Оффлайн
- Регистрация
- 25.01.17
- Сообщения
- 763
- Реакции
- 224
- Репутация
- 292
Все чаще и чаще встречаются жалобы пользователей о том, что их компьютер заблокирован вредоносной программой. Чем же обусловлен такой рост популярности семейства программ Trojan-Ransom в том виде, в котором они представлены сейчас?
Мое первое знакомство с троянцами блокирующими компьютер состоялось при разборе троянца Trojan.Win32.Restarter.b – после запуска он "менял местами" кнопки мыши и выводил свое окошко поверх остальных, постоянно перехватывая фокус ввода:
Куда же слать деньги?
Пользователю давалось несколько минут на ввод пароля. Если верный пароль не вводился, то троянец грубо перезагружал систему. Кроме того, блокировал штатное выключение системы. Автоматический запуск при следующем старте системы обеспечивался банальным добавлением ссылки на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"IceBomb"="<путь к оригинальному файлу троянца>"
В анализируемом троянце правильный код был 4242625. Расправиться с ним можно было, просто удалив файл троянца (если конечно пользователь знал, где он расположен).
Этот троянец, по сути, вовсе не вымогатель — поскольку куда слать деньги непонятно. Но сама суть действия — создание условий, при которых невозможно игнорировать работу троянца является обязательным атрибутом современных троянцев — вымогателей. Так же как и возможность (часто мнимая) восстановить работоспособность системы, не удаляя самого троянца, просто выполнив требуемое действие.
Современный Trojan-Ransom.Win32.BlueScreen.a попался мне несколько месяцев назад и блокировал систему более глобально:
Сколько же стоит такое SMS?
На этот раз было не относительно маленькое окошечко, а полноценная блокировка системы. При этом от пользователя так же требуют введение кода, но на этот раз вполне очевидно, что нужно делать, чтобы этот код получить.
Еще один пример «вымогателей», которые блокируют ОС – семейство Trojan-Dropper.Win32.Blocker. Некоторые модификации снабжены также таймером, отсчитывающим время, оставшееся у пользователя для разблокировки.
В чем же такая популярность у подобных вредоносов?
Во-первых, это прямая монетизация — злоумышленник сразу получает деньги от потерпевших. То есть не важно много зараженных машин или всего несколько — деньги можно получить даже с одного пользователя зараженного компьютера. В то же время, например, ботнет для того чтобы приносить доход своему хозяину должен разрастись до размеров, способных заинтересовать потенциальных покупателей. А на это нужно время, за которое антивирусные компании могут выпустить средства защиты от распространения угрозы.
Во-вторых, пользователь не может игнорировать факт заражения. То есть когда пользователь не может ничего сделать со своим компьютером это выглядит куда более убедительно, чем эфемерная возможность стать жертвой похищения пароля от электронной почты или ICQ. Ясно, что цели у создателей троянцев-шпионов и троянцев-вымогателей разные, но с точки зрения пользователя наличие в системе непонятного процесса или навязчивого баннера на всех страницах интернет браузера — неприятно, но вполне позволяет продолжать повседневную работу за компьютером. То есть часто даже зная, что компьютер инфицирован пользователь ничего не делает, чтобы излечить систему. И если для создателей ботнетов о таком поведении пользователя можно только мечтать, то в случае злоумышленника, промышляющего шантажом или предоставляющего услуги фальшивого антивируса такой подход — неудача.
Типичная ложная угроза от поддельного антивируса.
В-третьих, простота предлагаемого решения. Мобильные телефоны плотно вошли в нашу жизнь. Услуги, предоставляемые оператором мобильной связи или третьими лицами, довольно часто предполагают оплату по SMS. Это привычно и удобно. Не нужно ничего скачивать, не нужно отрывать виртуальный счет, не нужно переводить деньги с помощью банковской карты — прост отправьте SMS и ваша проблема будет решена. Сравните это с действием фальшивого антивируса — пользователю прямо говорят "Ваш компьютер заражен! Наш антивирус решит вашу проблему!" И тут оказывается, что такие фальшивки никогда не предоставляют пробные версии своих продуктов, а сама программа стоит полсотни долларов. Да еще и не все платежные системы подходят. Согласитесь, отправить SMS проще.
