Содержание:
- Классификация программ-вымогателей
- Психологические приемы в программах-вымогателях
- Экзотическое зловредство и специфическое лечение
- Превентивная защита
Почти 20 лет назад в мире произошло событие, которое вошло в историю антивирусной индустрии. В начале декабря 1989 года тысячи пользователей по всему миру получили почтой странные посылки. В большом белом конверте, полученном от неизвестного лица, они с удивлением обнаруживали дискету и листок синей бумаги. Надпись на дискете содержала простые инструкции по установке имеющейся на ней программы. Текст на прилагающемся листке объяснял ее назначение – программа позволяла оценить у опрашиваемого степень опасности заразиться СПИДом. Также на листке содержалось лицензионное соглашение, но мало кто из пользователей компьютера стал его читать. Активировавшись, программа отсчитывала 90 запусков операционной системы, после чего шифровала файлы, а затем извещала пользователя о необходимости приобрести лицензию, угрожая потерей всех файлов. Тут-то пользователь читал лицензионное соглашение, которое программа любезно предлагала распечатать, однако было поздно. В соглашении прописывалось, что устанавливая программу, пользователь автоматически принимает все условия, в числе которых и право авторов требовать ее оплаты путем блокирования работы всего компьютера. На выбор пользователю предлагалось приобрести один из двух видов лицензии – на 189 или 387 долларов США. Оплаченный счет следовало переслать по указанному адресу в Панаме. Любопытно, что программа предлагала отсрочить платеж, если пользователь соглашался установить эту же программу на другой компьютер! Такой вот оригинальный метод распространения. Если пользователь соглашался, то программа создавала специальный файл на дискете, который следовало запустить на другом компьютере. Запущенный файл активировался в системе и создавал метку на исходной дискете. Дискету нужно было вернуть на заблокированный компьютер, после чего программа извещала, что продление лицензии отложено, однако в действительности ничего не изменялось, и пользователю по-прежнему выдавались вымогательские сообщения. Так в декабре далекого 1989 года происходило распространение вредоносной программы . Некоторые пользователи тогда, проявив бдительность, избежали заражения, но многие запустили программу. Инцидент был освещен в средствах массовой информации, были выпущены лечащие утилиты, а автор программы пойман. Как отмечает Евгений Касперский в своей книге «Компьютерное Zловредство»: «Не исключено, что данный инцидент – первое в компьютерной истории преступление с корыстным умыслом, при котором инструментом совершения была троянская программа, внедренная на большое количество компьютеров». И вот 20 лет спустя вредоносные программы-вымогатели переживают вторую, а может и третью молодость. Изменились способы распространения – традиционная почта уступила место электронной, появились системы мгновенного обмена сообщениями, социальные сети. Изменились способы получения выкупа – электронные деньги и оплата через SMS намного удобнее для злоумышленников, чем оплаченный счет. Однако не изменился главный принцип, объединяющий все эти программы под одним поведением – взятие данных в заложники или ограничение возможностей работы на компьютере, и требование выкупа за то, чтобы вернуть все как было. В данной статье мы выделим основные виды представителей этого класса вредоносных программ, рассмотрим их особенности, способы борьбы с ними, а также предложим метод превентивной защиты от вредоносных программ этого класса.
Задолго до появления вредоносной программы AIDS была написана программа Cookie Monster, которая периодически запускалась по таймеру и блокировала терминал с просьбой дать ей печенья до тех пор, пока пользователь не вводил на клавиатуре слово: «Печенье». Автор программы, таким образом, подшучивал над своими коллегами. Один из первых компьютерных вирусов – Elk Cloner, также был написан из шутливых побуждений – на зараженных компьютерах переворачивалось изображение экрана. На рубеже столетия появилось множество подобных программ: летающие окна с кнопкой «Отмена», сворачивание всех открываемых окон, удаление панели задач или кнопки «Пуск», блокировка клавиатуры и т.д. Многие шутили над своим друзьями и коллегами, передавая такие программы под видом игры или полезной утилиты. После запуска веселились даже «жертвы», т.к. максимум, что приходилось сделать для прекращения ее действия – просто перезагрузить компьютер. Все подобные программы объединяет отсутствие коммерческой выгоды для ее авторов, поэтому по нашей классификации они относятся к поведению Hoax. Отличие вредоносных программ класса Trojan-Ransom заключается в их изначальной коммерческой направленности. Каждая программа этого поведения является инструментом в определенной бизнес-модели киберпреступников. Рассмотрим виды вредоносных программ класса Trojan-Ransom в порядке сложности борьбы с ними вручную, без антивируса (рис. 1). Избавиться от последствий запуска первых двух видов не представляет никакой сложности, третьего и четвертого – немного сложней, а устранение последствий работы программ, отнесенных к пятому виду не всегда возможно.
