Каждый крупный вирус, червь или ботнет попадал в слабое место своей эпохи. И термин «вирусы» здесь собирательный. Технически Brain был вирусом, Morris Worm — червем, Zeus — банковским трояном, Mirai — ботнетом, WannaCry — шифровальщиком с червеподобным распространением. Но каждый — легенда. Разберем каждый из них.
Brain: вирус из эпохи дискет
Brain считают одним из самых ранних известных вирусов для DOS. F-Secure указывает, что он был впервые обнаружен в январе 1986 года, относит его к DOS-вирусам и описывает как загрузочный вирус.
Brain заражал загрузочный сектор дискеты: подменял его своей копией, а оригинальный сектор переносил в другое место и помечал как поврежденный. Такой механизм хорошо отражает эпоху: данные переносили физическими носителями, пользователи обменивались дискетами, а массовая антивирусная культура только формировалась.
Масштаб и ущерб. Brain не стал разрушительной эпидемией в современном смысле. Его скорость ограничивал физический обмен дискетами. В открытых технических описаниях он важен прежде всего как исторический загрузочный вирус. F-Secure до сих пор хранит его описание в базе угроз, что подчёркивает его статус для истории антивирусной индустрии.
Как обезвредили. Brain убирали классическим для загрузочных вирусов способом: проверкой носителей, восстановлением загрузочного сектора и удалением зараженного кода. В современных продуктах F-Secure такой объект помещают в карантин или удаляют автоматически в зависимости от настроек защиты.
Morris Worm: первый большой сбой раннего интернета
Morris Worm запустили 2 ноября 1988 года. За сутки он затронул около 6 тыс. компьютеров из примерно 60 тыс., подключённых к тогдашнему интернету. Эти цифры приводит ФБР.
Для современной сети 6 тыс. машин звучат скромно. Для 1988 года это была иначе — тогда насчитывали всего около 60 тысяч ПК и примерно 500 автономных сетей. Для сравнения, сегодня существует более 100 000 сетей и миллиарды подключенных устройств. Сеть тогда объединяла университеты, исследовательские центры и часть государственных структур. Один самораспространяющийся червь смог замедлить работу сразу многих узлов.
Червь работал только на определенных Unix-системах, но распространялся сразу несколькими способами: использовал уязвимость в почтовом сервисе Sendmail, ошибку в программе finger, а также подбирал пароли. Файлы он не уничтожал, но перегружал машины повторными заражениями. Из-за этого системы замедлялись почти до полной остановки, почта задерживалась на дни, а часть организаций отключала компьютеры от сети на срок до недели. Оценки ущерба расходились: от сотен тысяч долларов до нескольких миллионов.
Масштаб и ущерб. Атака затронула Калифорнийский университет в Беркли, Гарвард, Принстон, Стэнфорд, Джонс Хопкинс, НАСА, Национальная лаборатория имени Лоуренса Ливермора. Ливерморская национальная лаборатория описывает инцидент как атаку, которая забивала системы и замедляла работу военных, государственных и университетских функций почти до полной остановки. Оценку ущерба в ретроспективах обычно формулируют как «миллионы долларов», без единой точной суммы.
Как обезвредили. Автором оказался 23-летний аспирант Корнеллского университета Роберт Таппан Моррис. Он выпускал червя через компьютер MIT, пытаясь скрыть следы, но программа вышла из-под контроля из-за ошибки в механизме повторного заражения. Пока администраторы искали способ удалить червя, сам Моррис через знакомых пытался анонимно передать извинения и инструкции по очистке, но сообщение дошло до немногих: сеть уже работала с перебоями.
ФБР начало расследование, восстановило картину атаки и собрало доказательства с его компьютера. В 1989 году Моррису предъявили обвинение по Закону о компьютерном мошенничестве и злоупотреблениях 1986 года. В 1990 году суд признал его виновным — он стал первым человеком, осуждённым по этому закону. Тюрьмы он избежал: получил штраф, условный срок и 400 часов общественных работ.
Администраторы изолировали зараженные машины, останавливали процессы червя, закрывали использованные уязвимости и временно отключали части сети. Зато после Morris Worm в США оформилась потребность в координации реагирования на сетевые инциденты. ФБР называет этот случай первым крупным ударом по интернету.
Melissa: офисный документ как транспорт для заражения
Этот вирус использовал макрос Microsoft Word, затем захватывал Outlook и отправлял зараженный документ первым 50 адресам из списка контактов пользователя. Этот механизм описывает ФБР в материале к 20-летию инцидента.
