Как мошенники делают деньги: блокировщики windows.


блокировщики windowsЗдравствуйте, дорогие друзья!
В этом заметке мы с вами рассмотрим такую интересную тему как, блокировщики windows из категории угроз для операционной системы Windows. Я сам неоднократно сталкивался с данными блокираторами, вот и решил выложить данную тему в этой заметке. Вообщем читайте, будет очень интересно!

С конца 2009 года пользователи Рунета столкнулись с новой проблемой — блокировщиками Windows. Вообще-то вредоносные программы типа Ransomware (программы-вымогатели) возникли еще во времена MS-DOS. Однако в таких масштабах и с такой наглостью никогда раньше не применялись.

В отличие от прочих вредоносных программ Ransomware не пытается скрыться — напротив, после установки демонстративно оповещает пользователя о своем присутствии и препятствует нормальной работе, требуя в обмен на доступ к зараженному компьютеру выполнения каких-либо действий (не всегда речь идет о денежном переводе). Самые яркие представители данного типа вредоносных программ — Trojan.WinLock и Trojan.Encoder. В отличие от эры MS-DOS, теперь для «обхода» блокировщика недостаточно просто загрузиться с дискетки.

Блокировщики Windows. Эволюция блокировщиков.

В техническом отношении блокировщики Windows представляют собой весьма простые, зачастую откровенно безграмотно написанные программы, реализованные в одной из распространенных сред программирования на языке высокого уровня (чаще всего Delphi, иногда MS Visual С). Трояны проникают в ОС Windows, прописываются в один из ключей автозагрузки в реестре и блокируют работу системы. Первые представители Trojan.WinLock противодействовали попыткам своего удаления довольно простым способом: все сводилось к постоянной перерисовке блокирующего окна и переустановке на него фокуса ввода. Этого было достаточно, чтобы затруднить остановку троянской программы средствами операционной системы. Однако даже реализация столь простых возможностей вызывала у горе-разработчиков серьезные трудности, и блокировщики зачастую оказывались попросту неработоспособны. При этом не использовалось никаких (кроме разве что самых примитивных) средств противодействия анализу программного кода.

Как правило, код блокировщика был закрыт каким-либо криптором (утилита для упаковки, шифрования и «запутывания» кода готового исполняемого файла с целью предотвратить его анализ и реконструкцию исходного кода) — разумеется, приобретенным на стороне. Крипторы — достаточно сложные программы, требующие совершенно другого уровня технической подготовки, нежели у изготовителей Trojan.Winlock. Такие блокировщики легко сносились даже вручную, без применения антивирусного ПО. Инструкции по их удалению появились на множестве тематических форумов. Анализ сводился к извлечению зашитого в теле программы кода разблокировки и занимал в среднем 10-15 минут. Полученные коды вместе с идентификационными данными троянов (текст, изображение и т.д.) были размещены в соответствующих разделах сайтов ведущих производителей антивирусного ПО, например, сайт Лаборатории Касперского. В ответ авторы Trojan.WinLock принялись усложнять свое творение.


Новые блокировщики Windows «научились» корректно работать с оконной подсистемой Windows. Так, вирусописатели решили проблему с бесконечными циклами, в которых перерисовывалось окно. Некоторые трояны стали препятствовать запуску Windows Task Manager и прочих распространенных программ (например, Far Manager), позволяющих просматривать и корректировать список запущенных процессов. Другие держали в памяти несколько копий своего процесса, восстанавливавших друг друга по мере удаления. Усложнилось использование оконного API, посредством которого осуществлялось взаимодействие с пользователем. Изменились и способы внедрения в систему. Ранние разработки оставляли возможность удаления при загрузке в режиме защиты от сбоев. Следующее поколение троянов использовало для запуска после перезагрузки новые ключи реестра и прочие приемы, обеспечивавшие запуск вне зависимости от режима загрузки ОС.

В дальнейшем блокировщики начали перехватывать все сообщения с устройств ввода (мыши и клавиатуры), увеличивать свое окно. Некоторые вовсе отказывались от использования оконного API, напрямую манипулируя оконными сообщениями Windows и данными в памяти, что делало действительно невозможным удаление процесса трояна вручную. Идея была доведена до абсурда: Trojan.MBRLock.1 блокировал компьютер жертвы непосредственно из загрузочной записи до запуска операционной системы. Впрочем, оставалась возможность загрузки с Boot CD с антивирусом и последующего удаления трояна.

Отдельно стоит упомянуть о способах проверки кода разблокировки. Первые трояны семейства Trojan.Winlock использовали для этого системные функции сравнения строк, что сводило извлечение кода к тривиальному перехвату подобных функций. Новые стали сравнивать строки собственными процедурами, иногда по довольно запутанному алгоритму. Некоторые, впрочем, и вовсе не предусматривали функций разблокировки.

