Провайдер веб-хостинга, которым я пользуюсь для своего блога, заставил понервничать. Двое суток мой сайт лежал. А вместе с ним лежали ещё 400 тысяч сайтов других клиентов хостера. Причиной стала хакерская атака на провайдера, в ходе которой злоумышленники, судя по всему, получили доступ к внутренней сети хостера, зашифровали все файлы, включая базы данных клиентов и их резервные копии, и стали требовать выкуп:
Вкратце тут сказано, что всё зашифровано, не пытайтесь расшифровать, иначе потеряете все данные. Предлагают для доказательства того, что они могут вернуть данные, расшифровать любые три файла на выбор.
Сначала у хостера перестала работать система обслуживания клиентов, так что пожаловаться на проблему было некуда. Затем пропала их группа в Фейсбуке. Единственным источником информации стал твиттер, в котором можно было отслеживать ситуацию, ища сообщения по тэгу с названием хостера. К концу вторых суток я, признаться, уже начал думать, что свой блог мне больше уже не увидеть. Точнее, увидеть, но без записей за последние полгода, так как я сам очень редко делаю резервные копии.
Тем не менее, надо отдать хостеру должное: они работали без устали и в конце концов смогли расшифровать все файлы. Сайт, как видите, работает. Без потерь данных. Как и сотни тысяч сайтов других клиентов хостера. Осталось поймать злоумышленников и надрать им задницы свершить над ними великое мщение.
Эта история навеяла одно старое воспоминание. Тогда, в 1995 году (четверть века назад!), мой компьютер подхватил вирус OneHalf, принесённый другом на дискете с играми. Нынешняя ситуация с хостером похожа на ту давнюю историю в том, что тот вирус тоже зашифровал файлы на компьютере. С другой стороны, он не требовал выкуп, в отличие от нынешних кибер-жуликов.
Я даже нашёл запись о том происшествии в своём, тогда ещё оффлайновом, блоге. Вот, привожу целиком, без купюр (обратите внимание: это написано в 3:34 ночи; не знаю, почему я не спал 🙂 ):
12.01.1995 Чт 3:34 - 4:12 Ну и ну! Только что я обнаружил у себя на компьютере самый что ни на есть настоящий вирус! Нашла его программа Dr.Web версии 1.07 от 15.11.94 (325 вирусов), списанная мною с работы. Вирус называет- ся OneHalf.3544 и относится к файлово-бутовым полиморфным резидент- ным вирусам! А началось все с замедления процесса загрузки машины: после вывода таблички с параметрами системы происходила заметная пауза, в течение которой компьютер что-то бодро делал с винчесте- ром. Поначалу я не обратил на это особого внимания, меня это слегка разражало, и только. Думал, дело, наверное, в сильной фрагментации файлов на системном диске и т.п. Провел полную оптимизацию размеще- ния файлов. Ничего не изменилось. Тут я слегка встревожился. Пос- мотрел на объем свободной оперативной памяти: она уменьшилась на 4К. Я, уже не на шутку встревоженный (уж больно все это похоже на проявления вируса), стал запускать все подряд антивирусные програм- мы. Для начала - aidstest (версия от 14.11.94). Он молчит, ничего не говорит, будто воды в буфер вывода информации набрал. Запустил tntvirus. Результат аналогичный. Почти успокоенный, запускаю Dr.Web и тут, на тебе: В памяти обнаружен резидентный бутовый вирус OneHalf.3544 Main Boot Record содержит бутовый вирус OneHalf.3544 Я так и сел. Срочно перезагрузился с загрузочной дискеты. Прос- мотрел список вирусов, обнаруживаемых программой aidstest. Там та- кого вируса нет. Заглянул в аналогичный список программы Dr.Web и нашел там полную информацию по этому вирусу, которую и привожу здесь для истории: ╔═══════════════╤════╤════╤════╤═════╤═══════════╤═════╤═══════════╗ ║ Name │Inf.│TSR │Eff │ Len │ Infected │Inf. │File's len ║ ║ │way │ │ects│( L )│ files │place│ growing ║ ╠═══════════════╪════╪════╪════╪═════╪═══════════╪═════╪═══════════╣ ║OneHalf.3544 │INT │MCB │ HV │3544 │.C.E&CE+boot i+e │ L * ║ ╚═══════════════╧════╧════╧════╧═════╧═══════════╧═════╧═══════════╝ OneHalf.3544, OneHalf.3577 Очень опасные полиморфные файлово-загрузочные стелс-вирусы. Используют алгоритм заражения, похожий на алгоритм Commander- Bomber. Но помимо того, что "усеивают пятнами" своего кода (10 "пятен" по 10 байт) инфицированный файл, производят шифрование основного тела вируса, расположенного в конце файла. При пер- вом запуске инфицированного файла, заражают MBR "винчестера". Оригинальный MBR и 7 секторов своего тела "прячут" в последних секторах 0 цилиндра жесткого диска. При перезагрузке компьюте- ра, "отрезают" от доступной