Вредоносное ПО: типы угроз и примеры атак

Вирусы, руткиты, черви, шпионы, майнеры, вымогатели — как распознать цифровую нечисть и защитить свои данные.

Наверняка вы хотя бы раз сталкивались с вирусом на компьютере и не могли понять, как он к вам попал. Но, чтобы стать жертвой мошенников, не нужно делать ничего особенного — иногда достаточно просто быть онлайн.

Трояны, черви и другие виды вредоносного ПО могут распространяться через заражённые сайты, обманные письма и даже магазины приложений. Но как именно это происходит и что с этим делать? Давайте разбираться.

В большинстве случаев заражённое устройство начинает вести себя странно: программы открываются медленно или запускаются без вашего ведома, в браузере появляется навязчивая реклама, открываются новые вкладки и так далее. Однако некоторое вредоносное ПО может долгое время оставаться незаметным — всё зависит от целей злоумышленников.

Как распространяются вредоносные программы

Когда вы просто заходите в интернет, вредоносное ПО не начинает действовать автоматически. Все современные браузеры обладают многоуровневой системой безопасности: они блокируют вредоносные скрипты и фишинговые сайты, проверяют SSL-сертификаты, изолируют веб-приложения в песочнице и используют множество других защитных механизмов. Например, если вы случайно перейдёте на поддельный сайт банка, браузер предупредит об опасности и заблокирует такой переход.

Кроме того, большая часть веба написана на языке JavaScript. Его архитектура изначально спроектирована так, чтобы предотвращать потенциально опасные действия в браузере. JavaScript-код не может самостоятельно получать доступ к файлам на компьютере, запускать программы или взаимодействовать с системными ресурсами (веб-камерой, микрофоном, буфером обмена) без явного разрешения пользователя.

Современные операционные системы также надёжно защищены благодаря антивирусным компонентам, изолированным средам для приложений и системе контроля учётных записей. К примеру, в Windows при попытке установить программу появляется окно контроля учётных записей (UAC) с запросом подтверждения. Если вы не согласитесь, установка не пройдёт.

Несмотря на применение всех этих систем защиты, вредоносные программы продолжают распространяться. Происходит это по нескольким причинам:

• Человеческие ошибки и неосторожность пользователей.
• Технические уязвимости в программном обеспечении. Например, ошибки в коде или неустранённые бреши в системе безопасности.
• Недостаточная компетенция разработчиков в вопросах безопасности. К этому относятся ошибки при обработке пользовательских данных, отсутствие защиты от известных уязвимостей, ненадёжное хранение паролей и использование устаревших методов шифрования.
• Постоянное развитие и усложнение хакерских методов атаки.

Из всех перечисленных причин большинство кибератак связано с действиями пользователей. В следующем разделе мы разберём, как именно это происходит и какие типы вредоносного ПО для этого используются.

Типы вредоносных программ

По оценкам экспертов, ежедневно появляется более 450 тысяч новых вредоносных программ, а их общее количество насчитывает сотни миллионов. В этом разделе мы рассмотрим основные категории вредоносного ПО, с которыми может столкнуться каждый пользователь.

Рекламные программы

Рекламные программы (adware) действуют как навязчивый уличный зазывала, который следует за пользователем по всему интернету. Они показывают сомнительные товары и услуги через всплывающие окна и баннеры, способны изменять домашнюю страницу браузера, перенаправлять поисковые запросы и отслеживать активность в Сети.

Рекламные программы обычно проникают в систему вместе с разными утилитами — видеоплеерами, конвертерами или загрузчиками файлов. После проникновения они перегружают ресурсы компьютера, что приводит к замедлению его работы и снижению скорости интернет-соединения.

Основные пути заражения:

• Загрузка бесплатных программ с подозрительных сайтов.
• Установка непроверенных расширений для браузера.
• Переход по вредоносным рекламным ссылкам.

В 2024 году по интернету распространялась программа Search Marquis, которая маскировалась под полезное расширение браузера. При установке она подменяла стартовую страницу, перенаправляла поисковые запросы через свои серверы и показывала рекламу. Удалить её было сложно, поскольку она запускала множество связанных процессов в системе.

Программы-шпионы

Программы-шпионы (spyware) незаметно собирают информацию о пользователе для злоумышленников. Они способны отслеживать нажатия клавиш, историю посещений сайтов, перехватывать учётные данные, записывать разговоры, создавать скрытые снимки экрана и многое другое.

Шпионское ПО существенно замедляет работу устройства и увеличивает расход трафика, поскольку постоянно работает в фоновом режиме.

