30 ТБ против 31 ПБ: как выглядят крупнейшие в мире архивы вредоносного ПО

Исследовательская группа vx-underground заявила, что её архив исходных кодов вредоносного ПО достиг 30 терабайт — по собственному утверждению, это крупнейшая подобная коллекция в мире. Однако основатель сервиса VirusTotal Бернардо Кинтеро ответил, что его платформа накопила уже 31 петабайт образцов малвари, загруженных пользователями. Один петабайт примерно в тысячу раз больше терабайта — разрыв между двумя архивами оказывается астрономическим.

Оба репозитория служат не просто хранилищами: компании в сфере кибербезопасности, исследователи ИИ и аналитики угроз используют такие базы для обучения моделей обнаружения атак и изучения эволюции вредоносного кода. Чем полнее архив, тем точнее антивирусные движки и системы поведенческого анализа.

Математика на салфетке: жёсткие диски до неба

Чтобы наглядно представить масштаб, редакция TechCrunch провела простой расчёт. За основу взяли стандартный внутренний жёсткий диск формата 3,5 дюйма ёмкостью 1 ТБ и высотой 1 дюйм — именно такие диски унифицированы по размеру для установки в любой компьютер.

Архив vx-underground в 30 ТБ потребует ровно 30 дисков. Сложенные в стопку, они достигнут 30 дюймов — около 76 сантиметров, примерно по пояс среднему взрослому человеку. Скромно, но речь идёт исключительно об исходных кодах.

С VirusTotal картина принципиально иная. 31 петабайт — это 31 744 диска. Стопка из них вытянется на 2 645 футов, то есть примерно 806 метров. Для сравнения: самое высокое здание планеты, Бурдж-Халифа в Дубае, имеет высоту 2 722 фута (829 м) — башня лишь немного обгоняет воображаемую стопку дисков. Эйфелева башня высотой 1 083 фута (330 м) уступает вдвое с лишним: получается, что VirusTotal хранит данные объёмом примерно в две с половиной Эйфелевы башни.

Почему размер архива имеет значение для индустрии

Разница между двумя коллекциями объясняется их природой. vx-underground специализируется на исходных кодах — это структурированные, верифицированные материалы, которые требуют ручной работы по сбору и классификации. Такой архив ценен для глубокого анализа: по коду можно восстановить логику атаки, найти авторские «почерки» и отследить родственные семейства вредоносов.

VirusTotal работает иначе: пользователи и организации по всему миру загружают подозрительные файлы, сервис прогоняет их через десятки антивирусных движков одновременно и возвращает вердикт. Накопленные 31 ПБ — это фактически слепок реального трафика угроз за многие годы, включая дубликаты, варианты и мутации одних и тех же семейств малвари. Именно такой массив данных критичен для обучения ML-моделей: чем разнообразнее выборка, тем устойчивее детектор к новым модификациям.

Для белорусских IT-компаний и команд по информационной безопасности это не абстрактная статистика. Отечественные разработчики, работающие с антивирусными решениями или системами защиты корпоративной инфраструктуры, нередко интегрируют VirusTotal API в собственные продукты — именно этот петабайтный архив стоит за каждым запросом на проверку файла. Резиденты ПВТ, занятые в сфере кибербезопасности, по сути опираются на эту инфраструктуру ежедневно.

Отдельный вопрос — доступность подобных данных для исследований. vx-underground публично делится частью коллекции с академическим сообществом и независимыми исследователями, что делает группу заметным игроком в экосистеме threat intelligence. VirusTotal, в свою очередь, предоставляет платный доступ к расширенной аналитике через программу VirusTotal Intelligence — это уже коммерческий продукт, которым пользуются SOC-команды и государственные структуры по всему миру.

Наглядная «башня из дисков» — не просто журналистский приём. Она хорошо иллюстрирует, насколько масштабной стала индустрия киберугроз и какие ресурсы требуются для противодействия им. Когда следующий антивирус на вашем смартфоне поймает очередной троян, за этим стоят десятки петабайт накопленной истории атак.

— По материалам TechCrunch: оригинальная статья. Перевод и адаптация — редакция Digital Business.