image1 image2 image3 image1

Добро пожаловать

Троянцы-вымогатели

Троянцы-вымогатели (Trojan-Ransom) – вредоносное ПО, нарушающее работоспособность компьютера посредством полной или частичной блокировки операционной системы или шифрования файлов и вымогающее деньги у пользователей за его восстановление.

После заражения компьютера вредоносные программы Trojan-Ransom, в зависимости от функционала, блокируют доступ к веб-сайтам, шифруют на зараженном компьютере файлы определенных форматов или полностью блокируют доступ к системе. Мы рассмотрим основную группу троянцев-вымогателей – вредоносные программы, которые полностью блокируют доступ к системе.

Программы-блокеры: как и где

Набор стандартных действий вредоносной программы-блокера выглядит следующим образом:

1.      После попадания в систему и запуска вредоносная программа для закрепления себя в системе создает несколько своих копий (на случай если основная копия будет удалена) и прописывает эти файлы в автозагрузку.

2.      Как правило, вредоносная программа отключает диспетчер задач Windows и возможность загрузки системы в безопасном режиме. Это делается для того, чтобы усложнить пользователю борьбу с блокером.

3.      Далее начинается непосредственная «работа» вымогателя. Троянец блокирует доступ к системе, отображая поверх всех окон окно с сообщением о том, что компьютер заблокирован, и «инструкцией» для разблокировки. В «инструкции» злоумышленники под разными предлогами требуют, чтобы пользователь заплатил за коды разблокировки, и информируют его о том, каким образом он получит коды и сможет разблокировать компьютер.

Еще два года назад для «расчетов» злоумышленники использовали SMS: пользователь отправлял платное сообщение на короткий премиум-номер, а в ответном сообщении ему автоматически высылался код, который позволял разблокировать систему.

Однако использование премиум-номеров злоумышленниками привлекло внимание правоохранительных органов. В результате с середины 2010 года мошенники стали использовать счета мобильных телефонов.Отметим, что этому способствовало появление у мобильных операторов функции вывода средств со счета. Владельцам заблокированных компьютеров обещают, что код разблокировки системы они увидят на чеке, полученном после перевода денег на счет мобильного телефона злоумышленников. Конечно же, никакого кода на чеке быть не может, а вирусописатели, получив деньги, заботятся о их обналичивании, а отнюдь не о пересылке кодов.

 Таким образом, пользователь, заплатив деньги мошенникам, не получает код и не может разблокировать компьютер. С начала второго полугодия 2011, чувствуя повышенное внимание операторов сотовой связи к проблеме мошенничества, вирусописатели стали активнее использовать кошельки платежных систем WebMoney и Яндекс.Деньги.

Интересен тот факт, что мошенники, использующие кошельки системы WebMoney, в подавляющем большинстве случаев выбирают валюту Украины (гривны), и гораздо реже — российские или белорусские рубли.  

 Впрочем, для пользователей изменение системы оплаты по сути ничего не меняет: код разблокировки злоумышленники по-прежнему не высылают. Так что отправлять деньги мошенникам бесполезно.

 Последнее время создатели троянцев-вымогателей чаще всего даже не закладывают возможность разблокировки в логику работы зловредов. Более того, в обновленных версиях тех вредоносных программ, которые раньше «честно» давали пользователю возможность разблокировать компьютер, эта функция уже не предусмотрена.

 Объяснить такую тенденцию просто. Во-первых, для вирусописателей очень неудобно работать с кодами разблокировки: нужно вставлять новые коды в новые версии вредоносной программы, постоянно следить за базой соответствия телефонных номеров и кодов разблокировки. Гораздо проще собирать новые образцы, не заботясь о кодах, — просто заменяя номера мобильных телефонов/счетов для получения денег.

 Во-вторых, применение кодов разблокировки обязывает злоумышленников использовать только те способы оплаты, которые позволяют отправлять ответные сообщения пользователям (как правило, в этой схеме используются мобильные премиум-номера). Без привязки к коду разблокировки мошенники могут эксплуатировать любые удобные им способы получения денег.

 И, наконец, в-третьих, отсутствие кода разблокировки значительно усложняет жизнь антивирусным компаниям. Раньше мы просто добавляли найденные во вредоносных программах коды разблокировки на наш сервис Kaspersky Deblocker. Этот сервис предоставляет пользователям коды разблокировки, соответствующие номерам телефонов/счетов, которые используют злоумышленники, и инструкции по лечению системы. Теперь отсутствию кодов разблокировки в программах-вымогателях мы противопоставляем нашу утилиту Kaspersky Windows Unlocker. Утилита работает отдельно от зараженной операционной системы и благодаря этому способна устранять последствия заражения, удаляя файлы и ключи системного реестра, созданные вредоносной программой.

 Распространяются программы-блокеры, как правило, на сайтах, предлагающих бесплатное ПО, файлообменниках и взломанных легитимных веб-ресурсах. Зачастую пользователи сами загружают и запускают вредоносную программу, полагая, что устанавливают легитимное ПО.

 В середине третьего квартала 2011 был обнаружен новый способ распространения блокеров — через серверы игры Counter Strike 1.6. Специфика сетевой игры Counter Strike предполагает, что при подключении пользователя к серверу на его компьютер могут быть загружены любые файлы, необходимые для игры — как правило, это карты (поля битв), аудио-эффекты и т.д. Вместе с нужными игроку файлами на компьютер пользователя может попасть и вредоносное ПО. Этот способ заражения активно используется вредоносной программой Trojan-Ransom.Win32.CiDox.

 Особенно популярны троянцы-вымогатели на территории России и стран СНГ. По статистике KSN (распределенной антивирусной сети Kaspersky Security Network), во втором полугодии 2011 года продуктами «Лаборатории Касперского» было предотвращено более 5 миллионов попыток заражений компьютеров наших пользователей троянцами-вымогателями.

 

 География заражений пользователей вредоносными программами
класса Trojan-Ransom. Статистика KSN*
* Карта подготовлена без учета эвристических и проактивных детектирований

Второе полугодие 2011: какие и сколько

Представленная ниже статистика получена при помощи сервиса Kaspersky Deblocker.

Сервис Kaspersky Deblocker позволяет пользователям, чей компьютер оказался заблокирован, получить код разблокировки и инструкцию по лечению системы. Всего во втором полугодии 2011 на сервисе Deblocker было зарегистрировано 435 839 обращений.

 

Семейства вредоносных программ, блокировавших компьютеры
пользователей статистика сервиса Kaspersky Deblocker

Как видно на диаграмме, чаще всего компьютеры пользователей заражали троянцы семейств DoubleEagle, PornoAsset и Gimemo. Рассмотрим эти семейства более подробно.