Вам «ценная» бандероль! Или троянцы с платной доставкой
Количество обращений пользователей буквально терроризируемых в последнее время троянскими программами прямо пропорционально всевозрастающему числу последних. И если троянский конь из бессмертной «Иллиады» вошел в историю, не проронив ни слова, поделки вирусописателей, напротив, заявляют о себе «в полный голос» - настойчиво требуют денег за избавление от собственной компании. Правда, перед этим долго «отмалчиваются»…тщательно скрывая свое присутствие в системе.
В свое время троянцы Krotten, Cryzip и GpCode доставили не мало хлопот пользователям Web Money – для восстановления зашифрованных данных или возобновления нормального функционирования операционной системы вымогатели заставляли своих жертв проводить платежи с использованием «электронных» денег. Конец марта и начало апреля этого года стали настоящим часом X для Trojan-Ransom-программ: в сети под видом видеокодеков началось распространение троянов, блокирующих работу компьютера и требующих отправить платную смс для его разблокировки. Целевая аудитория потенциальных жертв серьезно расширилась: отныне в зоне риска оказывался любой абонент сотовой связи, имеющий выход в интернет.
Первой подобной программой считается Trojan-Ransom.Win32.SMSer, внесенный в антивирусные базы «Лаборатории Касперского» 8 октября 2008 года. Предварительно прописавшись в реестре, троянец запускал диспетчер задач и осуществлял маскировку его окна - фактически нормальная работа системы была серьезно затруднена. Свое имя зловред получил не случайно: для восстановления нормальной работы компьютера создатели программы предлагали пользователю отправить смс на короткий номер – в ответ высылался код для прекращения блокировки диспетчера задач.
Следующим шагом в эволюции вредоносного ПО типа Trojan-Ransom было появление в ноябре прошлого года Hexzone – одного из самых популярных семейств троянцев с описываемым функционалом. Представители Hexzone незаметно встраиваются в интернет-браузер и выдают на экран эротический рекламный баннер, требуя отправки смс, если пользователь не рад новым «соседям». Аналогичным образом действуют троянцы из семейства Gazon, с той лишь разницей, что зловредная программа предстает уже не баннером, а представляет собой отдельное окно c пикантным содержимым.
Вымогатели и террористы
«Хотя эти названия, конечно, условные – скорее для обозначения различий в функционале - подобное ПО я бы разделил на два класса: вымогатели и террористы», - говорит Андрей Ладиков, вирусный аналитик «Лаборатории Касперского».
К первому классу можно отнести семейства Hexzone и Gazon– в первом случае назойливый баннер снижает работоспособность системы, но не блокирует ее полностью, «террористами» небезосновательно можно назвать троянские программы, блокирующие работу ПК и угрожающие пользователю порчей его данных, в случае если тот не отправит смс на указанный номер (Blocker и BlueScreen).
В самом деле, несмотря на всю условность полученных наименований, названные троянцы за снятие блокировки требуют самых настоящих денег. При этом «внутренний курс», по которому работают злоумышленники, серьезно отличается от среднерыночного. При отправке смс на указанный номер с мобильного счета пользователя будут сняты от 300 до 400 рублей.
По словам Ладикова, сейчас наиболее активны и распространены 5 семейств троянцев, имеющих функцию работы с смс-кодом: HexZone, Blocker, Gazon, BlueScreen и SMSer. Помимо этого существуют десятки разрозненных семейств, для удобства классификации сгруппированных под именем Agent. Всего же в «дикой природе» (in-the-wild) встречаются более 1500 модификаций данного вредоносного ПО.
Вас заказали
Столь стремительный рост числа троянских программ типа Trojan-Ransom, наблюдающийся последние полгода, во многом может быть объяснен высокой эффективностью применяемой злоумышленниками схемы. Не секрет, что практически все российские компании, предоставляющие сервсис смс-билинга (а таких сегодня насчитывается до нескольких сотен) устанавливает наценки на свои услуги в среднем в пределах от 40% до 60% от первоначальной стоимости одного смс. Выходит, некоторым контент-провайдерам, выгодно предоставлять смс-билинг авторам подобных программ. Так ли это? Руководитель отдела оперативной борьбы с угрозами, Алексей Маланов («Лаборатория Касперского»), склонен с этим согласиться: «Троян блокирует нормальную работу компьютера и для ее восстановления предлагает ввести пароль, который жертва получает в ответ на короткое сообщение. Часть денег за платную СМС получает мобильный оператор, часть – контент-провайдер и злоумышленники, арендовавшие этот номер. Чем популярнее становится схема, тем больше вирусописателей задумываются над ее использованием. В свою очередь, это ведет к увеличению количества потерпевших».
Антитеррор
В ответ на участившиеся жалобы пользователей специалисты одной антивирусной компании выпустили онлайн-утилиту, позволяющую получить код разблокировки – для этого лишь необходимо ввести в соответствующее поле текст предполагаемого смс-сообщения.
Своевременное обновление антивирусных баз в паре с упомянутной веб-формой получения кода разблокировки действительно позволяют предотвратить заражение или избавиться (в случае заражения) от настырных цифровых вымогателей. Но лишь на некоторое время.
При всей своей простоте и очевидной на первый взгляд эффективности, подобный подход, с сожалению, не лишен некоторого изъяна. Страница с онлайн-утилитой находится на веб-сайте компании-разработчика, тем самым провоцируя киберпреступников на модификацию троянцев. Иными словами, действие вызывает противодействие: у вирусописателей появляется стимул еще активнее заниматься написанием новых, еще более серьезных программ. Есть ли выход?
«Сотрудниками нашей компании была написана специальная программа, позволяющая вычислять код для разблокировки ПК в случае его заражения троянской программой типа Trojan-Ransom. Однако чтобы не привлекать повышенного внимания вирусописателей, мы сознательно не публикуем ее в открытом доступе на нашей странице, - говорит Андрей Ладиков. – Пользователи продуктов «Лаборатории Касперского» могут обратиться в службу технической поддержки и, пройдя процедуру идентификации, по телефону получить код разблокировки компьютера».
Известная пословица гласит - «даренному коню в зубы не смотрят». Пожалуй, оно действительно так, но только не этом в случае. Специалисты в области информационной безопасности советуют руководствоваться принципом «предупрежден, значит вооружен» - использовать эффективные средства антивирусной защиты с обновленными базами, а в сложных ситуациях - обращаться в службу технической поддержки.
Источник: правила интернет безопасности от Лаборатории Касперского