В конце марта 1999 года программист Дэвид Ли Смит использовал взломанную учетную запись AOL, чтобы опубликовать в группе alt.sex заражённый Word-документ под видом файла с паролями к платным сайтам для взрослых. 26 марта вирус Melissa начал быстро расходиться по сети. После открытия документа вредоносный макрос перехватывал Microsoft Word, обращался к Outlook и рассылал копию зараженного файла первым 50 контактам из адресной книги пользователя. Письма выглядели как личные сообщения: вложения получали провокационные названия, а текст убеждал открыть файл и не показывать его другим.
Масштаб и ущерб. Вирус быстро перегружал корпоративные почтовые системы: каждое заражение порождало десятки новых писем. В справочных материалах по Melissa указывается, что это вызывало резкий рост сетевого трафика и замедление систем по всему миру.
Melissa перегрузила почтовые серверы более чем 300 компаний и госучреждений, нарушила работу около миллиона почтовых аккаунтов и местами почти остановила интернет-трафик. На очистку и восстановление систем, по оценкам, ушло около $80 млн.
Как обезвредили. Распространение Melissa удалось в основном локализовать за несколько дней: компании отключали почтовые серверы, фильтровали вложения, обновляли антивирусы и чистили заражённые машины. ФБР выпускало предупреждения и помогало координировать реакцию.
Смита нашли быстро: расследованию помогли данные AOL и совместная работа ФБР, полиции Нью-Джерси и других партнёров. Его арестовали 1 апреля 1999 года, в декабре он признал вину, а в мае 2002 года получил 20 месяцев тюрьмы и штраф $5000.
Через несколько месяцев после приговора Смиту ФБР создало национальное киберподразделение. А корпоративная почта перестала восприниматься как нейтральный транспорт: вложения начали фильтровать как полноценный канал атаки.
ILOVEYOU: когда социальная инженерия сильнее сложного кода
ILOVEYOU распространился в мае 2000 года через письма с темой «ILOVEYOU» и вложением, замаскированным под любовное письмо. Червь рассылал себя контактам из адресной книги и повреждал часть файлов на зараженной машине. Этот гибрид вируса и червя использовал уязвимости в Microsoft Outlook и Windows, что позволяло ему быстро размножаться в сетях без необходимости дальнейшего взаимодействия с пользователем.
Сила была в психологическом крючке. Письмо выглядело личным, тема вызывала любопытство, вложение обещало эмоцию. Пользователь открывал якобы личное сообщение.
Создателем ILOVEYOU считают Онела де Гусмана, бывшего студента компьютерного колледжа AMA на Филиппинах. Изначально он разрабатывал программу, которая должна была красть учётные данные для коммутируемого доступа в интернет: сам де Гусман позже объяснял это тем, что считал доступ к сети правом человека. Вредоносный код быстро вышел за рамки этой идеи. Червь рассылался через почту под видом любовного письма, заражал Windows-компьютеры, отправлял себя контактам из адресной книги и повреждал часть пользовательских файлов.
Масштаб и ущерб. ILOVEYOU называют одним из самых разрушительных эпизодов в истории вредоносного ПО: оценки указывают, что он мог затронуть около 10% компьютеров, подключённых к интернету в тот период, а совокупный ущерб часто оценивают примерно в $10 млрд. Основной ущерб связывают с трудозатратами на удаление вируса и восстановление систем.
Де Гусману не вынесли приговор: филиппинская прокуратура сняла обвинения из-за пробела в законодательстве о компьютерных преступлениях. После этого президент Джозеф Эстрада подписал закон об электронной коммерции, который должен был закрыть такую правовую дыру. Масштаб атаки сделал ILOVEYOU культурным символом раннего интернета: его вспоминали в медиа, искусстве, музыке и кино.
Как обезвредили. Организации блокировали VBS-вложения, отключали или ограничивали Windows Script Host, обновляли антивирусы и чистили зараженные машины. Часть файлов приходилось восстанавливать из резервных копий. Wired уточнял: MP3-файлы в ряде случаев не уничтожались, а скрывались; JPEG и HTML-файлы могли быть перезаписаны и терялись без бэкапа.
Серверный червь Code Red
Code Red атаковал серверы Microsoft IIS в 2001 году. CAIDA зафиксировала, что 19 июля 2001 года версия Code Red v2 заразила более 359 тыс. компьютеров менее чем за 14 часов. На пике заражалось свыше 2 тыс. новых хостов в минуту.
