Компьютерные вирусы-блокираторы, пик расцвета которых пришелся на начало-середину 2010 года, до сих не хотят “отлипнуть” от пользовательских компьютеров. Это и понятно – далеко не все пользователи Сети знают о том, что антивирус и firewall – это обязательное ПО, которые надо ставить на свои машины при подключении к сети Интернет. Попадая на компьютер с помощь спама (всевозможные ссылочки на файлы с порнухой, бесплатными программами и т.д. мы получаем регулярно – многие на них “ведутся”), такие вирусы “укореняются” в системе (чаще всего – в Windows) и устраивают пользователям “веселый тарарам” с блокировкой работы на компьютере. Одна из крайних целей для атаки такими “блокираторами” – абоненты фиксированного ШПД компании “Ростелеком”. Не успел “Мегателеком” объединится, как его бренд был использован кибермошенниками.
Схема атаки
Проблема заражения компьютеров вирусами существует также давно, с момента зарождения компьютерных технологий. И для решения подобных сложностей уже наработан вполне внушительный арсенал защитного ПО. Однако, в случае с вирусами Trojan.Winlock мошенники используют схему “на стыке” весьма непрозрачного рынка микроплатежей по SMS, где обмен и мошенничества весьма развиты, и компьютерных вирусов.
Вредоносные программы семейства Trojan.Winlock распространяются через уязвимости в ОС Windows, вредоносные сайты (скачиваемые кодеки), эксплойты iframe, а также ботнеты (владельцы ботнета продают установку какой-либо вредоносной программы на зараженном компьютере). Кроме того, большинство пользователей устанавливает подобные вирусы себе на компьютер своими руками — атаки, использующие уязвимости Internet Explorer существуют, но не так велики: все это “закрывается” более-менее вменяемым брандмауэрами. Другое дело, когда пользователь ПК, к примеру, скачивает файл видеокодеков, электронных книг, аудиофайлов и т. п., под видом которых скрывается не детектирующийся exe-файл. Такой файл запускается, после чего пользователь получает предупреждение об опасности от антивирусного ПО. Но он-то уверен, что устанавливает проверенный софт, поэтому игнорирует предупреждение антивируса. Соответственно, заражение системы состоялось. Вдобавок подобные программы-вирусы часто маскируются под бесплатные антивирусные утилиты, а ссылки на сайты-хранилища распространяются путем взлома IM-систем.
Интересно, что подобные вирусы имеют различную архитектуру – но большая часть подобного ПО живет на машине пользователя до тех пор, пока не будет удалена лечащими утилитами или антивирусным продуктом: мало кто реагирует на “код деактивации”. Мешать такое ПО какое-то время не будет, но потом проявится вновь.
Прибыль на обмане
Разумеется, вирусописатели – не благотворительная организация, им главное получить от пользователя хотя бы небольшую компенсацию своих усилий. Проще всего работать на большой аудитории – по принципу “с каждого по копейке, им будет не так обидно” 🙂 Если бы у Рунете были распространены пластиковые карточки, то блокираторы “призывали” бы пользователей платить им с помощью PayPal 🙂 Но у нас больше шансов получить платеж с помощь премиальных SMS. При этом, самое интересное состоит в том, что операторы сотовой связи сами дают возможность злоумышленникам монетизировать свои усилия. Делается это с помощью двух основных вариантов. Первый, что называется, “в лоб” – когда пользователю предлагается отправить SMS на короткий номер, получить в ответ некоторый код, который и стоит ввести в специальну строчку блокирующего окна, которое открыто у него на компьютере. При такой схеме списание денег бывает однократным – обычно 150-300 руб. со счета, причем эти деньги переводятся на счет того или иного контент-провайдера, который, оставляя часть оператору связи и себе, остаток “сливает” на счет того или иного субагента, где все обналичивается с помощью систем электронной наличности. То есть тупо “выводится в нал” не смотря на значительные комиссионные потери. Всем от этого хорошо – особенно участникам цепочки, ведь комиссию ни не отдадут ни при каких обстоятельствах вне зависимости от того, насколько лигитимным был платеж 🙂 Системы эти продолжают действовать даже не смотря на вроде бы глобальные штрафы, которым операторы связи “забивают” контент-провайдеров – я так полагаю, если бы они делали это на самом деле, то такие схемы бы давно прекратили свое существование.
Второй вариант состоит в том, что пользователю также предлагается отправить запрос на короткий номер (или ввести свой номер телефона в строку окна-блокиратора), после чего ничего не случается. То есть сначала никаких списаний нет с лицевого счета абонента. Но вот потом начинаются “сюрпризы” – со счета постепенно пропадают суммы в районе 500-600 руб. в месяц (списание по неделям). Оказывается, пользователя подписали на платные рассылки, которые транслируют абоненту всевозможную “муть” от прогноза погоды до курса валют – главное, чтобы формально что-то рассылалось. Тот факт, что всю эту информацию можно найти в Сети совершенно бесплатно никого не волнует – подписался абонент на инфоканал и отлично, пусть платит.