В-четвертых, чувство вины. Ни для кого не секрет, что достаточно много людей пользуется нелицензионным программным обеспечением. На этом и пытаются играть злоумышленники. Но тут все не так очевидно, ведь те, на кого рассчитаны подобные уловки могут вообще не разбираться в таких тонкостях, как лицензионность программного обеспечения, а те кто разбираются — вряд ли клюнут на эту удочку.
В-пятых, зачастую пользователи сами находят слабые места троянcких программ и пишут об этом на различных форумах. Сообщения о способах борьбы с блокирующими систему вредоносами появляется достаточно оперативно. Сначала кто-то обнаружил, что троянец не блокирует системное сообщение при многократном нажатии на клавишу "Shift". Потом выяснилось, что не блокируются так же горячие клавиши для вызова меню специальных возможностей, таких как экранная лупа. Но все эти сообщения читают и создатели зловредов. И в следующих версиях своих питомцев предусматривают уже и эти способы борьбы.
Все это привело к небывалой популярности таких SMS-вымогателей. В настоящий момент самым действенным способом противодействия таким вредоносам, если заражение уже произошло, остаются различные LiveCD и загрузочные флешки.
Мое первое знакомство с троянцами блокирующими компьютер состоялось при разборе троянца Trojan.Win32.Restarter.b – после запуска он "менял местами" кнопки мыши и выводил свое окошко поверх остальных, постоянно перехватывая фокус ввода:
Куда же слать деньги?
Пользователю давалось несколько минут на ввод пароля. Если верный пароль не вводился, то троянец грубо перезагружал систему. Кроме того, блокировал штатное выключение системы. Автоматический запуск при следующем старте системы обеспечивался банальным добавлением ссылки на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"IceBomb"="<путь к оригинальному файлу троянца>"
В анализируемом троянце правильный код был 4242625. Расправиться с ним можно было, просто удалив файл троянца (если конечно пользователь знал, где он расположен).
Этот троянец, по сути, вовсе не вымогатель — поскольку куда слать деньги непонятно. Но сама суть действия — создание условий, при которых невозможно игнорировать работу троянца является обязательным атрибутом современных троянцев — вымогателей. Так же как и возможность (часто мнимая) восстановить работоспособность системы, не удаляя самого троянца, просто выполнив требуемое действие.
Современный Trojan-Ransom.Win32.BlueScreen.a попался мне несколько месяцев назад и блокировал систему более глобально:
Сколько же стоит такое SMS?
На этот раз было не относительно маленькое окошечко, а полноценная блокировка системы. При этом от пользователя так же требуют введение кода, но на этот раз вполне очевидно, что нужно делать, чтобы этот код получить.
Еще один пример «вымогателей», которые блокируют ОС – семейство Trojan-Dropper.Win32.Blocker. Некоторые модификации снабжены также таймером, отсчитывающим время, оставшееся у пользователя для разблокировки.
В чем же такая популярность у подобных вредоносов?
Во-первых, это прямая монетизация — злоумышленник сразу получает деньги от потерпевших. То есть не важно много зараженных машин или всего несколько — деньги можно получить даже с одного пользователя зараженного компьютера. В то же время, например, ботнет для того чтобы приносить доход своему хозяину должен разрастись до размеров, способных заинтересовать потенциальных покупателей. А на это нужно время, за которое антивирусные компании могут выпустить средства защиты от распространения угрозы.
Во-вторых, пользователь не может игнорировать факт заражения. То есть когда пользователь не может ничего сделать со своим компьютером это выглядит куда более убедительно, чем эфемерная возможность стать жертвой похищения пароля от электронной почты или ICQ. Ясно, что цели у создателей троянцев-шпионов и троянцев-вымогателей разные, но с точки зрения пользователя наличие в системе непонятного процесса или навязчивого баннера на всех страницах интернет браузера — неприятно, но вполне позволяет продолжать повседневную работу за компьютером. То есть часто даже зная, что компьютер инфицирован пользователь ничего не делает, чтобы излечить систему. И если для создателей ботнетов о таком поведении пользователя можно только мечтать, то в случае злоумышленника, промышляющего шантажом или предоставляющего услуги фальшивого антивируса такой подход — неудача.
