Я вот помню как другие вирусяки (название уже не помню), херачили разметку хардов. И по разным конторам, нихера не связанных с играми, достаточно много у кого офисные компуктеры внезапно оказались disk boot failure.
Один такой хард притащили мне мужики с одной конторы к которой имел отношение родитель. Были они в полном ахере, потому как у них на том харде были данные по многолетним исследованиям (с геологией связано), собранные разными выездными экспидициями. Что-то там было завязано на какую-то серьёзную разработку, анализ всего и результаты у них шли к завершению и предстояло вскоре выдавать результаты. А тут такое.
Вот я там с неделю экспериментов устроил, скачав (по диалапу ещё тогда, ага) и разбираясь в утилитке одной, на тот момент мало кому известной, а на этот момент уже многими давно забытой. Tiramisu называлась. Ручками там некоторые параметры приходилось подстраивать и всю поверхность диска прогонять в поисках разделов диска и частей файлов посекторно, которые утилитка собирала уже в целые файлы. Задав неподходящие параметры прогон выходил напрочь пустой. Задав слегка кривые параметры лезли разные обрывки данных не собиравшиеся в читаемые файлы. Но когда всё оказалось как нужно - всё ценное удалось извлечь.
На время всех этих моих "изысканий" мужики меня от родителя "освободили" - они сами вместо меня херачили на посадке картофана, перекопке грунта, других помогайских работах, только "занимайся, мальчик, проблемой.. не отвлекайся! иначе наши жопы порвёт начальство"..
Но вот только в процессе вытаскивания данных вирусяку я таки, оказалось, тоже извлёк. И та зараза мне хард, куда всё извлекалось, тоже положила ). Ну не было на тот момент ещё настолько распространено понимание что вирусяки могут серьёзно так вредить.
Хорошо что свои личные нужные данные на тот момент я уже бэкапил, а некоторые харды с нужным вообще лежали отдельно, снятыми. Так что поняв свой косяк свежую систему накатить времени много не заняло, а вынуть по новому данные с харда мужиков, уже имея все нужные параметры, тоже было лишь дело техники. Антивирь свежий уже тоже был наготове по вновь открывшимся обстоятельствам. Поэтому выдал всю нужную информацию "заказчикам" уже в чистом виде. Такой катарсис у мужиков был, не представляете.
Чих в другие эпизоды проскакивал, но каких-то проблем серьёзных не вызвал. Не так много в моём окружении его хватануло, а финт с переустановкой микрухи на горячую достаточно быстро очень многими юными пытливыми умами был "открыт" самостоятельно. И уже после на разных форумах вычиталось такое решение. Хардов вроде не ронял, по крайней мере в нашей местности.

Всему виной компьютерный вирус CIH, физически уничтоживший мой компьютер, когда я собирался поиграть в «Халф-Лайф».

На диске сверху — штамм первого в мире компьютерного вируса, физически наносящего вред аппаратной части компьютера. Нет, не было искр, дыма, раскуроченного, как консервная банка, системного блока. Зато физически была уничтожена микропрограмма в BIOS, из-за чего компьютер «окирпичился». Ну, а бонусом было стёрто содержимое жёсткого диска. Если со вторым (в моём случае) можно мириться — ценных данных у меня не было, — то порча BIOS — задача для ремонтной мастерской либо квалифицированного специалиста с программатором, самой микропрограммой для определённой материнской платы, временем и мотивацией ремонтировать компьютер (время — деньги). Напомню, речь идёт о временном периоде выхода первого Half-Life: это было давно, и далеко не каждый мог «прошить» BIOS в домашних условиях.

Одна из версий, почему компьютерный вирус CIH имеет название «Чернобыль», — дата его активации, 26 апреля. Объемлющая информация здесь.

Исходник, написанный на ассемблере, обнародован здесь.

❯ Заражение

Подопытный — старенький компьютер, ещё не ретро, но далеко не топ.

Аппаратная конфигурация:

• Процессор Intel Celeron с частотой 500 MHz;

• Материнская плата Acorp 6via/zx85, Socket 370Ж.

• Оперативная память, 256 Mb;

• Накопитель CF-карта, 512 Mb.