Бывает и третий вариант монетизации, но им занимаются уж совсем наивные вирусописатели. Они предлагают абонентам отправить SMS с мобильным переводом на конкретный сотовый номер. “Пo зaвepшeнию oплaты, Baм бyдeт выдaн кoд paзблoкиpoвки кoтopый нeoбxoдимo ввecти в фopмy pacпoлoжeннyю нижe”, обещают они. Или предлагают для пополнения счета погуляться к любому терминалу оплаты, где и перевести деньги. “Пocлe oплaты, нa выдaннoм тepминaлoм чeкe oплaты, Bы нaйдeтe кoд, кoтopый нeoбxoдимo ввecти в пoлe, pacпoлoжeннoe нижe”. Слушайте, кто пишет все эти инструкции? От них же явно веет глупостью и “наивняком”. И ведь на них ловятся! Понятное дело, что сотовый номер приобретен на фальшивые данные (а то и вовсе без заполнения таковых), и деньги, которые туда придут, будут мгновенно “распылены” по другим счетам или выведены (опять с огромным дисконтом) в игровые валюты. Или их используют в качестве валюты для оплаты вирутальных товаров и услуг: такие семы отработаны давно. По сравнению с двумя предыдущими способами этот позволяет получить деньги практически сразу и с минимальной комиссией, но “выбить” такой номер можно очень быстро даже для не самого продвинутого абонента сотовой связи.
Что делать и как бороться?
Если вы столкнулись с блокиратором, запомните – даже отправка сообщения на короткий номер не гарантирует того, что все заработает. Скорее будет наоборот – SMSку вы отправите, деньги спишут, а… ничего не заработает. Поскольку “обратной связи” у вирусописателя и его блокиратора (в роли которого выступают троянцы типа Trojan-Ransom.Win32.Timer, Trojan- Ransom.Win32.MBro и т.д.) никакой нет. То есть блокиратор может забирать данные о новых кодах и коротких номерах, которые надо “порекомендовать” пользователю удаленно с ресурса вирусописателя в момент своей активации (если компьютер пользователя подключен к Сети), но никакого более взаимодействия просто не предполагается. Вирус для его создателя выступает просто в качестве “виртрины”, которая затрудняет пользователю работу на компьютере, и вымогает деньги за свое удаление. Правда, получив деньги, никто не торопится самоудаляться по той простой причине, что этой функции у программы просто нет 🙂
Таким образом, если вы “словили” блокиратор, то есть только два действия, которые необходимо предпринять. Первый и основной – зафиксируйте все особенности такого “блокиратора”: хотя бы с помощью фотоаппарата уточните какой код и на какой номер предлагается отправить. Отправьте все эти данные своему оператору связи – меры против мошенников будут приняты достаточно быстро. В случае с МТС все инструкции можно посмотреть вот здесь , а для обращений использовать почту 911@mts.ru У “МегаФон” есть даже специальная почтовая форма для отправки сообщений – ее можно найти вот здесь. У “ВымпелКом” тоже есть раздел по поводу мобильных мошенников , но никакой почты там не предлагается – стоит звонить по номеру саппорта 0611. Если вы пользователь твиттера, то все можно решить гораздо быстрее – достаточно отправить сообщение для аккаундов @mts_rus @beeline_rus или @megafonhelp и ситуацию будут разбирать достаточно оперативно.
Второе действие, которое необходимо сделать – это полечить свой компьютер. За прошедшие полтора года все антивирусные компании, которые работают на российском рынке, накопили достаточно большой опыт “общения” с такими зловредами. Для них это, в хорошем смысле слова, стало глобальным социальным проектом – с одной стороны, они действительно помогают пользователям избавится от вирусов-блокираторов, с другой – активизируют свои продажи. В принципе – правильно. Антивирус должен быть надежным и, на мой взгляд, платным – тогда есть смысл в его использовании. Самый разветвленный раздел о вирусах- блокираторах можно найти на веб-сайте “Лаборатории Касперского” – здесь можно найти как ПО для защиты (т.н. Деблогер), так и целый раздел с кодами доступа для удаления баннеров с рабочего стола. В качестве поддержки имеет смысл почитать и специальный форум о том, как удалять вирусы-блокираторы . Весьма качественный раздел на эту тему есть и у разработчиков Doctor Web – особенно мне понравилась флеш-заставка на разделе . Внизу справа можно найти код разблокировки по фотографии картинки блокиратора, которые уже известны борцам с компьютерными “зловредами”. Здесь же можно загрузить лечащую утилиту Dr.Web CureIt! – разумеется, это бесплатно. Есть свой раздел по борьбе с блокираторами и у Eset , только он то работает, то нет. Надеюсь, у вас по этой ссылке что-то все-таки обнаружится. со временем 🙂
Ну и я бы рекомендовал еще одно действие – обращение в МВД, точнее в полицию. Как мы понимаем, действия автора (авторов) троянца содержат в себе признаки составов двух преступлений с единым умыслом. Это преступление, предусмотренное ст. 273 Уголовного кодекса РФ (Создание, использование и распространение вредоносных программ для ЭВМ), а также ст. 163 Уголовного кодекса РФ (Вымогательство). Кроме того, если в ответ не пришла «спасительная утилита» для разблокировки, к первым двум составам добавляется третий – ст. 165 Уголовного кодекса РФ (Причинение имущественного ущерба путем обмана или злоупотребления доверием). Правда, для того, чтобы привлечь авторов такого вируса к ответственности, нужен процессуальный повод – заявление о преступлении от самого обычного гражданина. О том, что этот конкретный вирус принес ему ущерб. Подать такое заявление в полицию – вполне реальный шаг усложнить жизнь совершенно конкретному преступнику на будущее. Порядок, форма обращения в правоохранительные органы, сроки рассмотрения таких обращений, а также другие вопросы, связанные с сообщениями о происшествиях, урегулированы Инструкцией «О порядке приема, регистрации и разрешения в органах внутренних дел Российской Федерации заявлений, обращений и иной информации о происшествиях», утвержденной Приказом МВД России № 333 от 04.05.2010 года – его можно найти в Сети. Кроме того, заполнить заявление можно на правоохранительном портале РФ – ездить никуда не надо.
Мааксим Букин http://i-business.ru/