Основные способы распространения:

• Загрузка бесплатных программ из ненадёжных источников.
• Фишинговые письма с вредоносными вложениями.
• Заражённые рекламные баннеры.
• Поддельные установщики программ.

В 2023 году 8 миллионов устройств в Азии и Африке пострадали от шпионского ПО SpyLoan. Программа маскировалась под приложения для займов и похищала личные данные, контакты и банковскую информацию.

Руткиты

Руткит (rootkit) — это особо опасный тип вредоносного ПО, который маскирует присутствие других программ в системе. Название происходит от Unix-терминов Root (суперпользователь) и kit (набор инструментов).

Руткит глубоко внедряется в операционную систему и получает привилегии администратора. После этого он перехватывает системные вызовы и изменяет базовые функции системы, что делает его и другие вредоносные программы невидимыми для антивирусов. Поэтому руткит трудно обнаружить, но можно заметить замедление работы компьютера, отключение антивируса или странное поведение системных программ.

Основные пути заражения:

• Скачивание пиратского ПО.
• Фишинговые письма.
• Уязвимости в устаревших версиях программ.
• Использование заражённых USB-накопителей.

Один из самых известных руткитов — Stuxnet, который был разработан для замедления ядерной программы Ирана в 2010 году. Он использовал несколько уязвимостей в Windows и поразил четвёртую часть центрифуг на заводе по обогащению урана в Натанзе, что сорвало сроки запуска АЭС.

Руткит проник на суперсекретные устройства через инфицированную флешку, и его обнаружили только спустя несколько месяцев работы.

Трояны

Remote access trojan, или просто троян, — вредоносная программа, которая маскируется под обычное ПО для получения доступа к системе. Она действует как мифический троянский конь: снаружи выглядит безобидно, но скрывает опасное содержимое. Троян может создавать бэкдоры, похищать конфиденциальные данные, отслеживать действия пользователя и использовать ресурсы компьютера для других вредоносных операций.

У заражённого трояном компьютера снижается производительность, а также наблюдается аномально высокий расход трафика — до нескольких гигабайт в сутки, даже когда устройство находится в режиме ожидания.

Популярные способы распространения:

• Через заражённые программы, которые можно скачать с сомнительных сайтов под видом бесплатных приложений, игр или полезных утилит.
• Через фальшивые обновления и патчи — трояны часто маскируются под обновления браузеров, драйверов или антивирусных программ.
• Через макросы в документах Microsoft Office: пользователь скачивает файл Word или Excel, включает макросы и активирует вшитый троян.

В 2007 году эксперты обнаружили троян Zeus, который атаковал браузеры Firefox и Internet Explorer, маскируясь под файлы и документы. Этот троян похищал пароли, банковские данные и другие конфиденциальные сведения. От атаки пострадали Министерство транспорта США, Bank of America, NASA, Oracle, Amazon, а также множество людей и компаний.

Хотя троян Zeus удалось идентифицировать, его распространение не прекратилось. В 2015 году Госдепартамент США и ФБР предложили награду в 3 миллиона долларов за информацию о предполагаемом создателе Евгении Богачеве. Однако поймать киберпреступника не удалось.

Черви

Компьютерный червь (worm) — вредоносная программа, которая проникает в систему, создаёт свои копии и рассылает их по сети. Черви могут действовать автономно, как отдельные программы, — распространяться без участия пользователя и не заражать другие файлы. Также они могут внедрять вредоносные скрипты, шифровать и перезаписывать данные.

Как только червь активируется, он начинает быстро копировать себя. Этот процесс потребляет множество сетевых ресурсов и вычислительной мощности, из-за чего системы перегружаются и замедляют работу. В результате могут пострадать как отдельные компьютеры, так и целые сети.

Основные источники заражения:

• Уязвимости в системах, приложениях и сетевых протоколах.
• Переход по вредоносным ссылкам.
• Использование общественных сетей.
• Подключение заражённых съёмных носителей.

В 2003 году в Сети появился червь SQL Slammer. Он использовал уязвимость в Microsoft SQL Server 2000 и мог за считаные минуты заражать десятки тысяч компьютеров. Червь переполнял серверы и выводил их из строя, что вызвало сбои в работе банков, банкоматов и телекоммуникационных систем. Южная Корея на время практически полностью была отрезана от интернета.

SQL Slammer вновь показался в 2017 году, но нанёс уже меньший ущерб. Этот червь стал одной из самых быстрораспространяющихся вредоносных программ в истории. До сих пор неизвестно, кто и откуда его запустил.

Вирусы

Компьютерный вирус (virus) способен изменять работу заражённого устройства. Он встраивается в исполняемые файлы или документы и активируется при их запуске. После активации вирус начинает распространяться по системе, заражая другие файлы и программы.