Типичная ложная угроза от поддельного антивируса.
В-третьих, простота предлагаемого решения. Мобильные телефоны плотно вошли в нашу жизнь. Услуги, предоставляемые оператором мобильной связи или третьими лицами, довольно часто предполагают оплату по SMS. Это привычно и удобно. Не нужно ничего скачивать, не нужно отрывать виртуальный счет, не нужно переводить деньги с помощью банковской карты — прост отправьте SMS и ваша проблема будет решена. Сравните это с действием фальшивого антивируса — пользователю прямо говорят "Ваш компьютер заражен! Наш антивирус решит вашу проблему!" И тут оказывается, что такие фальшивки никогда не предоставляют пробные версии своих продуктов, а сама программа стоит полсотни долларов. Да еще и не все платежные системы подходят. Согласитесь, отправить SMS проще.
В-четвертых, чувство вины. Ни для кого не секрет, что достаточно много людей пользуется нелицензионным программным обеспечением. На этом и пытаются играть злоумышленники. Но тут все не так очевидно, ведь те, на кого рассчитаны подобные уловки могут вообще не разбираться в таких тонкостях, как лицензионность программного обеспечения, а те кто разбираются — вряд ли клюнут на эту удочку.
В-пятых, зачастую пользователи сами находят слабые места троянcких программ и пишут об этом на различных форумах. Сообщения о способах борьбы с блокирующими систему вредоносами появляется достаточно оперативно. Сначала кто-то обнаружил, что троянец не блокирует системное сообщение при многократном нажатии на клавишу "Shift". Потом выяснилось, что не блокируются так же горячие клавиши для вызова меню специальных возможностей, таких как экранная лупа. Но все эти сообщения читают и создатели зловредов. И в следующих версиях своих питомцев предусматривают уже и эти способы борьбы.
Все это привело к небывалой популярности таких SMS-вымогателей. В настоящий момент самым действенным способом противодействия таким вредоносам, если заражение уже произошло, остаются различные LiveCD и загрузочные флешки.
- Регистрация
- 09.06.17
- Сообщения
- 45
- Реакции
- 2
- Репутация
- 6
Что бы такого не было, нужно - установить хотя бы базовую защиту, к примеру - Антиврус Касперского ФРЕ. И смотреть, на какие сайты заходишь!
Оффлайн
Комплектухи
Заблокирован
- Регистрация
- 09.06.17
- Сообщения
- 5
- Реакции
- 4
- Репутация
- 10
Если вирус свежий, не проходящий по базам АВ, каспер фри - его не схавает. Только коммерческий продукт, с эврестическим анализом способен предотвратить такую чухню.
Согласен, но КАФ для базовой защиты самое то будет. Можно установить КАФ и какую нибудь проактивную систему.
Оффлайн
Bibika
Заблокирован
- Регистрация
- 17.06.17
- Сообщения
- 40
- Реакции
- 4
- Репутация
- 3
У нас в городе очень развит бизнес по разблокировке компьютера. 150 рублей и блокировка будет снята.
Ну он не поможет, смотри скачаешь файлик на торенте и попадется вот такое, я как то сталкер качал, и вот такой троянчик скачался а антивир касперского был нечего не сделал.
Оффлайн
- Регистрация
- 18.08.17
- Сообщения
- 20
- Реакции
- 12
- Репутация
- 8
В таких случаях я скачиваю утилиту от dr web и проверяю компьютер, зачастую помогает!
dr web помогает от трояна?
Оффлайн
- Регистрация
- 04.09.17
- Сообщения
- 50
- Реакции
- 1
- Репутация
- 13
Спасибо неплохая тема)
Оффлайн
- Регистрация
- 06.09.17
- Сообщения
- 24
- Реакции
- 2
- Репутация
- -4
В таких случаях я скачиваю утилиту от dr web и проверяю компьютер, почти всегда помогает
В подходящее время когда вирус такой словите наверняка вы не будете проверять компьютер. Даже спустя несколько часов после заражения уже можно потерять большое количество файлов, ну или придется переустанавливать систему.
-
В данный момент Ваши права ограничены!
Авторизуйтесь или зарегистрируйтесь, чтобы стать полноценным участником форума.