Схема атаки
Проблема заражения компьютеров вирусами существует также давно, с момента зарождения компьютерных технологий. И для решения подобных сложностей уже наработан вполне внушительный арсенал защитного ПО. Однако, в случае с вирусами Trojan.Winlock мошенники используют схему «на стыке» весьма непрозрачного рынка микроплатежей по SMS, где обмен и мошенничества весьма развиты, и компьютерных вирусов.
Вредоносные программы семейства Trojan.Winlock распространяются через уязвимости в ОС Windows, вредоносные сайты (скачиваемые кодеки), эксплойты iframe, а также ботнеты (владельцы ботнета продают установку какой-либо вредоносной программы на зараженном компьютере). Кроме того, большинство пользователей устанавливает подобные вирусы себе на компьютер своими руками — атаки, использующие уязвимости Internet Explorer существуют, но не так велики: все это «закрывается» более-менее вменяемым брандмауэрами. Другое дело, когда пользователь ПК, к примеру, скачивает файл видеокодеков, электронных книг, аудиофайлов и т. п., под видом которых скрывается не детектирующийся exe-файл. Такой файл запускается, после чего пользователь получает предупреждение об опасности от антивирусного ПО. Но он-то уверен, что устанавливает проверенный софт, поэтому игнорирует предупреждение антивируса. Соответственно, заражение системы состоялось. Вдобавок подобные программы-вирусы часто маскируются под бесплатные антивирусные утилиты, а ссылки на сайты-хранилища распространяются путем взлома IM-систем.
Интересно, что подобные вирусы имеют различную архитектуру — но большая часть подобного ПО живет на машине пользователя до тех пор, пока не будет удалена лечащими утилитами или антивирусным продуктом: мало кто реагирует на «код деактивации». Мешать такое ПО какое-то время не будет, но потом проявится вновь.
Прибыль на обмане
Разумеется, вирусописатели — не благотворительная организация, им главное получить от пользователя хотя бы небольшую компенсацию своих усилий. Проще всего работать на большой аудитории — по принципу «с каждого по копейке, им будет не так обидно» 🙂 Если бы у Рунете были распространены пластиковые карточки, то блокираторы «призывали» бы пользователей платить им с помощью PayPal 🙂 Но у нас больше шансов получить платеж с помощь премиальных SMS. При этом, самое интересное состоит в том, что операторы сотовой связи сами дают возможность злоумышленникам монетизировать свои усилия. Делается это с помощью двух основных вариантов. Первый, что называется, «в лоб» — когда пользователю предлагается отправить SMS на короткий номер, получить в ответ некоторый код, который и стоит ввести в специальну строчку блокирующего окна, которое открыто у него на компьютере. При такой схеме списание денег бывает однократным — обычно 150-300 руб. со счета, причем эти деньги переводятся на счет того или иного контент-провайдера, который, оставляя часть оператору связи и себе, остаток «сливает» на счет того или иного субагента, где все обналичивается с помощью систем электронной наличности. То есть тупо «выводится в нал» не смотря на значительные комиссионные потери. Всем от этого хорошо — особенно участникам цепочки, ведь комиссию ни не отдадут ни при каких обстоятельствах вне зависимости от того, насколько лигитимным был платеж 🙂 Системы эти продолжают действовать даже не смотря на вроде бы глобальные штрафы, которым операторы связи «забивают» контент-провайдеров — я так полагаю, если бы они делали это на самом деле, то такие схемы бы давно прекратили свое существование.
Второй вариант состоит в том, что пользователю также предлагается отправить запрос на короткий номер (или ввести свой номер телефона в строку окна-блокиратора), после чего ничего не случается. То есть сначала никаких списаний нет с лицевого счета абонента. Но вот потом начинаются «сюрпризы» — со счета постепенно пропадают суммы в районе 500-600 руб. в месяц (списание по неделям). Оказывается, пользователя подписали на платные рассылки, которые транслируют абоненту всевозможную «муть» от прогноза погоды до курса валют — главное, чтобы формально что-то рассылалось. Тот факт, что всю эту информацию можно найти в Сети совершенно бесплатно никого не волнует — подписался абонент на инфоканал и отлично, пусть платит.
Бывает и третий вариант монетизации, но им занимаются уж совсем наивные вирусописатели. Они предлагают абонентам отправить SMS с мобильным переводом на конкретный сотовый номер. «Пo зaвepшeнию oплaты, Baм бyдeт выдaн кoд paзблoкиpoвки кoтopый нeoбxoдимo ввecти в фopмy pacпoлoжeннyю нижe», обещают они. Или предлагают для пополнения счета погуляться к любому терминалу оплаты, где и перевести деньги. «Пocлe oплaты, нa выдaннoм тepминaлoм чeкe oплaты, Bы нaйдeтe кoд, кoтopый нeoбxoдимo ввecти в пoлe, pacпoлoжeннoe нижe». Слушайте, кто пишет все эти инструкции? От них же явно веет глупостью и «наивняком». И ведь на них ловятся! Понятное дело, что сотовый номер приобретен на фальшивые данные (а то и вовсе без заполнения таковых), и деньги, которые туда придут, будут мгновенно «распылены» по другим счетам или выведены (опять с огромным дисконтом) в игровые валюты. Или их используют в качестве валюты для оплаты вирутальных товаров и услуг: такие семы отработаны давно. По сравнению с двумя предыдущими способами этот позволяет получить деньги практически сразу и с минимальной комиссией, но «выбить» такой номер можно очень быстро даже для не самого продвинутого абонента сотовой связи.
