Власникам ноутбуків MacBook варто бути пильними та намагатися якомога рідше підключати до них пристрої через інтерфейс Thunderbolt. Інакше вони можуть заразити свою систему віросом Thunderstrike, який неможливо відстежити чи вилікувати, адже він здатний пережити повторне встановлення операційної системи чи навіть заміну жорсткого диска.
Такої живучості зловмисне ПЗ набуло завдяки тому, що воно записує себе в системну пам’ять Thunderbolt Option ROM, до якої звичайні програми не мають доступу та яка закрита криптографічним підписом. Однак вірус вміє його розшифровувати та підміняти на власний під час процедури оновлення. Після цього його вже не можна видалити повторним оновленням, оскільки через наявність зміненого підпису прошивки від Apple відмовляються інсталюватися.
Сам вірус на ноутбуці записується в головну прошивку EFI, яка відповідає за завантаження комп’ютера та ініціалізацію всіх інших підключених до нього гаджетів. За документацією EFI подібний запис вірусу неможливий, але завдяки тому, що пам’ять Option ROM завантажується раніше, зловмисне ПЗ першим отримує контроль над системою та може змінювати будь-які параметри. Він може відстежувати будь-які діїі на ПК: натиснення клавіш, паролі, відвідані веб-сайти тощо.
Поширення нового вірусу відбувається через периферію Thunderbolt, яку підключали до зараженого MacBook. При цьому, за словами експертів, на сьогодні не існує методів захисту від нього, і єдиним способом врятуватися є підключення завідомо незаражених гаджетів. Apple вже готує виправлення, яке вимкне завантаження Option ROM під час оновлення – основний спосіб поширення Thunderstrike.
Загроза від подібного вірусу нависла не лише над власниками комп’ютерів Apple. Користувачі машин PC також можуть отримати схожий «сюрприз» через USB-периферію. Вірус BadUSB заражає мікроконтролер самого USB-гаджета, тому його неможливо видалити простим форматуванням, а також виявити антивірусом. Ураженню піддається будь-яка периферія, що працює у форматі USB: клавіатури, мишки, флешки, смартфони тощо. Проте BadUSB можна видалити з ПК повторною інсталяцією ОС чи заміною жорсткого диска.