Блокираторы атакуют вновь

Компьютерные вирусы-блокираторы, пик расцвета которых пришелся на начало-середину 2010 года, до сих не хотят «отлипнуть» от пользовательских компьютеров. Это и понятно — далеко не все пользователи Сети знают о том, что антивирус и firewall — это  обязательное ПО, которые надо ставить на свои машины при подключении к сети Интернет. Попадая на компьютер с помощь спама  (всевозможные ссылочки на файлы с порнухой, бесплатными программами и т.д. мы получаем регулярно — многие на них «ведутся»), такие вирусы «укореняются» в системе (чаще всего — в Windows) и устраивают пользователям «веселый тарарам» с блокировкой работы на компьютере. Одна из крайних целей для атаки такими «блокираторами» — абоненты фиксированного ШПД компании «Ростелеком». Не успел «Мегателеком» объединится, как его бренд был использован кибермошенниками.

Схема атаки

Проблема заражения компьютеров вирусами существует также давно, с момента зарождения компьютерных технологий. И для решения подобных сложностей уже наработан вполне внушительный арсенал защитного ПО. Однако, в случае с вирусами Trojan.Winlock  мошенники используют схему «на стыке» весьма непрозрачного рынка микроплатежей по SMS, где обмен и мошенничества весьма  развиты, и компьютерных вирусов.

Вредоносные программы семейства Trojan.Winlock распространяются через уязвимости в ОС Windows, вредоносные сайты (скачиваемые кодеки), эксплойты iframe, а также ботнеты (владельцы ботнета продают установку какой-либо вредоносной программы на зараженном компьютере). Кроме того, большинство пользователей устанавливает подобные вирусы себе на компьютер  своими руками — атаки, использующие уязвимости Internet Explorer существуют, но не так велики: все это «закрывается»  более-менее вменяемым брандмауэрами. Другое дело, когда пользователь ПК, к примеру, скачивает файл видеокодеков,  электронных книг, аудиофайлов и т. п., под видом которых скрывается не детектирующийся exe-файл. Такой файл запускается, после чего пользователь получает предупреждение об опасности от антивирусного ПО. Но он-то уверен, что устанавливает проверенный софт, поэтому игнорирует предупреждение антивируса. Соответственно, заражение системы состоялось. Вдобавок подобные программы-вирусы часто маскируются под бесплатные антивирусные утилиты, а ссылки на сайты-хранилища распространяются путем взлома IM-систем.

Интересно, что подобные вирусы имеют различную архитектуру — но большая часть подобного ПО живет на машине пользователя до тех пор, пока не будет удалена лечащими утилитами или антивирусным продуктом: мало кто реагирует на «код деактивации». Мешать такое ПО какое-то время не будет, но потом проявится вновь.

Прибыль на обмане

Разумеется, вирусописатели — не благотворительная организация, им главное получить от пользователя хотя бы небольшую  компенсацию своих усилий. Проще всего работать на большой аудитории — по принципу «с каждого по копейке, им будет не так  обидно» 🙂 Если бы у Рунете были распространены пластиковые карточки, то блокираторы «призывали» бы пользователей платить  им с помощью PayPal 🙂 Но у нас больше шансов получить платеж с помощь премиальных SMS. При этом, самое интересное состоит в  том, что операторы сотовой связи сами дают возможность злоумышленникам монетизировать свои усилия. Делается это с помощью  двух основных вариантов. Первый, что называется, «в лоб» — когда пользователю предлагается отправить SMS на короткий номер,  получить в ответ некоторый код, который и стоит ввести в специальну строчку блокирующего окна, которое открыто у него на  компьютере. При такой схеме списание денег бывает однократным — обычно 150-300 руб. со счета, причем эти деньги переводятся  на счет того или иного контент-провайдера, который, оставляя часть оператору связи и себе, остаток «сливает» на счет того  или иного субагента, где все обналичивается с помощью систем электронной наличности. То есть тупо «выводится в нал» не  смотря на значительные комиссионные потери. Всем от этого хорошо — особенно участникам цепочки, ведь комиссию ни не отдадут  ни при каких обстоятельствах вне зависимости от того, насколько лигитимным был платеж 🙂 Системы эти продолжают действовать  даже не смотря на вроде бы глобальные штрафы, которым операторы связи «забивают» контент-провайдеров — я так полагаю, если  бы они делали это на самом деле, то такие схемы бы давно прекратили свое существование.

Второй вариант состоит в том, что пользователю также предлагается отправить запрос на короткий номер (или ввести свой номер  телефона в строку окна-блокиратора), после чего ничего не случается. То есть сначала никаких списаний нет с лицевого счета  абонента. Но вот потом начинаются «сюрпризы» — со счета постепенно пропадают суммы в районе 500-600 руб. в месяц (списание  по неделям). Оказывается, пользователя подписали на платные рассылки, которые транслируют абоненту всевозможную «муть» от  прогноза погоды до курса валют — главное, чтобы формально что-то рассылалось. Тот факт, что всю эту информацию можно найти  в Сети совершенно бесплатно никого не волнует — подписался абонент на инфоканал и отлично, пусть платит.

