ЛК нашла опасную программу, безвозвратно стирающую данные

Александр Панасенко 07 Марта 2017 - 12:04

...

ЛК нашла опасную программу, безвозвратно стирающую данные

Компании на Ближнем Востоке и в Европе были атакованы новым сложным зловредом, уничтожающим все данные на зараженном компьютере. «Лаборатория Касперского» обнаружила программу-стиратель StoneDrill, которая не только безвозвратно удаляет данные с устройства, но также шпионит за жертвами и старательно избегает попадания на радары защитного ПО.

Своим поведением StoneDrill очень напоминает нашумевшую пять лет назад аналогичную программу Shamoon (также известную как Disttrack) – в 2012 году этот зловред парализовал работу 35 тысяч компьютеров в нефтегазовой компании на Ближнем Востоке и поставил таким образом под удар существенную долю мировой нефтепромышленности. После этого громкого случая группировка, стоявшая за Shamoon, ушла в тень. Однако в конце 2016 года она, похоже, вернулась, и, расследуя это возвращение, эксперты «Лаборатории Касперского» нашли нового игрока с новым сложным зловредом и более масштабными целями.

Обнаружить StoneDrill удалось с помощью правил детектирования целевых атак (Yara-правил), разработанных экспертами «Лаборатории Касперского» для идентификации неизвестных образцов Shamoon. И хотя StoneDrill создан «в стиле» Shamoon, между двумя программами существует большая разница.

Исследователям до сих пор неизвестно, как распространяется новый зловред, но для того чтобы остаться незаметным на зараженном устройстве, он использует две сложных антиэмуляционных техники, которые не позволяют детектировать его по поведению. Как только программа StoneDrill попадает в компьютер, она встраивается в процесс памяти того браузера, который используется на устройстве чаще всего. Сразу же после установки зловред начинает уничтожать файлы на жестком диске.

Кроме модуля, стирающего информацию, StoneDrill также содержит бэкдор для шпионажа за жертвами – эксперты «Лаборатории Касперского» обнаружили четыре сервера управления, с помощью которых злоумышленники вели слежку на зараженных устройствах.

«Мы крайне заинтригованы теми сходствами, которые мы обнаружили между различными вредоносными операциями. Проанализировав код двух программ, мы видим, что в Shamoon присутствует йеменский вариант арабского языка, а в StoneDrill превалирует персидский язык. Геополитики могли бы предположить, что за операциями стоят иранские и йеменские игроки, заинтересованные в причинении ущерба компаниям в Саудовской Аравии, где и было обнаружено большинство жертв атак StoneDrill и Shamoon. Но, разумеется, не стоит исключать возможность того, что все языковые метки в коде намеренно оставлены злоумышленниками, чтобы пустить исследователей по ложному следу. Кроме того, обнаружение StoneDrill в Европе говорит о том, что группировка имеет интересы и за пределами ближневосточного региона. И хотя атакованная европейская компания работает в нефтехимической сфере, она не имеет никаких связей с нефтяным бизнесом на Ближнем Востоке», – рассказывает Юрий Наместников, руководитель российского исследовательского центра «Лаборатории Касперского».

Следующая главная новость »

Итоги 2025 в ИБ: анализ рынка, тенденции и прогнозы в эфире AM Live. Регистрируйтесь по этой ссылке »

Екатерина Быстрова 20 Декабря 2025 - 19:05

Windows Домашние пользователи Корпорации Microsoft

В Windows 11 нашли способ включить нативный NVMe — SSD ускорились до 15%

Microsoft сделала важный шаг в сторону ускорения Windows — компания объявила, что Windows Server 2025 получит нативную поддержку NVMe-накопителей. Есть хорошая новость для обычных пользователей: поскольку архитектура Windows 11 во многом унаследована от Windows 10, энтузиасты уже нашли способ включить нативную NVMe-поддержку вручную — через правку реестра.

И, судя по первым отзывам, эффект вполне ощутимый. Пользователи, которые решились на эксперимент, сообщают о:

снижении задержек;
росте скорости чтения и записи;
приросте производительности примерно на 10–15%;
снижении нагрузки на процессор.

Кроме того, система становится устойчивее в сценариях с активной работой с диском — когда несколько приложений одновременно нагружают хранилище, Windows реже «замирает» целиком.

Впрочем, магии для всех не случилось: часть пользователей признаётся, что не заметила вообще никаких изменений после включения функции.

Исторически Windows работает со всеми накопителями через SCSI. Даже NVMe-диски в системе фактически «притворяются» SCSI-устройствами — команды NVMe просто переводятся в понятный Windows формат. Под это поведение за годы подстроились драйверы, утилиты и софт.

При переходе на нативный NVMe этот слой исчезает — и тут начинаются нюансы:

некоторые утилиты управления дисками перестают видеть NVMe-накопители;
другие, наоборот, обнаруживают их дважды;
может измениться идентификатор диска, из-за чего программы резервного копирования и другой софт теряют накопитель.

По данным Microsoft, нативная NVMe-поддержка в Windows рассчитана на 64 000 очередей, каждая из которых может обрабатывать 64 000 команд одновременно. В теории — это более 4 миллиардов операций в очереди.

Для сравнения: SCSI-протоколы ограничены 32 командами на очередь. Разница — колоссальная, особенно с учётом современных NVMe-дисков и систем с DDR5.

Если вы любите выжимать максимум из железа — попробовать можно уже сейчас, инструкции доступны. Но есть важное «но»:
перед экспериментами обязательно сделайте резервную копию системы или протестируйте всё в виртуальной среде. Правка реестра на таком уровне вполне может привести к нестабильной работе Windows.

В долгосрочной перспективе нативный NVMe, скорее всего, станет стандартом, когда разработчики начнут учитывать его в своих продуктах. А пока это история для энтузиастов, которые готовы немного рискнуть ради скорости.

Итоги 2025 в ИБ: анализ рынка, тенденции и прогнозы в эфире AM Live. Регистрируйтесь по этой ссылке »