Как появились вирусы-вымогатели? Джозеф Попп – самый удивительный киберпреступник.

Как появились вирусы-вымогатели? Джозеф Попп - самый удивительный киберпреступник.

Как известно, человек поехавший кукухой, способен творить удивительные вещи. Тем более, если этот человек творческий. Вангог, например, писал удивительные картины, которые мудрейшие мира сего величают искусством. Я же не очень силен в живописи и не претендую на роль картинного критика, но могу поведать Вам о искусстве, которое лично я называю искусством взлома.

Если бы у меня было всего пару минут времени и вы попросили бы рассказать о самом удивительном киберпреступнике я бы рассказал про Джозефа Поппа (Joseph Popp), человеке ставшим про отцом всех вирусов-вымогателей.

Джозефа Попп (Joseph Popp)

Информация о нем словно старательно почищена, а фотография, которую Вы видите на экране, сделана в школьные годы и является единственной в своем роде. На поиски этой фотографии у меня ушло порядком шести часов и я даже уже хотел отложить написание этой статьи, поскольку, я не смог бы смонтировать видеоролик не показав главного героя.

Но вы смотрите это видео, а это значит, что мне все же удалось это сделать. Я перерыл сотни зарубежных сайтов, на одном из которых мне удалось найти упоминание о школе где учился Джозеф Попп.

Школа называется «Eastlake North High School», зная, что американцы трепетно относятся к своим школам и очень любят создавать web сайты, посвящённые году выпуска в котором они ее окончили, я предположил, что есть маленькая вероятность того, что кто-то мог создать подобный сайт на котором была бы размещена хотя бы одна общая фотография учеников класса с подписанными фамилиями.

Смотрите видео, что бы узнать эту историю во всех подробностях.

 

В гугле я ввел запрос «Eastlake North High School Joseph Popp» и к моему удивления я нашел сайт http://www.eastlakenorth68.com/, созданный неким Троем Юреско, который содержал профили всех учеников, как живых так и умерших, закончивших эту школу в 68 году. Так вот, перейдя по ссылке в гугле, я сразу же наткнулся на страницу Джозефа Попа в разделе «In memory», кроме даты жизни и места захоронения, профиль имел долгожданную фотографию.

Забавно, этот сайт выглядит, как будто его написали в блокноте в начале 2000-х. В свое время я делал такие на коленке за день. Мне стало интересно, а когда вообще он впервые увидел свет и самое главное, есть ли на нем кто живой?

Я посмотрел возраст домена по whois и к удивлению обнаружил, что сайту чуть больше трех лет, скорее всего это ошибка подумал я. Но Первое упоминание о нем в веб архиве появилось  действительно лишь в августе 2017 года.

Возможно этот сайт и был создан в 2000-е и у Троя просто остался его бекап, который он позже перезолил на новый домен, но я не нашел упоминания об этом. Перейдя в раздел «что нового» я обнаружил трогательную картину, как оказалось, некоторые старики еще живы и время от времени общаются друг с другом.

Они поздравляют друг друга с днем рождения и оповещают о смерти своих одноклассников, после чего Трой заполняет анкету умершего в разделе «In memory». Я попытался связаться с администратором сайта через контактную форму на сайте, а так же с администратором домена, что бы получить интересующую меня информацию о Докторе Джозефе Поппе, но спустя неделю мне так никто и не ответил.

Ученый или киберпреступник?

Джозеф Поп далеко не обычный киберпреступник, он никогда не владел компьютером в совершенстве, как все герои моих рассказов. И, как говорят очевидцы тех лет, он с трудом печатал на клавиатуре, а программирование было для него за гранью фантастики.

Один мой товарищ любит говорить «физик-ядерщик может легко стать маляром, но моляр никогда не станет физиком ядерщиком». Звучит довольно сильно, но Джозеф Попп мог легко стать и тем и другим одновременно и причиной всему – раздвоение личности.

