Читать «Журнал «Компьютерра» № 22 от 13 июня 2006 года» онлайн - страница 8

Для расследования инцидента пришлось привлечь специалистов Секретной службы США. Как оказалось, логическая бомба была установлена удаленно, причем «кто-то» подсоединялся к тем компьютерам, где была внедрена бомба, используя логин и пароль Роджера Дюронио. Более того, полиция провела обыск в доме подозреваемого и обнаружила там жесткий диск с исходным кодом вредоносной программы. Также логическую бомбу удалось отыскать на двух из четырех домашних компьютеров Дюронио – улики практически неопровержимы. Теперь злоумышленнику грозит лишение свободы на срок до 30 лет, штраф до миллиона долларов и перспектива возмещения трехмиллионных убытков фирмы. – Д.З.

Заплати и спи спокойно?

Похоже, мрачные прогнозы о лавинообразной коммерциализации компьютерного вирусописательства (см. «КТ» #625) начинают сбываться. Конец весны – начало лета выдались необычайно богатыми на эпидемии давно известного, но по-прежнему плохо знакомого среднему пользователю класса вредоносных программ, именуемого ransomware (от ransom – выкуп). Схема действия типичного «вируса-шантажиста» проста: попав на компьютер, он шифрует все доступные ему документы, для расшифровки же необходимо вознаградить авторов программы материально.

С теми или иными вариациями эту схему используют уже около десятка гуляющих по Сети «зловредов», но в июне в центре внимания оказались два из них. Первый – троян Arhiveus – прославился благодаря британской домохозяйке Хелен Барроу (Helen Barrow), чью персоналку он заразил. Arhiveus перемещает все файлы из папки My Documents в зашифрованный архив, распаковать который можно лишь совершив покупку на сумму около ста долларов в полулегальной онлайновой аптеке (по-видимому, авторы Arhiveus получают проценты с продаж «своим» покупателям). Хелен ничего покупать не стала, а сразу же обратилась в полицию, которая не без помощи вирусологов вернула женщине утерянное (как оказалось, секретный пароль, необходимый для расшифровки, хранится в теле трояна в открытом виде).

Российским же пользователям следует больше опасаться новых «зверей» из семейства GPCode (первые его представители, зарегистрированные полтора года назад, считаются родоначальниками ransomware), в начале июня заразивших, по прикидкам «Лаборатории Касперского», несколько тысяч машин.

Последний представитель «семейки» – GPCode.af распространяется через DOC-вложение в письмо от «потенциального работодателя». «Вордовский» файл на самом деле оказывается связкой троянцев, которые загружают GPCode.af, а тот при запуске находит и шифрует документы почти двух сотен различных форматов, используя алгоритм RSA. Далее следует требование о выкупе, но и здесь торопиться не следует: к счастью, вирусологи смогли подобрать ключ, так что воспользовавшись, в частности, антивирусом все того же Касперского, зашифрованные документы можно восстановить.

Несмотря на очевидный криминальный подтекст, правоохранительные органы – по крайней мере в Британии – отнеслись к вирусам-шантажистам на удивление хладнокровно. По словам миссис Барроу, полиция отказалась начать расследование инцидента, сославшись на его единичность, интернациональный характер (аптека хостится в России), а также на невозможность отнести происшествие к действиям террористов или наркоторговцев. Впрочем, и об участии милиции в деле GPCode пока ничего не слышно. А западные эксперты (LURHQ, Sophos) тем временем предрекают, что авторы ransomware и не станут добиваться массовых эпидемий: им выгодно сравнительно слабое распространение вирусов, поскольку так можно дольше оставаться вне поля зрения антивирусных компаний и правоохранительных органов. – Е.З.