Еще одним новшеством стало использование генераторов пар «реквизиты платежа — код разблокировки». Данные, необходимые для проведения платежа вымогателям, генерировались динамически и отправлялись пользователю, одновременно генерировался код разблокировки. Эквивалентный алгоритм работал на сервере злоумышленников. При получении уведомления о проведенном платеже жертве сообщался код разблокировки, соответствующий реквизитам платежа. При этом работа вирусных аналитиков по извлечению кодов сводилась к анализу (иногда довольно трудоемкому) и реконструкции генераторов таких пар, которые затем размещались на сайтах антивирусных компаний вместе с уже известными кодами разблокировки. Пик распространения таких троянов пришелся на весну-лето 2010 года.

Социальная политика.

Сообщения, выводимые на блокирующих окнах Trojan.Winlock, заслуживают отдельного внимания и о многом говорят. Трояны используют крайне примитивные методы социальной инженерии, рассчитанные на совершенно неподготовленного, дремучего пользователя. Например, его пытаются убедить в необходимости платной активации какого-либо программного обеспечения (операционной системы или антивируса). Чаще трояны пытаются уличить жертву в использовании пиратского ПО, в пристрастии к порнографии, в нетрадиционной сексуальной ориентации вплоть до педофилии и т.п. Как правило, текст сопровождается красочными иллюстрациями. Особенно удручающее впечатление производит громадное количество грубейших орфографических ошибок.

Расчет злоумышленников очевиден: они предполагают, что неосведомленный человек, увидев такое блокирущее окно, к специалистам не пойдет. Впервые столкнувшийся с блокировщиком пользователь предпочтет заплатить злоумышленникам, вместо того чтобы объяснять посторонним людям пути проникновения трояна на его компьютер. Встречались и иные методы «убеждения» жертв. Например, зафиксировано немногочисленное семейство блокировщиков, которые извлекали данные с электронных досок объявлений, содержавших просьбы о финансовой поддержке нуждающихся в медицинской или иной помощи. При этом текст объявления копировался с сайта без изменений, но подставлялись платежные реквизиты злоумышленников.

Как мошенники делают деньги.

Первые блокировщики Windows почти всегда требовали отправить платное SMS на указанный мобильный номер. Не приходится удивляться тому, что стоимость подобного сообщения оказывалась в десятки раз выше заявленной. Как правило, использовался какой-либо короткий номер телефона, взятый в аренду у оператора сотовой связи. Такая схема получения прибыли стимулировалась не только простотой проведения платежа, но и отсутствием юридической возможности противостоять действиям агрегаторов.

блокировщики windowsФальшивое уведомление о необходимости активации

Со временем — фактически благодаря усилиям разработчиков Trojan.Winlock — была создана правовая база, регулирующая денежные отношения в данной сфере и определяющая степень контроля со стороны правоохранительных органов. В настоящее время блокировщики, использующие платные SMS, почти не встречаются.

блокировщики windowsТакие сообщения появляются после посещения сомнительных ресурсов

блокировщики windowsИспользование имени известного ресурса

Вместо этого трояны предлагают зачислить некоторую денежную сумму (как правило, не сколько сотен рублей) на счет мобильного номера злоумышленников через терминалы экспресс-оплаты. При этом сообщается, что код разблокировки будет выведен на чеке, выданном терминалом. Однако до сих пор не предъявлено ни одного подобного чека…

Способы распространения Trojan.Winlock.

Рассылка троянов семейства Trojan.Winlock происходит по каналам, традиционным для всякого вредоносного ПО. Речь, прежде всего, идет о сайтах — взломанных или специально созданных. Многие трояны распространяются под видом пиратского программного обеспечения. Значительная часть Trojan.Winlock 2010 года маскировалась под флэш- и медиапроигрыватели — таким образом, неопытный пользователь по собственной воле инсталлировал вредоносную программу на свой компьютер.

Одним из новых каналов проникновения являются социальные сети. В конце января 2011 года было зафиксировано распространение Trojan.WinLock через популярный сервис ЖЖ (LiveJournal). Пользователь сервиса получал комментарий с темой «Немного о насущном в оффтоп» с незначительными вариациями. Комментарии содержали изображение со ссылкой на сайт фотохостинга, откуда пользователя перенаправляли на ресурс с порнографическим содержанием. А затем предлагалось скачать ЕХЕ-файл, содержавший Trojan.Winlock.