Что делать и как бороться?
Если вы столкнулись с блокиратором, запомните — даже отправка сообщения на короткий номер не гарантирует того, что все заработает. Скорее будет наоборот — SMSку вы отправите, деньги спишут, а… ничего не заработает. Поскольку «обратной связи» у вирусописателя и его блокиратора (в роли которого выступают троянцы типа Trojan-Ransom.Win32.Timer, Trojan- Ransom.Win32.MBro и т.д.) никакой нет. То есть блокиратор может забирать данные о новых кодах и коротких номерах, которые надо «порекомендовать» пользователю удаленно с ресурса вирусописателя в момент своей активации (если компьютер пользователя подключен к Сети), но никакого более взаимодействия просто не предполагается. Вирус для его создателя выступает просто в качестве «виртрины», которая затрудняет пользователю работу на компьютере, и вымогает деньги за свое удаление. Правда, получив деньги, никто не торопится самоудаляться по той простой причине, что этой функции у программы просто нет 🙂
Таким образом, если вы «словили» блокиратор, то есть только два действия, которые необходимо предпринять. Первый и основной — зафиксируйте все особенности такого «блокиратора»: хотя бы с помощью фотоаппарата уточните какой код и на какой номер предлагается отправить. Отправьте все эти данные своему оператору связи — меры против мошенников будут приняты достаточно быстро. В случае с МТС все инструкции можно посмотреть вот здесь , а для обращений использовать почту 911@mts.ru У «МегаФон» есть даже специальная почтовая форма для отправки сообщений — ее можно найти вот здесь. У «ВымпелКом» тоже есть раздел по поводу мобильных мошенников , но никакой почты там не предлагается — стоит звонить по номеру саппорта 0611. Если вы пользователь твиттера, то все можно решить гораздо быстрее — достаточно отправить сообщение для аккаундов @mts_rus @beeline_rus или @megafonhelp и ситуацию будут разбирать достаточно оперативно.
Второе действие, которое необходимо сделать — это полечить свой компьютер. За прошедшие полтора года все антивирусные компании, которые работают на российском рынке, накопили достаточно большой опыт «общения» с такими зловредами. Для них это, в хорошем смысле слова, стало глобальным социальным проектом — с одной стороны, они действительно помогают пользователям избавится от вирусов-блокираторов, с другой — активизируют свои продажи. В принципе — правильно. Антивирус должен быть надежным и, на мой взгляд, платным — тогда есть смысл в его использовании. Самый разветвленный раздел о вирусах- блокираторах можно найти на веб-сайте «Лаборатории Касперского» — здесь можно найти как ПО для защиты (т.н. Деблогер), так и целый раздел с кодами доступа для удаления баннеров с рабочего стола. В качестве поддержки имеет смысл почитать и специальный форум о том, как удалять вирусы-блокираторы . Весьма качественный раздел на эту тему есть и у разработчиков Doctor Web — особенно мне понравилась флеш-заставка на разделе . Внизу справа можно найти код разблокировки по фотографии картинки блокиратора, которые уже известны борцам с компьютерными «зловредами». Здесь же можно загрузить лечащую утилиту Dr.Web CureIt! — разумеется, это бесплатно. Есть свой раздел по борьбе с блокираторами и у Eset , только он то работает, то нет. Надеюсь, у вас по этой ссылке что-то все-таки обнаружится. со временем 🙂
Ну и я бы рекомендовал еще одно действие — обращение в МВД, точнее в полицию. Как мы понимаем, действия автора (авторов) троянца содержат в себе признаки составов двух преступлений с единым умыслом. Это преступление, предусмотренное ст. 273 Уголовного кодекса РФ (Создание, использование и распространение вредоносных программ для ЭВМ), а также ст. 163 Уголовного кодекса РФ (Вымогательство). Кроме того, если в ответ не пришла «спасительная утилита» для разблокировки, к первым двум составам добавляется третий – ст. 165 Уголовного кодекса РФ (Причинение имущественного ущерба путем обмана или злоупотребления доверием). Правда, для того, чтобы привлечь авторов такого вируса к ответственности, нужен процессуальный повод – заявление о преступлении от самого обычного гражданина. О том, что этот конкретный вирус принес ему ущерб. Подать такое заявление в полицию — вполне реальный шаг усложнить жизнь совершенно конкретному преступнику на будущее. Порядок, форма обращения в правоохранительные органы, сроки рассмотрения таких обращений, а также другие вопросы, связанные с сообщениями о происшествиях, урегулированы Инструкцией «О порядке приема, регистрации и разрешения в органах внутренних дел Российской Федерации заявлений, обращений и иной информации о происшествиях», утвержденной Приказом МВД России № 333 от 04.05.2010 года — его можно найти в Сети. Кроме того, заполнить заявление можно на правоохранительном портале РФ — ездить никуда не надо.
Мааксим Букин http://i-business.ru/
Блокираторы атакуют вновь: 3 комментария