Некоторые вирусы могут замедлять работу системы, а другие — уничтожать данные или передавать их злоумышленникам. Поэтому на заражённом устройстве могут произвольно открываться программы, исчезать и повреждаться файлы, а также наблюдаться необычная активность в Сети.

Пути распространения вирусов:

• Загрузка файлов и программ из ненадёжных источников.
• Вложения в электронных письмах.
• Фиктивные обновления программ и драйверов.
• Эксплуатация уязвимостей в программном обеспечении.
• Инфицированные флешки и прочие съёмные носители.

В 1998 году появился вирус CIH («Чернобыль»), который был одним из первых в мире, способных выводить из строя аппаратное обеспечение. Вирус внедрялся в исполняемые файлы Windows, активировался ежегодно 26 апреля, перезаписывал BIOS и повреждал данные на жёстком диске.

Майнеры

Майнеры (crypto mining malware) — вредоносные программы, которые тайно используют вычислительные ресурсы компьютера для добычи криптовалюты. Представьте паразита, который постепенно выкачивает из жертвы её жизненные силы, — так и майнер истощает ресурсы компьютера.

Майнер захватывает процессор и видеокарту устройства и перенаправляет их мощность на решение своих задач. Из-за этого компьютер постоянно перегревается, даже если не выполняет никаких сложных операций.

Типичные источники попадания майнера на устройство:

• Пиратский контент.
• Фишинговые письма с вложениями.
• Заражённые сайты и рекламные баннеры.

В 2017 году компьютеры многих пользователей заразились вирусом Coinhive, который использовался для майнинга криптовалюты Monero. Программа проникала через торренты, расширения в браузере и другие сайты. При этом майнинг продолжался даже после того, как пользователи покидали опасный сайт.

Логические бомбы

Логическая бомба (time bomb) встраивается в обычную программу и ожидает определённого события для активации. Это событие может быть связано с датой, временем, действием пользователя или системным событием. Активированная бомба выполняет заложенный в неё код.

До активации логическую бомбу сложно обнаружить, поскольку она никак не проявляется. Однако после её активации появляются типичные признаки заражения вирусом, которые могут быть разными, в зависимости от заложенной логики: внезапное удаление файлов, сбои в работе программ, необычное поведение системы или замедление работы компьютера.

Основные способы проникновения в систему:

• Фишинговые письма.
• Загрузка программ с пиратских сайтов.
• Уязвимости в программном обеспечении.
• Инсайдерские атаки — когда вредоносный код преднамеренно внедряется в систему кем-то из сотрудников компании.

В период с 2014 по 2016 год внештатный программист компании Siemens внедрял в программное обеспечение логические бомбы, которые периодически вызывали сбои в работе оборудования. Компания повторно приглашала этого программиста, и он любезно устранял созданные им же неисправности.

В 2019 году суд приговорил подрядчика к шести месяцам заключения, штрафу в 7500 долларов и двум годам надзора после освобождения.

Как бороться с вредоносными программами

К сожалению, универсального способа защиты от цифровых угроз не существует. Защита требует комплексного подхода, и далее мы рассмотрим основные меры безопасности, которые вы можете принять.

Если вы скачали файл с потенциально опасным расширением, не открывайте его сразу — сначала проверьте антивирусом. А если случайно открыли — немедленно отключите компьютер от интернета, запустите полное сканирование системы антивирусом и следуйте его рекомендациям.

• Отключите автоматическое подключение к Wi-Fi на всех устройствах и выбирайте проверенные сети вручную.
• Используйте только защищённые HTTPS-версии сайтов и всегда проверяйте наличие значка замка в адресной строке браузера.
• Включите встроенный брандмауэр (файрвол) на всех устройствах и настройте его правила для защиты от подозрительного трафика.
• Используйте мобильный интернет вместо публичного Wi-Fi, особенно когда работаете с банковскими счетами или вводите личные данные.

Malicious software (малварь) — вредоносное программное обеспечение.

Вирус WannaCry эксплуатировал уязвимость EternalBlue (MS17-010) в протоколе SMB Windows. Эта брешь позволяла злоумышленникам удалённо выполнять вредоносный код на компьютере жертвы. Хотя Microsoft выпустила исправление в марте 2017 года, многие пользователи и организации не успели обновить свои системы до начала атаки.

Бэкдор — это уязвимость в системе безопасности, которая позволяет злоумышленнику обойти обычные механизмы защиты и получить несанкционированный доступ к компьютеру. Например, троян может создать скрытый аккаунт администратора или открыть определённый порт для удалённого подключения, что даст хакеру контроль над системой.