Провайдер веб-хостинга, которым я пользуюсь для своего блога, заставил понервничать. Двое суток мой сайт лежал. А вместе с ним лежали ещё 400 тысяч сайтов других клиентов хостера. Причиной стала хакерская атака на провайдера, в ходе которой злоумышленники, судя по всему, получили доступ к внутренней сети хостера, зашифровали все файлы, включая базы данных клиентов и их резервные копии, и стали требовать выкуп:
Вкратце тут сказано, что всё зашифровано, не пытайтесь расшифровать, иначе потеряете все данные. Предлагают для доказательства того, что они могут вернуть данные, расшифровать любые три файла на выбор.
Сначала у хостера перестала работать система обслуживания клиентов, так что пожаловаться на проблему было некуда. Затем пропала их группа в Фейсбуке. Единственным источником информации стал твиттер, в котором можно было отслеживать ситуацию, ища сообщения по тэгу с названием хостера. К концу вторых суток я, признаться, уже начал думать, что свой блог мне больше уже не увидеть. Точнее, увидеть, но без записей за последние полгода, так как я сам очень редко делаю резервные копии.
Тем не менее, надо отдать хостеру должное: они работали без устали и в конце концов смогли расшифровать все файлы. Сайт, как видите, работает. Без потерь данных. Как и сотни тысяч сайтов других клиентов хостера. Осталось поймать злоумышленников и надрать им задницы свершить над ними великое мщение.
Эта история навеяла одно старое воспоминание. Тогда, в 1995 году (четверть века назад!), мой компьютер подхватил вирус OneHalf, принесённый другом на дискете с играми. Нынешняя ситуация с хостером похожа на ту давнюю историю в том, что тот вирус тоже зашифровал файлы на компьютере. С другой стороны, он не требовал выкуп, в отличие от нынешних кибер-жуликов.
Я даже нашёл запись о том происшествии в своём, тогда ещё оффлайновом, блоге. Вот, привожу целиком, без купюр (обратите внимание: это написано в 3:34 ночи; не знаю, почему я не спал 🙂 ):
12.01.1995 Чт 3:34 - 4:12
Ну и ну! Только что я обнаружил у себя на компьютере самый что
ни на есть настоящий вирус! Нашла его программа Dr.Web версии 1.07
от 15.11.94 (325 вирусов), списанная мною с работы. Вирус называет-
ся OneHalf.3544 и относится к файлово-бутовым полиморфным резидент-
ным вирусам! А началось все с замедления процесса загрузки машины:
после вывода таблички с параметрами системы происходила заметная
пауза, в течение которой компьютер что-то бодро делал с винчесте-
ром. Поначалу я не обратил на это особого внимания, меня это слегка
разражало, и только. Думал, дело, наверное, в сильной фрагментации
файлов на системном диске и т.п. Провел полную оптимизацию размеще-
ния файлов. Ничего не изменилось. Тут я слегка встревожился. Пос-
мотрел на объем свободной оперативной памяти: она уменьшилась на
4К. Я, уже не на шутку встревоженный (уж больно все это похоже на
проявления вируса), стал запускать все подряд антивирусные програм-
мы. Для начала - aidstest (версия от 14.11.94). Он молчит, ничего
не говорит, будто воды в буфер вывода информации набрал. Запустил
tntvirus. Результат аналогичный. Почти успокоенный, запускаю Dr.Web
и тут, на тебе:
В памяти обнаружен резидентный бутовый вирус OneHalf.3544
Main Boot Record содержит бутовый вирус OneHalf.3544
Я так и сел. Срочно перезагрузился с загрузочной дискеты. Прос-
мотрел список вирусов, обнаруживаемых программой aidstest. Там та-
кого вируса нет. Заглянул в аналогичный список программы Dr.Web и
нашел там полную информацию по этому вирусу, которую и привожу
здесь для истории:
╔═══════════════╤════╤════╤════╤═════╤═══════════╤═════╤═══════════╗
║ Name │Inf.│TSR │Eff │ Len │ Infected │Inf. │File's len ║
║ │way │ │ects│( L )│ files │place│ growing ║
╠═══════════════╪════╪════╪════╪═════╪═══════════╪═════╪═══════════╣
║OneHalf.3544 │INT │MCB │ HV │3544 │.C.E&CE+boot i+e │ L * ║
╚═══════════════╧════╧════╧════╧═════╧═══════════╧═════╧═══════════╝
OneHalf.3544, OneHalf.3577
Очень опасные полиморфные файлово-загрузочные стелс-вирусы.
Используют алгоритм заражения, похожий на алгоритм Commander-
Bomber. Но помимо того, что "усеивают пятнами" своего кода (10
"пятен" по 10 байт) инфицированный файл, производят шифрование
основного тела вируса, расположенного в конце файла. При пер-
вом запуске инфицированного файла, заражают MBR "винчестера".
Оригинальный MBR и 7 секторов своего тела "прячут" в последних
секторах 0 цилиндра жесткого диска. При перезагрузке компьюте-
ра, "отрезают" от доступной DOS памяти 4K, считывают в "отре-
занную" верхнюю область памяти свое продолжение - 7 секторов,
и перехватывают INT 13h и INT 1Ch. Контролируют с помощью INT
1Ch установку DOS'овского INT 21h, и перехватывают его. При
каждой перезагрузке системы с жесткого диска последовательно,
начиная с последних цилиндров, шифруют все сектора трех ци-
линдров на каждой головке диска. Когда вирусы находятся в па-
мяти, они контролируют чтение секторов данных цилиндров и рас-
шифровывают их. Если же вирусы будут удалены из MBR и памяти,
то восстановление зашифрованных секторов окажется невозможным.
Иногда выводят на экран фразу: Dis is one half. Press any key
to continue ... После этого ожидают нажатия на любую клавишу.
После чего продолжают свою дальнейшую инсталляцию в память.
При попытке трассировки резидентной части вируса, предпринима-
ют некоторые простые, но действенные меры "завешивания" систе-
мы. Содержат текстовые строки "Did you leave the room?" или
"DidYouLeaveTheRoom?".
Вот такая вот история. Ну, недолго думая, я запустил Dr.Web на
уничтожение вируса. На это ему понадобилось минуты две. Причем, ан-
тивирус не только удалил вирус, но и уничтожил все (!) следы его
деятельности, т.е. восстановил все файлы, которые тот смог испор-
тить за время своего паразитирования на моем компьютере. А испор-
тить он успел, насколько я смог заметить, только одну игрушку - The
Incredible Machine, ту самую, которой я недавно зафанател (кстати,
я прошел ее всю, от начала и до конца). Возможно, она и была пере-
носчиком вируса. Кстати, этот вопрос надо еще изучить... А испорти-
лась она так: сама по себе она работала, но при входе в меню работы
с файлами в режиме Free Mode зависала. Причем, сначала, как только
она у меня появилась, этого не было.
Короче, из всех антивирусных средств, которые у меня имелись,
только Dr.Web помог мне избавиться от вируса, в связи с чем я поду-
мываю, не стать ли мне зарегистрированным пользователем сего заме-
чательного программного продукта.