502
Артем Ковбель: программы-вымогатели. История развития и принципы их работы
— Криминал
Компьютерный вирус – вид вредоносного ПО (программного обеспечения), самовоспроизводящейся программы, способной воссоздавать код самой себя, внедряться в архитектуру ПО компьютера, загрузочные сектора, системные области, съёмные накопители информации, тем самым нарушать, блокировать работу компьютера.
Основы теории самовоспроизводящийся механизмов были заложены американцем Джоном Фон Нейманом, который в 1951 году предложил метод создания таких механизмов.
Среди первых компьютерных эпидемий, вызванных компьютерными вирусами, стоит отметить: Brain – первый stealth вирус, который при попытке чтения заражённого сектора подставлял его незараженный оригинал.
Jerusalem – один из первых MS -DOS вирусов, Morris’s warm – вирус – червь, целью которого было завладение паролями и информацией на чужом ПК путём рассылки писем.
Datacrime – вирусы разрушители файловой системы. Также, 1989 был создан первый «троянский конь», подвид вирусов, так называемый ransomware, предназначенное ПО для вымогательства.
Как правило, вредоносные программы (черви, троянские кони) используют уязвимость операционной системы или программных приложений с целью проникновения и заражения ПО вирусом. Уязвимость — это ошибка в коде или логике работы ОС или программного приложения – это виды типичных уязвимостей. Так как современные программы достаточно комплексные, посему написать идеальную программу безошибочно практически невозможно. Как правило, заражение происходит при посещении пользователем различных сайтов и загрузке на компьютер вредоносных программ.
В нашей практике IT forensic, моя команда расследовала случай получения e-mail от знакомых пользователей (пользователей из справочной книги потерпевшего) и осуществления APT атак (Advanced persistent thread).
Следствием чего становился remote захват компьютера с последующим созданием его образа и получения доступа ко всем персональным данным пользователя и осуществления зипования данных и отправки их первоисточнику.
Затем данный вирус получил доступ ко всем e-mail адресам, посредством чего осуществил рассылку вредоносных писем.
Стоит отметить, что данный вид вируса может продолжительное время находиться в активном состоянии на зараженном компьютере пользователя, никак себя не проявляя. Период пребывания такой вредоносной программы до ее идентификации исчислялся сотнями дней. Вирус был идентифицирован путем запуска программы YARA – forensic deep dive program, программа, которая позволяет идентифицировать вредносные файлы, цепочки вредоносных программ на ранних этапах их распространения по архитектуре ПО.
***
Как и в случае с мошенничеством, бизнес невозможно на 100% уберечь от кибератак, утечек информации и прочих проблем связанных с нарушением информационной безопасности предприятия.
Но создать превентивные меры в виде департамента по информационной безопасности с четким регламентов прописанных правил – это под силу любой компании.
Артем Ковбель, партнер Kreston GCG
По материалам: Finance.ua
Поделиться новостью