Бывает и третий вариант монетизации, но им занимаются уж совсем наивные вирусописатели. Они предлагают абонентам отправить  SMS с мобильным переводом на конкретный сотовый номер. «Пo зaвepшeнию oплaты, Baм бyдeт выдaн кoд paзблoкиpoвки кoтopый нeoбxoдимo ввecти в фopмy pacпoлoжeннyю нижe», обещают они. Или предлагают для пополнения счета погуляться к любому  терминалу оплаты, где и перевести деньги. «Пocлe oплaты, нa выдaннoм тepминaлoм чeкe oплaты, Bы нaйдeтe кoд, кoтopый  нeoбxoдимo ввecти в пoлe, pacпoлoжeннoe нижe». Слушайте, кто пишет все эти инструкции? От них же явно веет глупостью и  «наивняком». И ведь на них ловятся! Понятное дело, что сотовый номер приобретен на фальшивые данные (а то и вовсе без  заполнения таковых), и деньги, которые туда придут, будут мгновенно «распылены» по другим счетам или выведены (опять с  огромным дисконтом) в игровые валюты. Или их используют в качестве валюты для оплаты вирутальных товаров и услуг: такие  семы отработаны давно. По сравнению с двумя предыдущими способами этот позволяет получить деньги практически сразу и с  минимальной комиссией, но «выбить» такой номер можно очень быстро даже для не самого продвинутого абонента сотовой связи.

Что делать и как бороться?

Если вы столкнулись с блокиратором, запомните — даже отправка сообщения на короткий номер не гарантирует того, что все  заработает. Скорее будет наоборот — SMSку вы отправите, деньги спишут, а… ничего не заработает. Поскольку «обратной  связи» у вирусописателя и его блокиратора (в роли которого выступают троянцы типа Trojan-Ransom.Win32.Timer, Trojan- Ransom.Win32.MBro и т.д.) никакой нет. То есть блокиратор может забирать данные о новых кодах и коротких номерах, которые  надо «порекомендовать» пользователю удаленно с ресурса вирусописателя в момент своей активации (если компьютер пользователя  подключен к Сети), но никакого более взаимодействия просто не предполагается. Вирус для его создателя выступает просто в  качестве «виртрины», которая затрудняет пользователю работу на компьютере, и вымогает деньги за свое удаление. Правда,  получив деньги, никто не торопится самоудаляться по той простой причине, что этой функции у программы просто нет 🙂

Таким образом, если вы «словили» блокиратор, то есть только два действия, которые необходимо предпринять. Первый и основной  — зафиксируйте все особенности такого «блокиратора»: хотя бы с помощью фотоаппарата уточните какой код и на какой номер  предлагается отправить. Отправьте все эти данные своему оператору связи — меры против мошенников будут приняты достаточно  быстро. В случае с МТС все инструкции можно посмотреть вот здесь , а для  обращений использовать почту 911@mts.ru У «МегаФон» есть даже специальная почтовая форма для отправки сообщений — ее можно  найти вот здесь. У «ВымпелКом» тоже есть раздел по поводу мобильных мошенников  , но никакой почты там не предлагается — стоит звонить по номеру саппорта 0611. Если вы  пользователь твиттера, то все можно решить гораздо быстрее — достаточно отправить сообщение для аккаундов @mts_rus  @beeline_rus или @megafonhelp и ситуацию будут разбирать достаточно оперативно.

Второе действие, которое необходимо сделать — это полечить свой компьютер. За прошедшие полтора года все антивирусные  компании, которые работают на российском рынке, накопили достаточно большой опыт «общения» с такими зловредами. Для них это,  в хорошем смысле слова, стало глобальным социальным проектом — с одной стороны, они действительно помогают пользователям  избавится от вирусов-блокираторов, с другой — активизируют свои продажи. В принципе — правильно. Антивирус должен быть  надежным и, на мой взгляд, платным — тогда есть смысл в его использовании. Самый разветвленный раздел о вирусах- блокираторах можно найти на веб-сайте «Лаборатории Касперского»  — здесь  можно найти как ПО для защиты (т.н. Деблогер), так и целый раздел с кодами доступа для удаления баннеров с рабочего стола.  В качестве поддержки имеет смысл почитать и специальный форум о том, как удалять вирусы-блокираторы . Весьма качественный раздел на эту тему есть и у разработчиков Doctor  Web — особенно мне понравилась флеш-заставка на разделе . Внизу справа можно  найти код разблокировки по фотографии картинки блокиратора, которые уже известны борцам с компьютерными «зловредами». Здесь  же можно загрузить лечащую утилиту Dr.Web CureIt! — разумеется, это бесплатно. Есть свой раздел по борьбе с блокираторами и  у Eset , только он то работает, то нет. Надеюсь, у вас по этой ссылке что-то  все-таки обнаружится. со временем 🙂

Ну и я бы рекомендовал еще одно действие — обращение в МВД, точнее в полицию. Как мы понимаем, действия автора (авторов)  троянца содержат в себе признаки составов двух преступлений с единым умыслом. Это преступление, предусмотренное ст. 273  Уголовного кодекса РФ (Создание, использование и распространение вредоносных программ для ЭВМ), а также ст. 163 Уголовного  кодекса РФ (Вымогательство). Кроме того, если в ответ не пришла «спасительная утилита» для разблокировки, к первым двум  составам добавляется третий – ст. 165 Уголовного кодекса РФ (Причинение имущественного ущерба путем обмана или  злоупотребления доверием). Правда, для того, чтобы привлечь авторов такого вируса к ответственности, нужен процессуальный  повод – заявление о преступлении от самого обычного гражданина. О том, что этот конкретный вирус принес ему ущерб. Подать  такое заявление в полицию — вполне реальный шаг усложнить жизнь совершенно конкретному преступнику на будущее. Порядок,  форма обращения в правоохранительные органы, сроки рассмотрения таких обращений, а также другие вопросы, связанные с  сообщениями о происшествиях, урегулированы Инструкцией «О порядке приема, регистрации и разрешения в органах внутренних дел  Российской Федерации заявлений, обращений и иной информации о происшествиях», утвержденной Приказом МВД России № 333 от  04.05.2010 года — его можно найти в Сети. Кроме того, заполнить заявление можно на правоохранительном портале РФ — ездить  никуда не надо.

Мааксим Букин   http://i-business.ru/