Таинственный вирус Wiper, который в конце апреля уничтожил данные с жестких дисков нескольких сотен иранских компьютеров, построен на одной платформе с троянцами Stuxnet, Duqu, Flame и Gauss. К такому выводу пришли эксперты из «Лаборатории Касперского», которые исследовали «червя» последние 4 месяца.

Собственно, само обнаружение сложнейшего вируса Flame, четвертого члена троянского семейства, которое уже несколько лет занимается кражей конфиденциальной информации на Ближнем Востоке, стало лишь побочным результатом этого исследования.

«Мы знали о тех именах файлов, в которых существовал Wiper. И, что удивительно, эти имена файлов начинались на ~D и так далее. Дело в том, что имена файлов на ~D — это абсолютно такая же схема именования файлов, которая использовалась ранее в троянской программе Duqu, а еще чуть раньше — в печально известном черве Stuxnet, — рассказывает Александр Гостев главный антивирусный эксперт «Лаборатории Касперского». — Довольно быстро обнаружили некое аномальное распределение файлов с такими именами на территории Ближнего Востока. И, начав смотреть на такие файлы из этого региона более внимательно, попытавшись их расшифровать, мы обнаружили в них упоминание других модулей, других блоков и других компонентов, которые впоследствии оказались Flame».

Одинаковая платформа с другими «ближневосточными» вирусами намекает на то, что и авторами Wiper является та же структура, что запустила Stuxnet, Duqu, Flame и Gauss. Чьих именно рук это дело — по-прежнему загадка. Зато совершенно очевидно, против кого направлены кибер-атаки.

О том, что Wiper атаковал Ближний Восток, стало известно 22 апреля. СМИ Ирана сообщили о странной тенденции — начали регулярно выходить из строя жесткие диски компьютеров, преимущественно — в нефтяном секторе. Именно тогда появилось предположение, что действует все-таки вирус — прежде Wiper слишком хорошо маскировался под аппаратную неисправность.

Попадая в компьютер, он начинал очень быстро и тщательно уничтожать данные жесткого диска. При этом вирус блокировал возможность выключить или перезагрузить компьютер, а за системные файлы брался в последнюю очередь. То есть, к тому времени, когда у пользователя «падал» Windows, большая часть диска уже была уничтожена.

«Винчестеры», попавшие в лаборатории «Касперского», были уничтожены в среднем на три четверти — это десятки гигабайт данных, потерянных навсегда. Информация, удаленная Wiper, восстановлению не подлежит. Ущерб исчисляется миллиардами долларов.

«От него пострадала крупнейшая иранская нефтяная компания, терминал по отгрузке, собственно, нефти на танкеры, — рассказывает Александр Гостев. — Именно эта компания оказалась наиболее крупной и значительной жертвой Wiper, и по тем оценкам, которые звучали в СМИ, ущерб мог составлять несколько миллиардов долларов, поскольку из-за Wiper им, по-моему, на неделю с лишним пришлось вообще приостановить отгрузку».

Финальным аккордом деятельности Wiper была полная самоликвидация — именно из-за нее «Лаборатории Касперского» до сих пор приходится работать лишь со следами вируса, без возможности дотянуться до исходного кода программы.

«Само тело Wiper, сами файлы, которые бы осуществляли всю эту деструктивную деятельность, мы так и не нашли. Все системы, в которых этот вирус работал, были удалены, были очищены столь высококачественно, что файлы не удалось восстановить совсем никак», — сетует Александр Гостев.

Следовательно, и уберечься от вируса пока невозможно. Хотя с тех пор, как на Wiper обратили внимание антивирусные службы, не было ни единого заражения, эксперты не исключают, что троянец может вернуться.