Устранение такого вредоносного кода — очень сложная и дорогостоящая процедура: проще просто заменить компьютер.
Эксперты по безопасности весьма озабочены сообщением компании Rapid7 о создании экспериментальной версии вредоносной программы, которая может быть установлена и запущена в микрокоде процессора и от которой практически невозможно избавиться.
Программа-вымогатель внедряется не в операционную систему, обычные файлы и не заражает жесткий диск. Она размещается непосредственно в микрокоде во встроенной памяти процессора, что делает защиту традиционными антивирусами практически невозможной.
Исследователи Rapid7 использовали уязвимость, связанную с модификацией UEFI-интерфейса между операционной системой и микропрограммами, управляющими низкоуровневыми функциями оборудования, основное предназначение которого — корректная инициализация оборудования при включении системы.
В Rapid7 показали возможность установки неподписанного обновления микрокода, которое антивирусы и другие системы безопасности не смогут обнаружить или заблокировать. Это расширяет возможности вредоноса вплоть до уровня полного контроля устройством.
Теоретически, производители чипов — Intel, AMD и другие — могут помочь с восстановлением, но на практике это будет очень сложная и дорогостоящая процедура. В большинстве случаев проще просто заменить компьютер.
Тем не менее подобные вредоносные программы еще не встречалось в «диком виде»: пока представлено лишь доказательство концепции. В Rapid7, по данным The Register, не намерены выпускать соответствующего инструментария.
Эксперты считают, что подобные атаки, скорее всего, будут проводиться поддерживаемыми определенными государствами хакерами или крупными киберпреступными группами, а не рядовыми злоумышленниками. Несмотря на редкость и сложность таких атак, они советуют не пренебрегать базовыми мерами безопасности: регулярно делать резервные копии важных данных и размещать их в удаленных или облачных хранилищах. Это поможет минимизировать ущерб в случае любой кибератаки.