DOS памяти 4K, считывают в "отре- занную" верхнюю область памяти свое продолжение - 7 секторов, и перехватывают INT 13h и INT 1Ch. Контролируют с помощью INT 1Ch установку DOS'овского INT 21h, и перехватывают его. При каждой перезагрузке системы с жесткого диска последовательно, начиная с последних цилиндров, шифруют все сектора трех ци- линдров на каждой головке диска. Когда вирусы находятся в па- мяти, они контролируют чтение секторов данных цилиндров и рас- шифровывают их. Если же вирусы будут удалены из MBR и памяти, то восстановление зашифрованных секторов окажется невозможным. Иногда выводят на экран фразу: Dis is one half. Press any key to continue ... После этого ожидают нажатия на любую клавишу. После чего продолжают свою дальнейшую инсталляцию в память. При попытке трассировки резидентной части вируса, предпринима- ют некоторые простые, но действенные меры "завешивания" систе- мы. Содержат текстовые строки "Did you leave the room?" или "DidYouLeaveTheRoom?". Вот такая вот история. Ну, недолго думая, я запустил Dr.Web на уничтожение вируса. На это ему понадобилось минуты две. Причем, ан- тивирус не только удалил вирус, но и уничтожил все (!) следы его деятельности, т.е. восстановил все файлы, которые тот смог испор- тить за время своего паразитирования на моем компьютере. А испор- тить он успел, насколько я смог заметить, только одну игрушку - The Incredible Machine, ту самую, которой я недавно зафанател (кстати, я прошел ее всю, от начала и до конца). Возможно, она и была пере- носчиком вируса. Кстати, этот вопрос надо еще изучить... А испорти- лась она так: сама по себе она работала, но при входе в меню работы с файлами в режиме Free Mode зависала. Причем, сначала, как только она у меня появилась, этого не было. Короче, из всех антивирусных средств, которые у меня имелись, только Dr.Web помог мне избавиться от вируса, в связи с чем я поду- мываю, не стать ли мне зарегистрированным пользователем сего заме- чательного программного продукта.
>не стать ли мне зарегистрированным пользователем сего замечательного программного продукта.
Стал? 🙂
Неа. 🙂 Но я пытался. 🙂 Я, помню, звонил им с вопросом, как купить. Уже плохо помню тот разговор. Кажется, они спросили, какая я организация. Я сказал, что я частное лицо, на что они сильно удивились. 🙂 В те времена покупать антивирусы, и вообще, софт, было как-то не очень принято. 🙂 Дальше уже не помню, но в итоге я не купил. Да и на какие шиши? Я был нищим студентом, и вся стипендия уходила на пиво. ))
Alexp, а ты знаешь, кто принёс мне этот вирус? 😆
Не знаю, но почти уверен, что SmallySad )))
…хотя с учётом того, что в вопросе как-бы ощущается намёк, будто я к этому как-то причастен, можно было бы подумать, что это был «другой» Дима, но всё же вероятнее всего мне это просто показалось. )
…хотя, перечитал, написано что принёс с работы. А что, в 95м ты уже работал? ) В НИИСе? Или ещё на Московском? Тогда это мог быть старик ) или кто там тогда ещё работал?…
…блин, пошёл по ложному следу. Это ты антивирус с работы притащил, а не вирус. Ну я тогда не знаю… )
Вот запись на следующий день. Там реальные имена были написаны, заменил на никнеймы. 🙂
13.1 Пт 17:49 — 17:58
Сегодня пятница, 13 ! Ни каких проявлений страшных вирусов сегодня не наблюдалось.
Выяснилось, откуда появился у меня OneHalf — от [Alexp], который дал мне пару дискет с игрушками. А ему они достались от его приятеля [K], которого [Alexp] обрадовал, сразу после моего звонка, и который сам ни о чем не подозревал. Сегодня я проверил все свои дискеты программой Dr.Web на предмет наличия файлово-бутовых вирусов. А после последнего экзамена (ЦОС, 16.1) стану зарегистрированным пользователем этого антивируса.
> сразу после моего звонка
Первая мысль, в 95-м у меня не было мобильного телефона. )))
Ну, вообще да, у меня этот случай с вирусом как-то в памяти не зафиксировался. Насколько я помню, про IncredibleMachine, я узнал от тебя и впервые увидел её у тебя дома. Похоже, ложные воспоминания. )
Ложные воспоминания — серьёзная проблема! 🙂 У меня есть немало воспоминаний, иногда довольно необычных, но про которые я понятия не имею, реальные они или ложные… Причём по молодости, когда я ещё не подозревал даже про такую проблему, я иногда рассказывал про такие воспоминания людям, с которыми они связаны. Иногда на меня смотрели как на дурака. 🙂 С тех пор я не стремлюсь ими делиться. :)) Вот блог в этом помогает — то, что в нём описано, сто пудов было. 🙂 I hope…