�� Ransomware из 1989.

• Первым человеком, запустившим массовую атаку шифровальщика, стал американец, исследователь СПИДа Джозеф Попп. В 1989 году он разослал участникам конференции ВОЗ 20 000 дискет. Чтобы обмануть жертв, он утверждал в сопроводительных документах, что на дискетах содержится анкета для определения риска заражения. Диск содержал AIDS Trojan, и программа шифровала файлы, при этом использовался простой симметричный шифр. С жертв Джозеф Попп требовал 189 долларов. Но обо всём по порядку...

• Поскольку в те времена Интернет был еще в зачаточном состоянии, для доставки вымогателя Попп использовал весьма оригинальный по современным меркам способ. Злоумышленник каким-то образом добыл списки почтовых адресов подписчиков конференции ВОЗ по СПИДу и журнала PC Business World, после чего высылал жертвам дискету с наклейкой «Информация по СПИД, ознакомительная дискета» и подробной инструкцией. Получателям предлагали установить программу, ответить на вопросы и получить информацию о том, как лично им минимизировать риски заражения. Лицензионное соглашение гласило, что, устанавливая программу, разработанную некоей PC Cyborg Corporation, пользователь обязуется выплатить компании 378 долларов. Но кто же воспринимает такое всерьез?

• На самом деле установщик служил для доставки зловреда на жесткий диск. Через определенное количество загрузок системы AIDS начинал действовать: он шифровал имена файлов (включая расширение) на диске C: зараженного компьютера. Имена превращались в мешанину случайных символов, так что с файлами становилось невозможно работать нормальным образом: к примеру, чтобы открыть или запустить файл, надо было для начала понять, какое у него должно быть расширение, и изменить его вручную.

• Параллельно на экран выводилось сообщение о том, что срок бесплатного использования программного обеспечения PC Cyborg Corporation истек и пользователь должен заплатить за подписку: $189 за годовую или $378 за пожизненную. Деньги следовало отправить на счет в Панаме.

• Зловред использовал симметричное шифрование, так что ключ, позволяющий восстановить файлы, содержался прямо в его коде. Поэтому решить проблему было сравнительно несложно: необходимо было достать ключ, удалить зловред и восстановить имена файлов. Уже в январе 1990 года советник редакции Virus Bulletin Джим Бейтс создал для этого программы AIDSOUT и CLEARAID.

• Сам Джозеф Попп был арестован, но суд признал его невменяемым. Что, впрочем, не помешало ему в 2000 году издать книгу «Популярная эволюция: жизненные уроки из антропологии». Можно сказать, что с этого момента и началась история вирусов-шифровальщиков, которые набирают свою популярность по сей день...

S.E. ▪️ infosec.work ▪️ VT