image1 image2 image3 image1

Добро пожаловать

Trojan-Ransom.Win32.DoubleEagle

С начала весны 2011 года, в течение нескольких месяцев на рынке программ-вымогателей доминировали три семейства Trojan-Ransom.Win32: PornoAsset, Gimemo и Timer. Остальные семейства Trojan-Ransom значительно уступали указанным выше по числу заражений и, соответственно, количеству обращений пользователей на сервис Deblocker. Однако в августе ситуация изменилась — появилось новое семейство Trojan-Ransom.Win32.DoubleEagle, которое за месяц поднялось на первое место, уверенно подвинув предыдущего лидера. Это семейство до сих пор продолжает лидировать, хотя в четвертом квартале на сервисе Deblocker стало уменьшаться количество запросов пользователей, чьи компьютеры были заражены такими вредоносными программами. Описание типичного представителя этого семейства можно найтиздесь .

Первая модификация данного зловреда – Trojan-Ransom.Win32.DoubleEagle.a — была обнаружена 9.08.2011. При заражении компьютера на мониторе пользователя появляется такое окно: 

 

Мошенники требуют, чтобы пользователь положил 500 рублей на счет мобильного номера телефона в качестве штрафа — якобы за просмотр «видеоматериалов, содержащих сцены насилия над несовершеннолетними детьми». Код разблокировки якобы будет на чеке. Однако в DoubleEagle возможность разблокировки компьютера не заложена технически.

Из-за двух гербов, использованных мошенниками при оформлении окна, семейству и было дано название DoubleEagle – «двойной орел». Впоследствии внешний вид окна, открываемого вредоносной программой, изменился, но название осталось. Сейчас окно Trojan-Ransom.Win32.DoubleEagle выглядит так:

 

Во второй половине третьего квартала активность этого семейства нарастала, иногда вызывая кратковременные эпидемии, в четвертом квартале количество запросов пошло на спад.