• Видеокарта ATI Rage 2+, 4 Mb видеопамяти.

Представьте себе неподготовленного, ни о чём не подозревающего человека, который включил компьютер просто поработать или поиграть. Я и есть тот самый бывший ребёнок 1998 года, с компьютером, не обременённым антивирусом. Халатность? Да! Вот и последствия.

Подведём дату к 26 апреля — дню активации — и посмотрим...

Результат воздействия вируса — полностью непригодный к использованию компьютер, «кирпич».

Физическому уничтожению данных BIOS подверглись материнские платы, не имевшие аппаратного джампера защиты от программирования BIOS. Счастливчики «с джампером» отделывались потерей данных на жёстком диске — правда, хорошего в этом тоже мало.

А это — формально-наглядное подтверждение присутствия вируса. Хотя по сломанному компьюстру можно и так понять, но мы должны знать, с чем имеем дело. Предупреждён — значит вооружён.

Современный ClamWin знает этого паразита.

SpIDer Guard «того времени» тоже справляется.

После этого чёрный экран даже после аппаратного сброса. Переходим к ремонту.

❯ Восстановление

Мы вооружены, так как в наших тепличных условиях был заготовлен бэкап прошивки BIOS.

Наконец-то я применю по назначению вот этот экстрактор.

Извлекаем ППЗУ. Оригинальная микросхема, содержащая BIOS — AE29F2008-12. Это многократно перепрограммируемое ППЗУ, с электрическим стиранием содержимого, выполненное в DIP корпусе, имеющем 32 ножки. Производитель ASD.

Оригинальный ППЗУ я оставил нетронутым, поместив на его место аналог — можно увидеть в ролике выше.

Делаем бэкап ППЗУ при помощи программатора.

С заранее подготовленным дампом всё не так уж и страшно. А ведь помню: микросхемы BIOS прошивались «на горячую». Из включённой, загруженной, исправной материнской платы изымалась «не битая» микросхема, и вставлялась целевая, чистая. При этом компьютер выступал в роли программатора. На мой взгляд, опасная затея, но метод работал, а в «наколенных» условиях ограниченного времени и бюджета — вполне обоснованный способ. Главное — результат.

Прошив заранее заготовленный бэкап BIOS обратно, включаем компьютер и видим неутешительную картину. Изображение на экране монитора появилось, но данные с жёсткого диска снесены начисто — нет ни загрузочной записи, ни операционной системы, ни самих данных. Накопитель не идентифицируется.

Результат нашего восстановления, это то, что на экране мы видим конфигурацию компьютера и можем зайти и сконфигурировать BIOS. А то ведь были в потемках. Ну, а дальше:

• fdisk, процедура разбиения накопителя;

• format c:, форматирование;

• sys c:, перенос системных файлов.

После ставим систему по новой. В компьютере домашнего применения сильнее не заморачивались, а в серьезных организациях данные поважнее железок, вот они-то пострадали. А мы возвращаем всё вспять и ставим Windows 95 (стихами заговорил).

❯ Эпилог

Даже сейчас, используя компьютер, оснащённый современным антивирусом с открытым программным кодом, использую этот CD-диск с игрой с содроганием и сомнением — а не грохнет ли вирус мои данные? Осадок остался.

Из любопытных наблюдений: CIH, он же «Чернобыль», зафиксирован на диске очень уж схожей игровой тематики. Стоит вспомнить сюжет игры «Халф-Лайф». Совпадение или тонкий троллинг CD-прожигателя — вопрос открытый, но как-то уж очень уместно ему находиться на этом диске. Возможно, просто цепь роковых случайностей.

Штамм вируса, навечно впечатанный в пластик, хранится в боксе с памятной подписью, где и когда он был приобретён. Дело было в октябре, а сработал он в апреле — замедленное действие. В тот день я не поиграл в «Халф-Лайф».

Резюмируя — делайте бэкапы и обновляйте антивирусную базу, если ваша информация вам дорога. К сожалению, вирус на шаг впереди...

На этом всё, спасибо за уделенное время.

Автор текста: MechNIX

Написано при поддержке Timeweb Cloud

Больше интересных статей и новостей в нашем блоге на Хабре и телеграм-канале