Для начала 2000-х это было беспрецедентно: так быстро серверная уязвимость превратилась в глобальную проблему. Атака шла автоматически, без участия пользователей, а уязвимые IIS-серверы были разбросаны по всему интернету.
Масштаб и ущерб. Исследователи UC San Diego и CAIDA оценивали стоимость эпидемии Code Red, включая последующие штаммы, более чем в $2,6 млрд. Основная масса заражений пришлась на США — около 43% всех зафиксированных машин. Ещё 11% находились в Корее, 5% — в Китае и 4% — на Тайване. По доменным зонам заметнее всего пострадали .NET и .COM: на .NET приходилось 19% заражённых систем, на .COM — 14%, на .EDU — 2%. Исследователи также зафиксировали заражения в чувствительных сегментах: 136 машин в зоне .MIL и 213 машин в зоне .GOV. Доли были небольшими — 0,04% и 0,05%, но сам факт заражений в военных и государственных доменах показал, что даже критичные организации не успевали закрывать известные уязвимости вовремя.
Как обезвредили. Основной способ остановки — установка патча Microsoft для IIS, перезагрузка зараженных серверов, фильтрация вредоносных запросов и проверка систем на следы компрометации. Code Red стал аргументом за дисциплину обновлений: публичный сервер без патча автоматический червь находил быстрее, чем администратор успевал вручную реагировать.
SQL Slammer: десять минут на большинство уязвимых хостов
SQL Slammer, также известный как Sapphire, стал одним из самых быстрых компьютерных червей в истории. Он начал распространяться 25 января 2003 года незадолго до 05:30 UTC и атаковал серверы Microsoft SQL Server и MSDE 2000 через уязвимость переполнения буфера. Эту ошибку обнаружили еще в июле 2002 года, Microsoft заранее выпустила исправление, но многие системы к январю 2003-го оставались без патча.
Slammer не содержал отдельной разрушительной нагрузки: он не стирал файлы и не шифровал данные. Ущерб возник из-за скорости и объема сетевого трафика. Червь выбирал случайные IP-адреса, искал уязвимые серверы и засыпал сеть запросами, из-за чего каналы связи забивались, отдельные площадки теряли доступность, а часть сетей фактически ложилась под нагрузкой.
Масштаб и ущерб. CAIDA указывает, что червь удваивал зараженную популяцию каждые 8,5 секунды. Через три минуты червь вышел на скорость более 55 млн сканирований в секунду, а за первые 10 минут заразил более 90% уязвимых хостов. Всего пострадали не менее 75 тыс. машин, вероятно — значительно больше.
Как обезвредили. Последствия вышли за пределы ИТ-отделов: фиксировались перебои у интернет-провайдеров, сбои банкоматов, отмены авиарейсов и проблемы в работе отдельных государственных систем. Slammer стал реальным доказательством того, что высокоскоростной червь способен нанести серьёзный вред даже без функции удаления данных. Его останавливали установкой патча для SQL Server и MSDE 2000, фильтрацией UDP-трафика на порт 1434, отключением уязвимых серверов от внешней сети и срочной сегментацией инфраструктуры. Инцидент стал классическим аргументом за автоматизированное управление обновлениями.
Mydoom: почтовый червь
Mydoom появился в 2004 году и стал одним из самых известных почтовых червей. Microsoft описывает Win32/Mydoom как семейство массово рассылаемых червей, которые распространялись через электронную почту; часть вариантов также использовала одноранговые сети.
Ключевая деталь Mydoom — функция бэкдора. Зараженная система могла принимать удаленные команды, а этот доступ затем использовали для установки другого вредоносного ПО или дальнейших атак. Microsoft описывает Mydoom как бэкдор-троян внутри семейства массовых почтовых червей.
Масштаб и ущерб. Wired писал в январе 2004 года, что Mydoom быстро забивал сети тысячами зараженных писем и оставлял пораженные Windows-компьютеры уязвимыми для удаленного управления. Популярные оценки ущерба Mydoom часто очень высокие, но точные суммы неизвестны. Примерные расчеты обычно включают простой почты, очистку рабочих станций, перегрузку сетей и последствия DDoS-активности.
