А ведь почти удалось…

Провайдер веб-хостинга, которым я пользуюсь для своего блога, заставил понервничать. Двое суток мой сайт лежал. А вместе с ним лежали ещё 400 тысяч сайтов других клиентов хостера. Причиной стала хакерская атака на провайдера, в ходе которой злоумышленники, судя по всему, получили доступ к внутренней сети хостера, зашифровали все файлы, включая базы данных клиентов и их резервные копии, и стали требовать выкуп:

Вкратце тут сказано, что всё зашифровано, не пытайтесь расшифровать, иначе потеряете все данные. Предлагают для доказательства того, что они могут вернуть данные, расшифровать любые три файла на выбор.

Сначала у хостера перестала работать система обслуживания клиентов, так что пожаловаться на проблему было некуда. Затем пропала их группа в Фейсбуке. Единственным источником информации стал твиттер, в котором можно было отслеживать ситуацию, ища сообщения по тэгу с названием хостера. К концу вторых суток я, признаться, уже начал думать, что свой блог мне больше уже не увидеть. Точнее, увидеть, но без записей за последние полгода, так как я сам очень редко делаю резервные копии.

Тем не менее, надо отдать хостеру должное: они работали без устали и в конце концов смогли расшифровать все файлы. Сайт, как видите, работает. Без потерь данных. Как и сотни тысяч сайтов других клиентов хостера. Осталось поймать злоумышленников и надрать им задницы свершить над ними великое мщение.

Эта история навеяла одно старое воспоминание. Тогда, в 1995 году (четверть века назад!), мой компьютер подхватил вирус OneHalf, принесённый другом на дискете с играми. Нынешняя ситуация с хостером похожа на ту давнюю историю в том, что тот вирус тоже зашифровал файлы на компьютере. С другой стороны, он не требовал выкуп, в отличие от нынешних кибер-жуликов.

Я даже нашёл запись о том происшествии в своём, тогда ещё оффлайновом, блоге. Вот, привожу целиком, без купюр (обратите внимание: это написано в 3:34 ночи; не знаю, почему я не спал 🙂 ):

12.01.1995  Чт  3:34 - 4:12
      Ну и  ну!  Только что я обнаружил у себя на компьютере самый что
   ни на есть настоящий вирус! Нашла его программа  Dr.Web версии 1.07
   от 15.11.94 (325 вирусов), списанная мною с работы. Вирус называет-
   ся OneHalf.3544 и относится к файлово-бутовым полиморфным резидент-
   ным вирусам!  А началось все с замедления процесса загрузки машины:
   после вывода таблички с параметрами  системы  происходила  заметная
   пауза, в  течение  которой компьютер что-то бодро делал с винчесте-
   ром. Поначалу я не обратил на это особого внимания, меня это слегка
   разражало, и только.  Думал, дело, наверное, в сильной фрагментации
   файлов на системном диске и т.п. Провел полную оптимизацию размеще-
   ния файлов.  Ничего не изменилось.  Тут я слегка встревожился. Пос-
   мотрел на объем свободной оперативной памяти:  она  уменьшилась  на
   4К. Я,  уже  не на шутку встревоженный (уж больно все это похоже на
   проявления вируса), стал запускать все подряд антивирусные програм-
   мы. Для начала - aidstest (версия от 14.11.94).  Он молчит,  ничего
   не говорит,  будто воды в буфер вывода информации набрал.  Запустил
   tntvirus. Результат аналогичный. Почти успокоенный, запускаю Dr.Web
   и тут, на тебе:
         В памяти обнаружен резидентный бутовый вирус OneHalf.3544
         Main Boot Record содержит бутовый вирус OneHalf.3544
      Я так и сел.  Срочно перезагрузился с загрузочной дискеты. Прос-
   мотрел список вирусов,  обнаруживаемых программой aidstest. Там та-
   кого вируса  нет.  Заглянул в аналогичный список программы Dr.Web и
   нашел там полную информацию по  этому  вирусу,  которую  и  привожу
   здесь для истории:
  ╔═══════════════╤════╤════╤════╤═════╤═══════════╤═════╤═══════════╗
  ║      Name     │Inf.│TSR │Eff │ Len │ Infected  │Inf. │File's len ║
  ║               │way │    │ects│( L )│   files   │place│  growing  ║
  ╠═══════════════╪════╪════╪════╪═════╪═══════════╪═════╪═══════════╣
  ║OneHalf.3544   │INT │MCB │ HV │3544 │.C.E&CE+boot i+e │ L *       ║
  ╚═══════════════╧════╧════╧════╧═════╧═══════════╧═════╧═══════════╝
  OneHalf.3544, OneHalf.3577
        Очень опасные  полиморфные  файлово-загрузочные  стелс-вирусы.
        Используют алгоритм заражения,  похожий на алгоритм Commander-
        Bomber. Но помимо того, что "усеивают пятнами" своего кода (10
        "пятен" по 10 байт) инфицированный файл, производят шифрование
        основного тела вируса,  расположенного в конце файла. При пер-
        вом запуске инфицированного файла,  заражают MBR "винчестера".
        Оригинальный MBR и 7 секторов своего тела "прячут" в последних
        секторах 0 цилиндра жесткого диска. При перезагрузке компьюте-
        ра,  "отрезают" от доступной DOS памяти 4K, считывают в "отре-
        занную" верхнюю область памяти свое продолжение - 7  секторов,
        и перехватывают INT 13h и INT 1Ch.  Контролируют с помощью INT
        1Ch установку DOS'овского INT 21h,  и перехватывают  его.  При
        каждой  перезагрузке системы с жесткого диска последовательно,
        начиная с последних цилиндров,  шифруют все сектора  трех  ци-
        линдров на каждой головке диска.  Когда вирусы находятся в па-
        мяти, они контролируют чтение секторов данных цилиндров и рас-
        шифровывают их.  Если же вирусы будут удалены из MBR и памяти,
        то восстановление зашифрованных секторов окажется невозможным.
        Иногда выводят на экран фразу:  Dis is one half. Press any key
        to continue ...  После этого ожидают нажатия на любую клавишу.
        После  чего  продолжают  свою дальнейшую инсталляцию в память.
        При попытке трассировки резидентной части вируса, предпринима-
        ют некоторые простые, но действенные меры "завешивания" систе-
        мы.  Содержат текстовые строки "Did you leave the  room?"  или
        "DidYouLeaveTheRoom?".
      Вот такая вот история.  Ну,  недолго думая, я запустил Dr.Web на
   уничтожение вируса. На это ему понадобилось минуты две. Причем, ан-
   тивирус не только удалил вирус,  но и уничтожил все (!)  следы  его
   деятельности,  т.е.  восстановил все файлы, которые тот смог испор-
   тить за время своего паразитирования на моем компьютере.  А  испор-
   тить он успел, насколько я смог заметить, только одну игрушку - The
   Incredible Machine,  ту самую, которой я недавно зафанател (кстати,
   я прошел ее всю,  от начала и до конца). Возможно, она и была пере-
   носчиком вируса. Кстати, этот вопрос надо еще изучить... А испорти-
   лась она так: сама по себе она работала, но при входе в меню работы
   с файлами в режиме Free Mode зависала.  Причем, сначала, как только
   она у меня появилась, этого не было.
      Короче, из всех антивирусных средств,  которые у  меня  имелись,
   только Dr.Web помог мне избавиться от вируса, в связи с чем я поду-
   мываю, не стать ли мне зарегистрированным пользователем сего  заме-
   чательного программного продукта.
2+