Как я уже говорил Джозеф Поп не обычный преступник и всему научному миру он известен, как биолог – эволюционист, написавший множество важных книг, одна из которых «Популярная эволюция: жизненные уроки из антропологии» получила широкое распространение в научной среде. Он с отличием окончил Гарвард и даже был членом организации «Flying doctors» , которая, в частности, занимается профилактикой СПИДа на африканском континенте.

Так что же такого натворил доктор Джозеф Попп, что заставило всех коллег по научной деятельности от него отвернуться?

1987 год Сша, штат Огайо. Джозеф, вернувшись с очередной научной конференции, посвящённой теме спида, внезапно залегает на дно, он почти не выходит на улицу и неохотно общается с друзьями по телефону. Вооружившись всевозможной литературой, он начинает изучать высокоуровневый язык Basic.

Я работаю над созданием образовательной программы, которая поможет обезопасить людей от заражения спида, говорилось в его дневнике.

И действительно программа представляла собой некое подобие викторины или теста, ответы на который сообщали пользователю, угрожает ли ему опасность заразиться СПИДом. Доктор Поп назвал ее AIDS, что с английского переводится, как СПИД. Он записал финальную версию программы на 5-ти дюймовую дискету, файл программы получил название AIDS и расширение .EXE.

Вот только Aids.exe не стал единственным файлом дискеты, через 8 месяцев на ней появился еще один под названием INSTALL.EXE. В дневнике доктора так же появилась новая заметка, которая в последствии, станет одним из главных доказательств его вины.

Я наконец-то создал абсолютное зло, и от него нет лечения, как и от вируса иммунодефицита. Правда, один из моих компьютеров теперь не пригоден к работе.

Как Вы догадались INSTALL.EXE был вредоносным файлом, а Aids.exe – наоборот, абсолютно безобидным. Что делал install.exe я расскажу немного позже.

Напомню, на дворе конец 1987 года, не было ни интернета ни электронных почтовых сервисов, а компьютер Джозефа не был подключен к сети Arpanet. Следовательно, единственным способом распространения зло вреда была запись на физический носитель в роли которого выступала 5-ти дюймовая дискета. А это значит, что поехавшего доктора впереди ожидала рутинная работа.

Но как Вы думаете, сколько дискет смог записать доктор Попп? 100 штук, 500, а может тысячу? К всеобщему удивлению он наплодил аж, 20 000 пятидюймовых дискет. На это у него ушло около года.

Ему приходилось записывать не менее 50 дискет в день, что бы уложиться в график, стоит заметить, что процесс записи в то время был не быстрым.

Когда вся партия вредоносных дискет была готова, Джозеф Попп начал разрабатывать план по их распространению. Но проблема решилась сама собой, в 1989 году доктора Поппа пригласили выступить на крупнейшей конференции «Всемирной организации здравоохранения по СПИДу». Глупо было не воспользоваться таким шансом, так как мероприятие должно было посетить десятки тысяч человек.

Распространение вируса-вымогателя Aids

В день конференции Джозеф Попп раздавал свои дискеты всем желающим, никто не мог устоять перед бесплатной образовательной программой, записанной на 5-ти дюймовой дискете, которая сама по себе стоила недёшево.

Своим коллегам Джозеф рассказывал, что получил программу от одной известной софтверной компании под названием «PC Cyborg Corporation», которая якобы по доброте душевной хочет рассказать всему миру о проблеме СПИДа.

Организаторы даже выделили столы, на которых аккуратно разместили продукцию Джозефа, что бы любой участник конференции и ее слушатель мог свободно получить диск для собственного ознакомления.

Но Джозеф знал, что никакой PC Cyborg Corporation не существует в природе, а будущих владельцев дискеты ждут большие неприятности.

После конференции люди с любопытством стали изучать новый софт, как Вы помните, на дискете было два файла install.exe и aids.exe, где первый был вирусом, а второй безобидной программой.

