Вирус-вымогатель

Источник материала:

Сообщения наподобие «ВАШ КОМПЬЮТЕР ЗАБЛОКИРОВАН, ДЛЯ СНЯТИЯ БЛОКИРОВКИ НЕОБХОДИМО ЗАПЛАТИТЬ ШТРАФ В РАЗМЕРЕ N-ГО КОЛИЧЕСТВА РУБЛЕЙ С ПЕРЕВОДОМ ИХ НА ЭЛЕКТРОННЫЙ КОШЕЛЕК ИЛИ АБОНЕНТСКИЙ НОМЕР» потенциальные жертвы сетевых аферистов начали получать около семи лет назад.

Тогда правоохранители установили, что блокировка операционной системы – дело рук распространителей вируса-вымогателя типа Troyan.Winlock. Поймать злоумышленников было невозможно из-за явной их удаленности. Самостоятельная разблокировка компьютера не требовала особой подготовки, а потому совет был один – не платить мошенникам.

Trojan.Winlock (Винлокер) — семейство вредоносных программ, блокирующих или затрудняющих работу с операционной системой и требующих перечисление денег злоумышленникам за восстановление работоспособности компьютера, частный случай Ransomware (программ-вымогателей). Впервые появились в конце 2007 года. Широкое распространение вирусы-вымогатели получили зимой 2009-2010 годов, по некоторым данным оказались заражены миллионы компьютеров, преимущественно среди пользователей русскоязычного интернета. Второй всплеск активности такого вредоносного ПО пришелся на май 2010 года.

Пути распространения Trojan.Winlock и подобных вирусов разнообразны, в значительной части случаев инфицирование происходит через уязвимости браузеров при просмотре зараженных сайтов либо при использовании мошенниками специальных «связок», позволяющих заражать только необходимые компьютеры также через браузер. Помимо этого заражение может произойти во время запуска программ, маскирующихся под инсталлятор какой-нибудь добросовестной программы или самораспаковывающиеся архивы. При этом в «лицензионном соглашении» (которое рядовой пользователь редко читает) оговаривается, что пользователь согласен установить на компьютер приложение «рекламного характера», которое он обязан просмотреть определенное количество раз, либо отказаться от просмотра, отправив SMS. Число требуемых просмотров обычно идет на тысячи, поэтому пользователи предпочитают отправлять SMS злоумышленнику.

Вид «интерфейса» троянов очень красочен и разнообразен. Но в большинстве своем их объединяет либо схожесть со стандартными меню Windows, либо наличие порнографического материала (фото, гораздо реже анимации и видео, используя возможности Adobe Flash), а также окно для ввода кода разблокировки. Есть разновидности, очень похожие на «синий экран смерти» или стандартное окно приветствия Windows. Также нередки случаи, когда они маскируются под антивирусную программу (например, Антивирус Касперского).

Trojan.Winlock условно можно разделить на 3 типа, в зависимости от того, насколько они затрудняют работу для пользователя:

1 тип – это баннеры или порноинформеры, появляющиеся только в окне браузера. Наиболее легко удаляемый тип. Обычно они выдают себя за дополнительные плагины или надстройки для браузера.

2 тип – это баннеры, которые остаются на рабочем столе после закрытия браузера и при этом закрывают большую его часть. Но у пользователей обычно остается возможность открывать другие программы, в том числе диспетчер задач и редактор реестра.

3 тип – это тип баннеров, который загружается после полной загрузки рабочего стола Windows. Они закрывают практически весь рабочий стол, блокируют запуск диспетчера задач, редактора реестра, а также загрузку в безопасном режиме. Некоторые разновидности полностью блокируют клавиатуру, предоставляя пользователю лишь цифровые клавиши из своего «интерфейса», и рабочую мышь для ввода кода.

Ransomware (от англ. ransom – выкуп и software – программное обеспечение) – вредоносное программное обеспечение, предназначенное для вымогательства.

В настоящий момент существует несколько кардинально отличающихся подходов в работе программ-вымогателей:

• шифрование файлов в системе;
• блокировка или помеха работе в системе;
• блокировка или помеха работе в браузерах.

Шифрование файлов в системе

После установки на компьютер жертвы, программа зашифровывает большую часть рабочих файлов (например, все файлы с распространенными расширениями). При этом компьютер остается работоспособным, но все файлы пользователя оказываются недоступными. Инструкцию и пароль для расшифровки файлов злоумышленник обещает прислать за деньги.