Заключение

Несмотря на актуальность угрозы, Trojan.Winlock является очень примитивной программой. Главные причины ее широкого распространения — недостаточная защищенность ОС Windows (основного ареала обитания трояна) и невнимательность либо некомпетентность пользователей, оказывающихся жертвами вымогателей. Применение лицензионного антивирусного ПО, регулярное обновление операционной системы и элементарная осторожность позволяют избежать этой и многих других угроз.

На этом все! Надеюсь, что вы нашли в этой заметке что-то полезное и интересное для себя. Если у вас имеются какие-то мысли или соображения по этому поводу, то, пожалуйста, высказывайте их в своих комментариях. До встречи в следующих заметках! Удачи! 😎




Вам понравилось? Поделитесь со своими друзьями в социальных сетях, нажав по этим кнопкам!

0
This entry was posted in Безопасность, Компьютеры, Полезное, Программы and tagged , . Bookmark the permalink.

13 Responses to Как мошенники делают деньги: блокировщики windows.

  1. Георгий says:

    Спасибо Ильдар.Было интересно больше узнать о всех «Вредителях» в среде информации Интернета.Мне это было полезно и познавательно.

  2. Лилия П. says:

    Интересно.

  3. Игорь says:

    Спасибо Ильдар за интересную статью. Несколько раз подхвачивал этот троян. Приходилось переустанавливать «Винду».

  4. Юрий says:

    Мне нужны точные инстрыкции,что бы ее слить на флешку и отксерить.А то мне пришлось ВИНДУ переставлять.

  5. Андрей says:

    Чтобы не подцепить подобную заразу, нужно попросту быть внимательным. Поскольку троян-программа, то и установочный файл имеет расширение-.exe Если файл например, имеет вид картинки и у него формат подобного вида «картинка.jpg.exe», то не спешите на него нажимать-с огромной вероятностью получите на свой комп «подарок» в виде подобного блокировщика или еще какого-нибудь вируса. Либо файл может иметь двойное расширение .mp3.exe -то же самое. Будьте внимательны и не спешите запускать на исполнение файлы с расширением .ехе , если вы не знаете, что это за программа.

  6. kenaryaka says:

    Четыре раза сталкивался с серьёзными вирусами-блокировщиками. Всё время выходил победителем. Сразу скажу что архив единственная ваша надежда. Два последних раза вирус-установщик программ блокировал и антивирус и восстановление из архива. только Винда с родного установочного диска находит этот архив. Чужие установочные диски не работают. Переустанавливаю Винду и безвозвратно удаляю папку Виндовс-олд. Ещё раз переустанавливаю и включаю поиск архива, восстанавливаю образ диска и пользовательские файлы.Через час после атаки Комп чист как будто ничего и не происходило. Я сам не программист. И такой относительно простой способ всегда на 100 процентов работает. Как установил семёрку 2,5 года назад так она и работает.

    • А ведь ты прав! Я тоже в последние 2-3 года регулярно делаю резервную копию своего системного диска. Возможно это самая лучшая таблетка от всех вирусов. Просто восстановил и проблем нет.

      • Игорь says:

        На счет архивов…
        Можно настроить винду так чтобы все пользовательские данные сохранялись не на диск С:
        В этом случае можно просто полностью заменять содержимое системного диска на чистый архив, быстро и надежно, 15 минут и гарантированная чистота.
        Я раньше пользовался Akronis, но сейчас у меня лептоп ACER и с ним я получил фирменную программку для восстановления.

  7. Игорь says:

    Я чегой то не понял автора: — зачем анализировать код вируса? Не проще ли найти откуда он запускается?
    У меня (сплюнул через левое плечо) пока не разу такая зараза не проявлялась, но у моего знакомого было. Он просто загрузился диском реаниматором и просмотрел загрузочные записи (не из винды). Нашел, вырезал лишнюю строку, запустил винду и тогда окончательно разыскал и удалил паразита везде где он успел свои копии создать.
    Он так до сих пор и не знает что это было…

  8. Аэлита says:

    Здравствуйте! Вы сможете помочь? Касперский выдает, что заблокирован переход по вредоносной веб-странице. Как можно удалить ее, или убрать в карантин(вроде как реклама)? Спасибо

    • Ильдар Мухутдинов says:

      Ничего не надо удалять. Касперский же уже заблокировал переход к вредоносной веб-странице!

      • Аэлита says:

        Поняла. Но постоянно выскакивает это предупреждение и со звуком, раздражает. Этот момент как-то можно отрегулировать?

        • Ильдар Мухутдинов says:

          Надо покопаться в настройках Касперского, добавьте в исключения или же в карантин. Возможно это вообще ложное срабатывание. На всякий случай проверьте весь компьютер целиком.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *


*