Согласитесь, логично было бы сначала нажать на установку, что ничего неподозревающие люди и делали. При запуске install.exe на первый взгляд ничего не происходило, следом человек открывал aids.exe и наслаждался функционалом образовательной программы.

В тоже время троян создавал на диске С скрытые каталоги, и заменял файл AUTOEXEC.BAT своей модифицированной версией при этом переименовывая ее в AUTO.BAT. Первоначально троян Джозефа явно оставался неактивным, но он подсчитывал количество запусков компьютера в фоновом режиме. Безумный доктор написал свой код таким образом, что бы его влияние на систему было заметно лишь с 90-го запуска компьютера, это дало ему время чтобы уйти от подозрения в первые месяцы после окончания масштабной конференции по СПИДу.

С 90-го запуска компьютера вредоносная программа изменила свое поведение: она запускала имена, но не содержимое, почти всех файлов на диске C: . Используя  симметричное шифрование она скрывала от пользователя все файлы кроме системных. При следующем перезапуске программа-вымогатель обманом заставляла пользователя запустить обычную среду DOS . Затем на экран выводилось следующее сообщение о том, что вам необходимо продлить лицензию, прежде чем снова использовать компьютер. Подключенные принтеры также распечатывали документ, в котором говорилось, что для получения годовой лицензии вы должны отправить 189 долларов США перечеркнутым чеком на абонентский ящик в Панаме, чтобы получить инструкции по восстановлению данных.

Тем временем люди начали массово обращаться в полицию с заявлениями о вымогательстве. Более тысячи компьютерных машин оказались зараженными. А одна итальянская фирма потеряла архив десятилетних трудов по изучению СПИДа.

Доктор Попп в тот момент находился на очередном семинаре по СПИДу в столице Кении, Найроби.

Один из коллег сказал Джозефу, что ты натворил? Тебя все ищут в США. От чего Доктор Попп стал выглядеть подавленным, он очень боялся и что-то постоянно бубнил себе под нос.

Возвращаясь с конференции в Найроби через амстердамский аэропорт, Джозеф нацарапал на чемодане другого пассажира «Доктора Поппа отравили» чем привлек внимание полиции.

При обыске багажа была обнаружена печать с надписью «PC Cyborg Corp», которую Джозеф изготовил самостоятельно незадолго до прилета в Найроби. Так же в его багаже была найдена пачка вредоносных дискет, которые по видимому доктор также  раздавал на конференции в Кении.

Полиция Амстердама не стала задерживать Джозефа, вместо этого они связались с ФБР и доложили о странном гражданине, те в свою очередь уже вели слежку за доктором и ждали его в штате Огайо в доме родителей, где его в последствии и взяли.

Зарождение индустрии вымогателей

В ожидании суда Попп стал вести себя еще чуднее. Согласно многочисленным сообщениям, он начал носить презервативы на носу, картонную коробку на голове и крутить бигуди на своей бороде, чтобы предотвратить угрозу радиации, как он сам говорил.

В ноябре 1991 года судья постановил, что он не может предстать перед судом, так он абсолютно не вменяем.

Вопреки своей болезни Джозеф продолжил вести научную деятельность, он самостоятельно опубликовал книгу под названием «Популярная эволюция» о «новой модели самопомощи», в которой утверждалось, что единственная цель человечества – «максимизировать репродуктивный успех».

Джозеф Попп умер в 2006 году в автокатастрофе, перед смертью он создал приют бабочек в северной части штата Нью-Йорк, который в 2007 году назвали в его честь.

Консерватория бабочек Джозефа Поппа Младшего существует и посей день, как и наследие которое он оставил после себя.

К сожалению речь идет не о множестве научных трудов, а о индустрии вирусов вымогателей, которые сегодня используют ровно такие же стратегии, которые когда то заложил Джозеф Попп.

Исхаков Максим

Руководитель информационного портала "Безопасник". Директор компании по продаже и установке систем безопасности.

Оцените автора
Портал о системах видеонаблюдения и безопасности
Добавить комментарий