Таинственный вирус Wiper, который в конце апреля уничтожил данные с жестких дисков нескольких сотен иранских компьютеров, построен на одной платформе с троянцами Stuxnet, Duqu, Flame и Gauss. К такому выводу пришли эксперты из «Лаборатории Касперского», которые исследовали «червя» последние 4 месяца.

Собственно, само обнаружение сложнейшего вируса Flame, четвертого члена троянского семейства, которое уже несколько лет занимается кражей конфиденциальной информации на Ближнем Востоке, стало лишь побочным результатом этого исследования.

«Мы знали о тех именах файлов, в которых существовал Wiper. И, что удивительно, эти имена файлов начинались на ~D и так далее. Дело в том, что имена файлов на ~D — это абсолютно такая же схема именования файлов, которая использовалась ранее в троянской программе Duqu, а еще чуть раньше — в печально известном черве Stuxnet, — рассказывает Александр Гостев главный антивирусный эксперт „Лаборатории Касперского“. — Довольно быстро обнаружили некое аномальное распределение файлов с такими именами на территории Ближнего Востока. И, начав смотреть на такие файлы из этого региона более внимательно, попытавшись их расшифровать, мы обнаружили в них упоминание других модулей, других блоков и других компонентов, которые впоследствии оказались Flame».

Одинаковая платформа с другими «ближневосточными» вирусами намекает на то, что и авторами Wiper является та же структура, что запустила Stuxnet, Duqu, Flame и Gauss. Чьих именно рук это дело — по-прежнему загадка. Зато совершенно очевидно, против кого направлены кибер-атаки.

О том, что Wiper атаковал Ближний Восток, стало известно 22 апреля. СМИ Ирана сообщили о странной тенденции — начали регулярно выходить из строя жесткие диски компьютеров, преимущественно — в нефтяном секторе. Именно тогда появилось предположение, что действует все-таки вирус — прежде Wiper слишком хорошо маскировался под аппаратную неисправность.

Попадая в компьютер, он начинал очень быстро и тщательно уничтожать данные жесткого диска. При этом вирус блокировал возможность выключить или перезагрузить компьютер, а за системные файлы брался в последнюю очередь. То есть, к тому времени, когда у пользователя «падал» Windows, большая часть диска уже была уничтожена.

«Винчестеры», попавшие в лаборатории «Касперского», были уничтожены в среднем на три четверти — это десятки гигабайт данных, потерянных навсегда. Информация, удаленная Wiper, восстановлению не подлежит. Ущерб исчисляется миллиардами долларов.
«От него пострадала крупнейшая иранская нефтяная компания, терминал по отгрузке, собственно, нефти на танкеры, — рассказывает Александр Гостев. — Именно эта компания оказалась наиболее крупной и значительной жертвой Wiper, и по тем оценкам, которые звучали в СМИ, ущерб мог составлять несколько миллиардов долларов, поскольку из-за Wiper им, по-моему, на неделю с лишним пришлось вообще приостановить отгрузку».

Финальным аккордом деятельности Wiper была полная самоликвидация.