К таким программам-мошенникам относятся:

Trojan-Ransom.Win32.Cryzip

Trojan-Ransom.Win32.Gpcode

Trojan-Ransom.Win32.Rector

Trojan-Ransom.Win32.Xorist

Блокировка или помеха работе в системы

После установки Trojan.Winlock\LockScreen на компьютер жертвы, программа блокирует компьютер с помощью специальных функций и записывается в автозагрузку. При этом на экране пользователь видит требование отправить платное СМС или пополнить чей-либо счёт. Причём трояны этого типа часто даже не проверяют поле ввода пароля. При этом компьютер остаётся в полностью рабочем состоянии. Часто присутствует угроза уничтожения всех данных, но это всего лишь попытка запугать пользователя. Иногда в вирус все же включают инструменты уничтожения данных, но они обычно не срабатывают должным образом.

Иногда удается избавиться от вируса, воспользовавшись формами разблокировки на антивирусных сайтах или специальными программами.

Спустя некоторое Troyan.Winlock видоизменился и начал «работать» якобы от имени правоохранительных органов. Теперь после блокировки операционной системы перед глазами пользователя появлялось сообщение якобы из Министерства внутренних дел Беларуси о том, что за просмотр и копирование материалов, содержащих элементы педофилии, насилия и гей-порно необходимо заплатить Br1 млн либо 100 деноминированных рублей.

Примеры:

Вирусы-вымогатели регулярно пугают белорусов штрафами и преследованиями со стороны правоохранительных органов. Схема известна многим, однако это не останавливает особенно доверчивых граждан от походов в милицию с «повинной».

Подобный вирус также работает и на мобильных устройствах под управлением ОС Android.

При получении подобных сообщений и блокировки компьютера ОРПСВТ КМ УВД Гомельского облисполкома советует сообщать об этом в территориальные органы внутренних дел для установления лица, совершившего данные действия и ни в коем случае не перечислять деньги.

Согласно законодательству, за разработку, использование либо распространение вредоносных программ предусмотрено наказание до двух лет лишения свободы (ст. 354 УК Республики Беларусь), а за мошеннические действия – вплоть до десяти лет лишения свободы с конфискацией имущества (ст. 209 УК Республики Беларусь).

Способы борьбы

В первую очередь стоит сказать об общих правилах «личной информационной гигиены»:

• наличие на компьютере антивируса со свежими базами
• проверка антивирусом всех новых программ перед первым запуском
• запуск подозрительных программ в виртуальной среде («безопасная среда», «песочница»), если антивирус предоставляет такую возможность
• резервное копирование важных файлов

Способы защиты от вредоносных программ

Абсолютной защиты от вредоносных программ не существует, но с помощью некоторых мер можно существенно снизить риск заражения вредоносными программами. Ниже перечислены основные и наиболее эффективные меры для повышения безопасности:

• использовать операционные системы, не дающие изменять важные файлы без ведома пользователя;
• своевременно устанавливать обновления;
• помимо антивирусных продуктов, использующих сигнатурные методы поиска вредоносных программ, использовать программное обеспечение, обеспечивающее проактивную защиту от угроз (необходимость использования проактивной защиты обуславливается тем, что сигнатурный антивирус не замечает новые угрозы, еще не внесенные в антивирусные базы). Однако его использование требует от пользователя большого опыта и знаний;
• постоянно работать на персональном компьютере исключительно под правами пользователя, а не администратора, что не позволит большинству вредоносных программ инсталлироваться на персональном компьютере и изменить системные настройки. Но это не защитит персональные данные от вредоносных (Trojan-Clicker, Trojan-DDoS, Trojan-Downloader, ransomware — «шифрующий файлы», шпионского ПО) и потенциально-нежелательных программ (Adware, Hoax), имеющих доступ к файлам пользователя, к которым ограниченная учетная запись имеет разрешение на запись и чтение (например, домашний каталог — подкаталоги /home в GNU/Linux, Documents and Settings в Windows XP, папка «Пользователи» в Windows 7), к любым папкам, в которые разрешена запись и чтение файлов, или интерфейсу пользователя (как делают пользовательские программы для создания снимков экрана или изменения раскладки клавиатуры);
• ограничить физический доступ к компьютеру посторонних лиц;
• использовать внешние носители информации только от проверенных источников на рабочем компьютере;
• не открывать компьютерные файлы, полученные от ненадежных источников, на рабочем компьютере;
• использовать межсетевой экран (аппаратный или программный), контролирующий выход в сеть интернет с персонального компьютера на основании политик, которые устанавливает сам пользователь;
• использовать второй компьютер (не для работы) для запуска программ из малонадежных источников, на котором нет ценной информации, представляющей интерес для третьих лиц;
• делать резервное копирование важной информации на внешние носители и отключать их от компьютера (вредоносное ПО может шифровать или еще как-нибудь портить найденные им файлы).

А. Кошман, вриод начальника Октябрьского РОВД.