Представьте себе безвредный, крошечный zip-файл размером в несколько килобайт, который после нажатия кнопки извлечения превращается в петабайтную или эксабайтную загрузку, приводящую к сбою системы.
Это может быть zip-бомба, декомпрессионная бомба или zip смерти.
Что такое Zip-бомба?
Это заархивированный файл с несколькими вложенными слоями или одним слоем, который при извлечении занимает гораздо больше места, чем может обработать большинство компьютеров.
Идея zip-бомбы заключается в перегрузке процессора и антивирусных программ путем распаковки или сканирования содержимого, пока в систему проникает вредоносное ПО.
Однако большинство антивирусных программ могут заглянуть в zip-файл, не извлекая его. И когда они обнаруживают несколько уровней сжатия, они помечают это как zip-бомбу и воздерживаются от ее сканирования.
Классическим примером является zip-файл .42, размер которого при сжатии составляет всего 42 кб. В нем содержится шесть слоев сжатых данных, причем первые пять слоев содержат по 16 файлов в каждом, а последний представляет собой один файл объемом 4,3 ГБ.
Однако при полной распаковке общее пространство, которое он занимает, составляет 4,5 ПБ.
1 ПБ = 1 000 000 ГБ = 1 000 ТБ.
Для контекста, объем памяти моего ноутбука составляет всего 512 ГБ или примерно 0,5 ТБ. И самый большой внешний жесткий диск, который у меня есть, составляет 1 ТБ. Технически, большинство персональных компьютеров могут выйти из строя при попытке рекурсивного открытия .42 zip. И самое смешное, что вы можете легко загрузить этот файл из Интернета (на свой страх и риск).
Однако сами по себе, в основном, такие бомбы ничего не могут сделать. Тем не менее, такие zip-файлы могут сопровождаться рекурсивными скриптами распаковки, которые могут разархивировать эти zip-файлы со смертельным исходом для выполнения злонамеренных намерений.
Типы Zip-бомб
Как и у всех вредоносных программ, zip-бомбы имеют итерации с различными эффектами и способами действия.
# 1. Рекурсивный
Они содержат много слоев, упакованных в один zip-файл. То, что мы только что обсуждали, 42.zip это рекурсивная zip-бомба.
Особым подмножеством рекурсивных zip-бомб являются zip quines. Они поднимают это на ступеньку выше с каждой операцией распаковки, копируя содержимое, превращая его в сжатый файл с бесчисленными вложенными слоями. Теоретически, вы не можете полностью извлечь zip-файлы, независимо от доступных ресурсов.
Тем не менее, рекурсивные zip-бомбы устарели, и современные антивирусные программы обучены определять их файловую структуру и избегать ее обработки.
# 2. Нерекурсивный
Дэвид Файфилд, программист, создавший этот нерекурсивный архив, называет его "лучшей zip-бомбой‘.
В отличие от своего старшего собрата, этот распаковывает все сразу, не проходя много циклов распаковки. Достигается это за счет значительно более высокой степени сжатия, чем то, что обычно наблюдается с zip-файлами.
В общем, лучшее, что может сделать любой zip-файл, - это сжать файл в 1032 раза меньше его стандартного размера. Это делается с помощью алгоритма сжатия DEFLATE. Однако Дэвид Файфилд изобрел метод, позволяющий нерекурсивным zip-бомбам взрываться более 28 миллионов раз (1 КБ ≈ 26,7 ГБ) за один раунд развертывания.
Следовательно, их сложно обнаружить, и они представляют большую опасность.
Как работают Zip-бомбы?
Как уже говорилось, zip-бомбы безопасны, если их не распаковывать. Следовательно, они опасны только в том случае, если у вас есть какая-либо программа, которая пытается автоматически распаковывать каждый загруженный вами zip-файл.
Кроме того, устаревший антивирус может не увидеть структуру файла и потратить время на сканирование недавно загруженной zip-бомбы. В таком случае система объекта может выйти из строя.
Более того, рекурсивная zip-бомба может скрывать вредоносное ПО глубоко внутри, на уровне, до которого антивирус может не сканировать.
Но это будут рекурсивные zip-бомбы.
Нерекурсивные напрямую выводят из строя системные ресурсы за один цикл извлечения, не будучи обнаруженными большинством существующих антивирусных программ.
Оставаться в безопасности от Zip-бомб
Лучший способ оставаться в безопасности - поддерживать надлежащую гигиену Интернета. Для начала, никогда ничего не загружайте с ненадежных сайтов, особенно если браузер кричит о грядущей опасности.
То же самое касается спама. Не открывайте вложения, если вы не уверены в их источнике. И если ваш почтовый провайдер, такой как Yandex, предупреждает вас об этом, попробуйте подтвердить источник, прежде чем взаимодействовать с ним.
Например, введите имя файла вложения в поисковой системе, такой как Yandex или Google, и посмотрите ответ. Большинство zip-бомб задокументированы, и вы, скорее всего, получите результаты поиска с указанием точно такого же имени файла.
Антивирус
В наше время, когда вредоносное ПО скрывается на виду, хороший антивирус - это половина дела. Есть бесплатные, но бесплатные продукты часто пытаются сделать из своего пользователя другой продукт.
Кроме того, вы используете антивирус каждый раз, когда ваш компьютер включен, даже не подозревая об этом. Поэтому лучше немного вложиться, чтобы приобрести антивирус премиум-класса. Эти платные продукты предлагают продвинутые брандмауэры, средства оптимизации системы и несколько инструментов, таких как VPN, менеджер паролей и т.д., Для обеспечения максимальной кибербезопасности.
Образование
Антивирус может спасти вас от опасных компьютерных программ, но в основном он беспомощен против социальной инженерии.
Здесь жертву обманом заставляют загрузить и разархивировать zip-бомбу, ссылаясь на то, что zip-файлы не являются вирусами. И некоторые попадают в такие ловушки и в конечном итоге устанавливают вредоносное ПО в свою систему.
Впоследствии жертва может столкнуться со шпионскими программами, программами-вымогателями, фишингом и т.д., Когда киберпреступник пытается присвоить личную информацию или нанести финансовый ущерб.
Здесь единственным спасителем является образование. Каждый должен видеть все случаи мошенничества, извлекать из них уроки и делиться ими со своими друзьями, коллегами.
Это обертка!
Zip-бомбы - это файлы, которые могут занимать весь ваш жесткий диск и даже больше и стать основным источником ресурсов, приводя к сбою системы.
И поскольку они не совсем являются вредоносными программами, идентифицировать (нерекурсивные) zip-бомбы не всегда возможно. До тех пор единственный способ защитить - это профилактика.
Этого можно достичь, ориентируясь в Интернете, используя антивирус и избегая попадания в ловушку социальной инженерии.
