Вам "цінний" бандероль! Або троянці з платної доставкою

Кількість звернень користувачів буквально террорізіруемих останнім часом троянськими програмами прямо пропорційно всезростаючого числа останніх. І якщо троянський кінь з безсмертної "Іліада" увійшов в історію, не зронивши ні слова, вироби вірусописьменників, навпаки, заявляють про себе "у повний голос" – наполегливо вимагають грошей за звільнення від власної компанії. Щоправда, перед цим довго "відмовчуються" … ретельно приховуючи свою присутність в системі.

Свого часу троянці Krotten, Cryzip і GpCode доставили не мало клопотів користувачам Web Money – для відновлення зашифрованих даних або відновлення нормального функціонування операційної системи вимагачі змушували своїх жертв проводити платежі з використанням "електронних" грошей. Кінець березня і початок квітня цього року стали справжнім годиною X для Trojan-Ransom-програм: у мережі під виглядом відеокодеків почалося поширення троянів, які блокують роботу комп'ютера і вимагають відправити платну смс для його розблокування. Цільова аудиторія потенційних жертв серйозно розширилася: відтепер у зоні ризику опинявся будь-який абонент стільникового зв'язку, що має вихід в інтернет.


Першою подібною програмою вважається Trojan-Ransom.Win32.SMSer, внесений в антивірусні бази "Лабораторії Касперського" 8 жовтня 2008 року. Попередньо прописавшись в реєстрі, троянець запускав диспетчер завдань і здійснював маскування його вікна – фактично нормальна робота системи була серйозно ускладнена. Своє ім'я зловредів отримав не випадково: для відновлення нормальної роботи комп'ютера творці програми пропонували користувачеві відправити смс на короткий номер – у відповідь висилає код для припинення блокування диспетчера задач.


Наступним кроком в еволюції зловмисних програм типу Trojan-Ransom була поява в листопаді минулого року Hexzone – одного з найпопулярніших сімейств троянців з описуваним функціоналом. Представники Hexzone непомітно вбудовуються в інтернет-браузер і видають на екран еротичний рекламний банер, вимагаючи відправки смс, якщо користувач не радий новим "сусідів". Аналогічним чином діють троянці з сімейства Gazon, з тією лише різницею, що шкідлива програма постає вже не банером, а являє собою окреме вікно c пікантним вмістом.


Здирники і терористи


"Хоча ці назви, звісно, умовні – скоріше для позначення відмінностей у функціоналі – подібне програмами я б розділив на два класи: здирники і терористи", – говорить Андрій Ладик, вірусний аналітик "Лабораторії Касперського ".


До першого класу можна віднести сімейства Hexzone і Gazon-в першому випадку настирливий банер знижує працездатність системи, але не блокує її повністю, "терористами" небезпідставно можна назвати троянські програми, що блокують роботу ПК і загрозливі користувачеві псуванням його даних, у випадку якщо той не відправить смс на вказаний номер (Blocker і BlueScreen).


У самому справі, незважаючи на всю умовність отриманих найменувань, названі троянці за зняття блокування вимагають самих справжніх грошей. При цьому "внутрішній курс", за яким працюють зловмисники, серйозно відрізняється від середньоринкового. При відправці смс на вказаний номер з мобільного рахунку користувача будуть зняті від 300 до 400 рублів.


За словами Ладікова, зараз найбільш активні і поширені 5 родин троянців, що мають функцію роботи з смс-кодом: HexZone, Blocker, Gazon, BlueScreen і SMSer. Крім цього існують десятки розрізнених сімейств, для зручності класифікації згрупованих під ім'ям Agent. Усього ж у "дикої природи" (in-the-wild) зустрічаються більше 1500 модифікацій даного шкідливого ПЗ.


Вас замовили


Настільки стрімке зростання числа троянських програм типу Trojan-Ransom, що спостерігається останні півроку, багато в чому може бути пояснений високою ефективністю застосовуваної зловмисниками схеми. Не секрет, що практично всі російські компанії, що надають сервсіс смс-білінгу (а таких сьогодні налічується до кількох сотень) встановлює націнки на свої послуги в середньому в межах від 40% до 60% від початкової вартості одного смс. Виходить, деяким контент-провайдерам, вигідно надавати смс-білінг авторам подібних програм. Чи так це? Керівник відділу оперативної боротьби з погрозами, Олексій Маланов ("Лабораторія Касперського"), Схильний з цим погодитися: "Троян блокує нормальну роботу комп'ютера і для її відновлення пропонує ввести пароль, який жертва отримує у відповідь на коротке повідомлення. Частина грошей за платну СМС отримує мобільний оператор, частина – контент-провайдер і зловмисники, що орендували цей номер. Чим популярнішим стає схема, тим більше вірусописьменників замислюються над її використанням. У свою чергу, це веде до збільшення кількості потерпілих ".


Антитерор


У відповідь на дедалі частіші скарги користувачів фахівці однієї антивірусної компанії випустили онлайн-утиліту, що дозволяє отримати код розблокування – для цього лише необхідно ввести у відповідне поле текст передбачуваного смс-повідомлення.


Своєчасне оновлення антивірусних баз в парі з упомянутной веб-формою отримання коду розблокування дійсно дозволяють запобігти зараженню або позбутися (у разі зараження) від настирливих цифрових вимагачів. Але лише на деякий час.


При всій своїй простоті й очевидною на перший погляд ефективності, подібний підхід, з жаль, не позбавлений деякого вади. Сторінка з онлайн-утилітою знаходиться на веб-сайті компанії-розробника, тим самим провокуючи кіберзлочинців на модифікацію троянців. Іншими словами, дія викликає протидію: у вірусописьменників з'являється стимул ще активніше займатися написанням нових, ще більш серйозних програм. Чи є вихід?


"Співробітниками нашої компанії була написана спеціальна програма, що дозволяє обчислювати код для розблокування ПК у разі його зараження троянської програмою типу Trojan-Ransom. Однак, щоб не привертати підвищеної уваги вірусописьменників, ми свідомо не публікуємо її у відкритому доступі на нашій сторінці, – говорить Андрій Ладик. – Користувачі продуктів "Лабораторії Касперського" можуть звернутися до служби технічної підтримки і, пройшовши процедуру ідентифікації, по телефону отримати код розблокування комп'ютера ".


Відоме прислів'я говорить – "дарованому коневі в зуби не дивляться". Мабуть, воно дійсно так, але тільки не це в випадку. Фахівці в галузі інформаційної безпеки радять керуватися принципом "попереджений, значить озброєний" – використовувати ефективні засоби антивірусного захисту з оновленими базами, а в складних ситуаціях – звертатися до служби технічної підтримки.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*