Как обезвредили. Mydoom останавливали почтовыми фильтрами, блокировкой подозрительных вложений, обновлением антивирусов, удалением червя и закрытием бэкдора. Для организаций важной мерой стала фильтрация исполняемых вложений и контроль исходящего почтового трафика: зараженный компьютер часто выдавал себя массовой рассылкой.
Conficker: как старые уязвимости живут годами
Conficker впервые обнаружили в октябре 2008 года. MITRE ATT&CK описывает его как червя для Windows, который использовал уязвимость MS08-067.
Conficker стал культовым из-за живучести. Он использовал сетевую уязвимость, съемные носители, слабые пароли и механизмы автозапуска. Даже после выхода исправлений заражения продолжали встречаться там, где инфраструктура обновлялась медленно или плохо инвентаризировалась.
Масштаб и ущерб. MITRE фиксирует долгий хвост угрозы: вариант Conficker в 2016 году попал на компьютеры и съемные носители, связанные с атомной электростанцией. Так старый червь оставался актуальным спустя годы после первого обнаружения.
Как обезвредили. Против Conficker работали сразу несколько уровней защиты: установка MS08-067, средства удаления, отключение автозапуска со съемных носителей, смена слабых паролей и восстановление служб обновления.
Stuxnet: вредоносный код пришёл в промышленный контур
Stuxnet обнаружили в 2010 году. Он стал рубежом для индустрии, потому что был рассчитан на промышленные системы. Досье Symantec/Broadcom описывает, как Stuxnet искал компьютеры с Siemens Step 7, менял код на программируемых логических контроллерах и скрывал эти изменения от операторов.
ENISA описывает Stuxnet как специализированное вредоносное ПО для SCADA-систем с Siemens SIMATIC WinCC и Step 7, то есть для промышленной визуализации и управления процессами.
Масштаб и ущерб. Точный ущерб публично оценить сложно: Stuxnet известен вмешательством в промышленные процессы.
Как обезвредили. Обезвреживание Stuxnet требовало не только удаления вредоносного кода с Windows-машин. Нужен был аудит инженерных станций, проектов Step 7 и программируемых контроллеров, установка обновлений Windows и Siemens, контроль USB-носителей, изоляция инженерных сетей и мониторинг изменений в логике PLC.
Mirai: ботнет из камер, роутеров и видеорегистраторов
Минюст США описывает Mirai как ботнет, который заражал IoT-устройства и превращал их в ботов для DDoS-атак. В октябре 2016 года вариант ботнета Mirai стал причиной одной из самых заметных DDoS-атак ранней эпохи массового интернета вещей. В сентябре–октябре группа злоумышленников создала ботнет на базе Mirai: он заражал подключенные к сети камеры, видеорегистраторы и другие IoT-устройства, превращая их в управляемых «ботов».
Атака показала, что дешевые сетевые устройства с плохой защитой могут стать оружием против крупной интернет-инфраструктуры. DDoS устроен просто: злоумышленник направляет огромный поток запросов на сервер или сеть жертвы, перегружает их и мешает нормальной работе. В случае Mirai этот поток шел с множества зараженных устройств интернета вещей.
Масштаб и ущерб. Самый известный эпизод — атака на DNS-провайдера Dyn, а также Sony и SNHU21 октября 2016 года. Dyn сообщала о вредоносных запросах с десятков миллионов IP-адресов; сбои затронули доступ к крупным сервисам, включая Sony PlayStation Network. Wired писал о перебоях у Netflix, Twitter, Spotify и Южного университета Нью-Гэмпшира, а также о том, что производитель Hangzhou Xiongmai Technology объявил отзыв 4,3 млн подключённых камер после атаки.
Sony оценила свои потери примерно в $2,7 млн чистой выручки. Расследование вело ФБР при помощи Национального агентства по борьбе с преступностью и полиции Северной Ирландии. Один из участников, бывший несовершеннолетним на момент преступления, признал вину в закрытом заседании, поэтому его имя не раскрывали по американскому законодательству о несовершеннолетних правонарушителях.
Как обезвредили. Зараженное устройство часто очищалось перезагрузкой, но могло снова заразиться, если владелец не менял заводской пароль и не закрывал уязвимые сервисы. Исследования по защите IoT-устройств от Mirai показывают, что базовые меры включают смену стандартных учетных данных, отключение лишних сервисов, обновление прошивок и контроль сетевого сканирования.