А ведь почти удалось…: 9 комментариев

  1. тов.Коллега Ноябрь 18, 2019 at 13:41

    >не стать ли мне зарегистрированным пользователем сего замечательного программного продукта.
    Стал? 🙂

    • Escaper Ноябрь 18, 2019 at 13:45

      Неа. 🙂 Но я пытался. 🙂 Я, помню, звонил им с вопросом, как купить. Уже плохо помню тот разговор. Кажется, они спросили, какая я организация. Я сказал, что я частное лицо, на что они сильно удивились. 🙂 В те времена покупать антивирусы, и вообще, софт, было как-то не очень принято. 🙂 Дальше уже не помню, но в итоге я не купил. Да и на какие шиши? Я был нищим студентом, и вся стипендия уходила на пиво. ))

  2. Escaper Ноябрь 19, 2019 at 00:25

    Alexp, а ты знаешь, кто принёс мне этот вирус? 😆

    • Alexp Ноябрь 23, 2019 at 22:35

      Не знаю, но почти уверен, что SmallySad )))
      …хотя с учётом того, что в вопросе как-бы ощущается намёк, будто я к этому как-то причастен, можно было бы подумать, что это был «другой» Дима, но всё же вероятнее всего мне это просто показалось. )

    • Alexp Ноябрь 23, 2019 at 22:42

      …хотя, перечитал, написано что принёс с работы. А что, в 95м ты уже работал? ) В НИИСе? Или ещё на Московском? Тогда это мог быть старик ) или кто там тогда ещё работал?…

    • Alexp Ноябрь 23, 2019 at 22:45

      …блин, пошёл по ложному следу. Это ты антивирус с работы притащил, а не вирус. Ну я тогда не знаю… )

    • Escaper Ноябрь 24, 2019 at 16:53

      Вот запись на следующий день. Там реальные имена были написаны, заменил на никнеймы. 🙂

      13.1 Пт 17:49 — 17:58

      Сегодня пятница, 13 ! Ни каких проявлений страшных вирусов сегодня не наблюдалось.

      Выяснилось, откуда появился у меня OneHalf — от [Alexp], который дал мне пару дискет с игрушками. А ему они достались от его приятеля [K], которого [Alexp] обрадовал, сразу после моего звонка, и который сам ни о чем не подозревал. Сегодня я проверил все свои дискеты программой Dr.Web на предмет наличия файлово-бутовых вирусов. А после последнего экзамена (ЦОС, 16.1) стану зарегистрированным пользователем этого антивируса.

  3. Alexp Ноябрь 24, 2019 at 18:27

    > сразу после моего звонка
    Первая мысль, в 95-м у меня не было мобильного телефона. )))
    Ну, вообще да, у меня этот случай с вирусом как-то в памяти не зафиксировался. Насколько я помню, про IncredibleMachine, я узнал от тебя и впервые увидел её у тебя дома. Похоже, ложные воспоминания. )

    • Escaper Ноябрь 25, 2019 at 12:49

      Ложные воспоминания — серьёзная проблема! 🙂 У меня есть немало воспоминаний, иногда довольно необычных, но про которые я понятия не имею, реальные они или ложные… Причём по молодости, когда я ещё не подозревал даже про такую проблему, я иногда рассказывал про такие воспоминания людям, с которыми они связаны. Иногда на меня смотрели как на дурака. 🙂 С тех пор я не стремлюсь ими делиться. :)) Вот блог в этом помогает — то, что в нём описано, сто пудов было. 🙂 I hope…

Добавить комментарий

Войти с помощью: