрована, а другая часть нет мы в итоге зашифруем и незашифрованный ранее текст.
Прогнал я этот абзац через один из кодеров-декодеров, взял первый попавшийся
БлЂ п ≠† ¢лІЃ¢• г ™Ђ®•≠в†. З¢Ѓ≠пв ђ≠• б а†°Ѓвтv и говор¤т - компь�тер гл�кнул, сразу бvл синий экран с белvми буквами, потом ч�рнvй с белvми.. а потом краснvе буквv, и на других компь�терах то же самое... �ес¤ц назад уже бvло такое, но в гораздо меньших масштабах - одна, две организации, но также по всей стране. L здесь, как потом оказалось, более дес¤ти крупнvх организаций по всей стране, другие странv можно сказать почти не пострадали.
Ну вот - раскодируя вторую часть, он мне закодировал первую.
(Кодировка - это не совсем то что и шифрование, но простой пример я навёл для простоты)
Может лучше было бы не выключать - чтобы потом найдя ключ было бы легче информацию расшифровать?
Уже прошла почти неделя, и в интернете пишут что данных не расшифровать, совсем! - ключ автором вируса не хранится и не передаётся никуда, значит и нет способа расшифровки
Самые ненужные компы отдали сейчас в ИТ-отдел востанавливать.
Один комп выжил - там в биосе было ххх Error. Press F1 to continue. и F1 просто неуспели нажать. Сегодня появился и второй выживший - диск также не зашифрован, а вот почему - незнаю. Может и этот застрял на биосе, а может потому что там XP была.
И тут я вспоминаю вирус чуть более чем 20 летней давности.
Тогда была целая эпидемия. Эпидемий различных вирусов было многовато, но ранее они всегда проходили мимо, да и компьютеров было тогда мало - это вам не Америка)))
В середине 90х, было два популярных антивируса - Aidstest и Doctor Web (DrWEb)
Aidstest - это был первый советский антивирус, он берёт свое начало с 1988 года, его автор Дмитрий Лозинский.
Doctor Web - второй антивирус)) Его начали разрабатывать с 1991 года, разработчик Игорь Данилов. У нас в институте были именно эти два антивируса, с тех пор как в 1993-1994 годах появились 386е машины)). И после включения компьютера эти два трудяги проверяли все!!! файлы на компьютере. Ну а что там проверять, средний размер жёсткого диска - 100 Мбайт, не Гигабайт, а МЕГАбайт!! И где-то в 1994 и пошла эпидемия OneHalf которая и убила антивирус aidstest - он не видел эти вирусы, а Doctor Web видел. На некоторых машинах была ещё установлена программа ADInf.
Это не совсем антивирус, это был ревизор диска, он отслеживал размер и содержимое файлов подсчитывая контрольную сумму и при повторном запуске, на следующий раз, сообщал какие файлы изменились, изменили длину/содержимое файла.
Да и сами антивирусы не были антивирусами в нынешнем понимании.
Сейчас говоря антивирус мы представляем некоего сторожа, который постоянно работает, проверяет всё на лету и не пускает в систему вирусы. Работать в фоне и не тормозить мешать ему позволяет нынешняя скорость процессоров, их многоядерность и многозадачность ОС(операционной системы).
А тогда антивирусы работали по команде: запустили антивирус, он проверил память, диск, отработал, ничего не нашёл и закончил работу, полностью закончил. Ну а если нашёл - значит вылечил, если был известен метод лечения от такого вида вируса. А дальше вы уже работали с компьютером без антивируса.
Так как OneHalf был полиморфным стелс вирусом, одним из первых, его долго не могли заметить.
- полиморфен - антивирусы по сигнатуре его не детектировали
- невидимка (стелс) он шифровал и расшифровывал запрашиваемые данные при чтении с диска, его долго не обнаруживали
- пока не появлялась картинка
это означало что уже половина диска зашифрована, но при нажатии любой клавиши дальше компьютер загружался и работал как и положено (включая тот факт что компьютер был заражен и заражал, через дискеты, другие компьютеры - шифрование диска шло от его конца, и пока вирус не дошёл до первого сектора - компьютер ещё работал, ну а дальше всё - система не загружалась - ВЕСЬ ДИСК ЗАШИФРОВАН
Почему же OneHalf убил AIDStest?
Первые антивирусы искали известные вирусы по сигнатуре, участку кода, набору символов, это как фотография, как отпечаток пальцев. И проверяя файлы если находили эту сигнатуру, взятую из своей базы коллекции сигнатур вирусов, значит считали файл заражённым. И если был известен способ обеззараживания - лечили файлы от этого вируса.
А потом появились полиморфные вирусы. Такие вирусы постоянно, от копии к копии меняли свою сигнатуру, изменяя, шифруя сами себя, поэтому не было сигнатуры-фотографии этого вируса, не было его отпечатка пальцев. Как же его определить?
А вдобавок были они ещё и невидимками. Если какая программа сидела в памяти - это было видно по уменьшившемуся свободному объему памяти, а эти невидимки (стелс-вирусы), могли занимая место в памяти сообщать на запросы всех программ и ОС, что память свободна, и никого чужого в памяти нет, а исказив загрузочную запись или файлы возвращать их в оригинальном, не испорченном, виде отвечая на запросы чтения. Например, файл на компьютере уже заражен-испорчен-зашифрован, но когда вы его открываете, он вам на лету подсовывает то что надо. И так до часа Х. А когда чёрное дело сделано,(всё, или как в случае OneHalf половина диска зашифрована он сообщал об это пользователю)
Сидит себе вирус в компьютере шифрует файлы, когда их запрашивают - расшифровывает, и никто его не видит, а потом.... потом становится видно, но поздно.
И здесь на помощь пришёл Doctor Web. В нём придумали анализировать код программы, наблюдать что же программа делает при запуске. Т.е. создали как бы маленький компьютер, который "запускает" каждый файл на вашем ПК и анализирует, что он там делает. Как? Ну я думаю если программа, что открылась, слишком много читает и пишет на диск почти наверняка вирус. Конечно же первая задача вируса распространиться, то есть открывать другие файлы и изменять их. Вот в компании Doctor Web и создали такой эмулятор компьютера - эвристический анализатор, который стал ловить 100% полиморфных стелс вирусов.
Aidstest не справлялся со своей задачей. Doctor Web стал для нас, антивирусом номер один. Да и для меня... на долгие годы. Я годами им пользовался, пока на работе не перешли на другой. Помню слова.."мы не обсуждаем здесь какой антивирус лучше, какой хуже... есть корпоративный стандарт и всё."
Жёлтенький такой, с зелёной точкой который ну никак у меня не ассоциируется с антивирусом.
Желаю вам встречать вирусы лишь в таких вот рассказах... которые я и вам расскажу в дальнейших постах.