Материал про вирусы и борьбу с ними в Linux-дистрибутивах стал обсуждаемым и в комментариях развернулись, подчас, нехилые словесные баталии. Появились там как здравые комментарии, так и что-то из разряда бреден городских сумасшедших (например, утверждение, что вирусов для Linux ВООБЩЕ существовать не может и антивирусники, потому, не нужны). Потому решил тему вирусов продолжить и поговорить сегодня про опасные, но интересные вирусы для Linux-дистрибутивов.
Нужен ли в Linux-дистрибутиве антивирус?
Linux.Encoder: самый первый троянский конь (2015 год)
Считается первым зарегистрированным трояном-вымогателем. Массовое распространение началось в начале ноября 2015 года. Также известен, как ELF/Filecoder.A и Trojan.Linux.Ransom.A.
Используя уязвимости на сервере проникал внутрь и зашифровывал все файлы, которые были доступны для записи при помощи алгоритмов AES и RSA. Открытый ключ находился в публичном доступе, а вот за закрытый ключ (при помощи него можно было дешифровать файлы) разработчики просили заплатить в биткоинах. Суммы вырастали постепенно и к концу 2015 года достигали уже 500 долларов США (начиналось все с 50 долларов). Что примечательно, для пользователей из России и СНГ действовал 100%-тный дисконт и прилагалось извинение от создателей. Это наводит на определенные мысли, не так-ли?
Чуть позже появились разновидности этого вируса, кроме того, возникли копии для других операционных систем (например для macOS был написан KeRanger, который действовал аналогично)
Linux.Mirai: Майнкрафт до добра не доведет (2016 год)
В мае 2016 специалисты по компьютерной безопасности выявили вредоносное ПО, которое проникало на компьютер используя открытые или незапароленные порты telnet. Вирус, получивший название Linux.Mirai поражал, в первую очередь, устройства интернета вещей с которых потом осуществлял DDos-атаки. При этом, скорость работы таких устройств практически не снижалась, потому заметить наличие Mirai было проблематично. После перезагрузки вирус пропадал, но если «вход» оставался открытым, то инфицирование происходило вновь. Жертвой Linux.Mirai стали более 600 тысяч IoT-устройств.
Примечательно, что разработчики Mirai стали известны. Ими оказались три друга (21-летний Парас Джа из Нью-Джерси, 20-летний Джозайя Уайт из Пенсильвании и 21-летний Далтон Норман из Луизианы), которые разработали вирус для того, чтобы совершать атаки на сервера конкурентов по игре Minecraft.
Эксперимент, что называется, вышел из-под контроля и скоро к ребятам «постучались в дверь» сотрудники ФБР. После поимки они активно сотрудничали со следствием, помогали бороться с другими хакерами и, в итоге, были освобождены от реального срока заключения.
Linux.NyaDrop: любители аниме атакуют (2016 год)
Дурной пример, как известно, заразителен. Успех ботнета Mirai привел к тому, что начали появляться похожие вирусы. NyaDrop появился еще в мае 2016 года, но после того, как Mirai прогремел среди хакерского сообщества, стал набирать популярность и обороты. Специалисты отмечали, что получить образец вируса для тестов крайне сложно. Разработчик NyaDrop прилагал максимум усилий, чтобы не отдавать свое творение в чужие руки. К слову, считается, что разработчик из России, а название выбрано потому, что он был любителем японских мультфильмов (ня - звук на японском, который очень похож по смыслу на русское «мяу», используется персонажами женского пола в аниме).
Linux.Ekoms: большой брат следит за тобой (2016 год)
В ноябре 2016 года все те же специалисты Dr. Web сообщили об обнаружении вируса, который после попадания в систему, создавал себе папку, куда скидывал скриншоты происходящего на экране, которые делал каждые 30 секунд. Помимо снимков, специалисты обнаружили возможность записи звуков через микрофон в формате WAV. Данные он шифровал и передавал на сервер разработчиков, которые имели возможность управлять Ekoms и отдавать ему команды на поиск других файлов, которые содержали скриншоты, аудио или видеозаписи.
Linux.BtcMine: убийца антивирусов (2018 год)
В ноябре 2018 года специалисты компании Dr. Web обнаружили вредоносную программу, которая, попав на устройство, действовало жестко и расчетливо. Во-первых, после успешной установки в систему он искал другие конкурирующие майнеры и «убивал» их процессы. Во-вторых, вирус находил работающие в системы антивирусы, останавливал их и после при помощи пакетного менеджера удалял, а папки, в которых они находились и все конфигурационные файлы подчищал. В-третьих, запускал в системе руткит, который передавал злоумышленникам информацию, вводимую пользователей (например, пароли и логины). В-четвертых, он собирал информацию о тех компьютерах, которые подключались к зараженному устройству по сети и пробовал заразить их. И, в-пятых, устанавливал в систему майнер для добычи криптовалюты Monero (XRM).
Все описанные действия осуществлял скрипт, написанный на bash и содержащий около 1000 строк. Видимо, разработчики, не впустую потратили время на написание такого количества кода.
И смех, и грех
Несмотря на интересные принципы работы описанных вирусов, нужно понимать, что создавались они отнюдь не ради веселья или забавы. Каждая из вредоносных программ была направлена на получение определенных данных о пользователе, организации через зараженное устройство атак на другие машины или вымогание денег.
В первую очередь, вирусы заражали серверные машины, но встречались случаи заражения и персональных компьютеров. Это еще раз подтверждает вывод, который мы сделали в заметке про антивирусы - само по себе использование Linux не делает ваш компьютер неуязвимым для вредоносного ПО. Защититься от него поможет отнюдь не вера в то, что на Linux вирусы не запустятся до той поры, «пока вы не введет пароль суперпользователя» (цитата одного гениального комментария). Вам помогут не стать жертвой злоумышленников соблюдение элементарных правил информационной безопасности и специальное программное обеспечение (файерволы, антивирусы и пр.).
Если понравился пост, то обязательно поставьте лайк. Также не забываем про подписку на канал и обратную связь в виде комментариев.