WannaCry: шифровальщик, который ударил по организациям по всему миру
WannaCry появился в мае 2017 года и атаковал Windows-системы. CISA описывает его как шифровальщик для Microsoft Windows и указывает, что кампания использовала критическую уязвимость Windows SMB; Microsoft выпустила обновление MS17-010 14 марта 2017 года. WannaCry стал символом массового шифровальщика с червеподобным распространением.
Масштаб и ущерб. Согласно многочисленным сообщениям из открытых источников, масштабная кампания по распространению программ-вымогателей затронула различные организации, сообщается о десятках тысяч заражений в более чем 150 странах, включая США, Великобританию, Испанию, Россию, Тайвань, Францию и Японию. Программное обеспечение может работать на 27 различных языках.
Один из самых известных кейсов — британская система здравоохранения NHS. Национальное аудиторское управление Великобритании выпустило отдельный отчет о влиянии атаки на медицинские услуги, пациентов и реакцию ведомств. NAO отдельно называло WannaCry крупнейшей кибератакой против NHS в Англии.
Последнюю версию этого варианта программы-вымогателя, известная как WannaCry, WCry или Wanna Decryptor, обнаружил утром 12 мая 2017 года независимый исследователь безопасности. Программа быстро распространилась в течение нескольких часов, причем первые сообщения появились около 4:00 утра по восточному времени 12 мая 2017 года. Согласно сообщениям из открытых источников, запрашиваемый выкуп составлял 0,1781 биткоина, что примерно составляет 300 долларов США.
Как обезвредили. Распространение WannaCry резко замедлил «аварийный выключатель»: регистрация домена, к которому обращался вредоносный код. Но это не вылечило уже зараженные системы. Полная защита требовала установки MS17-010, изоляции зараженных машин, восстановления из резервных копий и закрытия уязвимости SMB. CISA также указывала на необходимость обновления систем, включая старые версии Windows, для которых Microsoft выпустила внеочередные патчи.
Zeus и GameOver Zeus: вредоносное ПО стало криминальной платформой
Zeus — один из самых известных банковских троянов. GameOver Zeus стал более устойчивой версией этой модели. CISA описывает GameOver Zeus как P2P-вариант семейства Zeus, созданный для кражи банковских учетных данных и использующий децентрализованную инфраструктуру зараженных компьютеров и серверов для управления.
С зараженной машины можно было красть логины, перехватывать операции, ставить новые модули, подключать устройство к ботнету и продавать доступ.
Масштаб и ущерб. ФБР писало, что GameOver Zeus связывали с кражей миллионов долларов у компаний и частных пользователей в США и других странах. Минюст США в 2014 году описывал GameOver Zeus как глобальную сеть зараженных компьютеров, которую киберпреступники использовали для хищения миллионов долларов у бизнеса и пользователей.
Как обезвредили. GameOver Zeus подавляли через международную операцию. 2 июня 2014 года Минюст США и ФБР объявили многонациональные действия против ботнета и связанной инфраструктуры CryptoLocker. Целью было нарушить связь зараженных компьютеров с управляющей сетью. Из-за P2P-архитектуры полностью «выключить» такой ботнет сложнее, чем сеть с одним центром управления: CISA подчеркивала, что GOZ использовал децентрализованную инфраструктуру.
Что в итоге
Зачем мы подняли этот архив киберстрашилок? Просто это база признаков, по которым сегодня распознают новые атаки. Старые инциденты дали индустрии готовые сценарии: резкое размножение по сети, злоупотребление доверенными вложениями, эксплуатация давно закрытой уязвимости, заражение устройств без нормального управления, кража учетных данных через легитимные пользовательские сессии. Именно такие паттерны лежат в основе современной аналитики угроз: ENISA в обзоре Threat Landscape 2024 строит картину рисков на разборе тысяч публично известных инцидентов и выделяет среди главных угроз атаки на доступность, шифровальщики и угрозы данным.
CISA ведет каталог Known Exploited Vulnerabilities как источник уязвимостей, уже использованных злоумышленниками в реальных атаках, и рекомендует организациям приоритизировать их устранение для снижения риска компрометации.
Современные исследования идут дальше и пытаются превратить уроки прошлых атак в измеримую систему приоритетов. Работа 2025 года по Vulnerability Management Chaining предлагает объединять данные о реальной эксплуатации, прогнозные модели и техническую оценку уязвимостей; авторы заявляют, что такая связка в эксперименте на 28 377 уязвимостях дала 14–18-кратный выигрыш в эффективности при сохранении более 85% покрытия реально эксплуатируемых угроз.