Рисунок 1. Основные виды и семейства вредоносных программ класса Trojan-Ransom.
Вредоносная программа Trojan-Ransom.BAT.Agent.c представляет собой обычный BAT-файл размером 13 Кб. После запуска такого троянца, будет заблокирован доступ ко многим веб-сайтам, в том числе, сайтам «Лаборатории Касперского», поисковых средств Google, Яндекс, социальной сети «Одноклассники» и других (всего около 200 доменных имен). Введя адрес веб-сайта вместо ожидаемой начальной страницы, пользователь увидит следующее окно (рис. 2).
Рисунок 2. Сообщение при доступе к заблокированным сайтам.
В этом случае для достижения подобного эффекта вредоносный файл изменяет файл HOSTS – техника, подробно разобранная в нашем прошлом выпуске бюллетеня (рис. 3).
Рисунок 3. Видоизмененный файл HOSTS.
После такой модификации, обращения к определенным сайтам перенаправляются на сайт злоумышленника, который формулирует условия выкупа: для снятия ограничений пользователю предлагается послать SMS на указанный короткий номер. В данном случае вымогательства, стоимость отправки SMS, как правило, указывается явно и составляет небольшую сумму, чтобы мотивировать пользователя заплатить. В ответ авторы обещают прислать код для разблокировки. Бизнес-модель, а точнее мошенническая схема, в данном случае достаточно проста. Злоумышленник арендует короткий номер у фирмы (точнее определенный префикс в коротком номере), предоставляющей услуги SMS-биллинга (оплаты услуг посредством SMS), и определяет цену отдельной SMS на данный номер. Далее вредоносная программа распространяется спам-рассылкой в социальных сетях, системах мгновенного обмена сообщениями, по электронной почте или попадает на компьютер при посещении зараженного веб-сайта. Пользователи, заразившиеся и решившие заплатить, отправляют SMS на указанный номер, причем цена SMS, как правило, значительно выше указанной авторами вредоносной программы. Ответное сообщение с кодом разблокировки высылается крайне редко, т.к. для злоумышленника это бессмысленно. Часть денег, поступивших на этот короткий номер, берет фирма, предоставляющая услугу SMS-биллинга, часть уходит оператору мобильной связи, а злоумышленнику остается в среднем около 40% суммы. Полученные деньги, злоумышленник забирает в электронном виде, используя виртуальные деньги, такие как WebMoney, Яндекс.Деньги и т.д. Наконец, для получения наличных денег он прибегает к услугам других злоумышленников, специализирующихся на обналичивании электронных денег также за определенный процент (рис. 4).
Рисунок 4. Схема мошенничества с вредоносной программой-вымогателем и короткими номерами.
В этой схеме кибер-бизнеса вредоносная программа выступает главным инструментом злоумышленника, таким же, как отмычка в руках вора или пистолет в руках грабителя. Более целенаправленно действует программа-вымогатель Trojan-, ограничивая доступ только к сайту социальной сети «В Контакте», используя описанную технику (рис. 5).
Рисунок 5. Блокирование доступа к сайту социальной сети «В Контакте».
Способ лечения. Избавиться от последствий заражения вредоносной программы данного вида – проще всего. В файле HOSTS (%SYSTEM%\drivers\etc\hosts) следует удалить все строчки, оставив только одно соответствие: . Необходимо также удалить и файл вредоносной программы, который может вновь внести описанные изменения в файл HOSTS. Проверьте компьютер антивирусом со всеми установленными обновлениями. Если это не помогло, обратитесь на специализированные сайты по борьбе с вредоносными программами, например, Virusinfo.info.
Всплывающие окна уже давно используются для показа назойливой рекламы, однако в большинстве случае их можно закрыть стандартными способами. В случае программ-вымогателей в браузере создается окно без возможности закрытия, мешающее или полностью препятствующее работе в Интернете (рис. 6).
Рисунок 6. Всплывающее окно, создаваемое программой-вымогателем в браузере Internet Explorer.
Наиболее характерные представители этого подвида вымогателей – вредоносные программы семейств и . С технической точки зрения программы данного вида просты и используют тот факт, что Internet Explorer является самым популярным браузером в мире. Internet Explorer присутствует по умолчанию в операционных системах семейства Windows, и многие пользователи охотно им пользуются. Как следствие, злоумышленники используют возможности этого браузера для атак на пользователей. Так для показа всплывающих окон ими применяется механизм надстроек BHO (browser helper object), расширяющий возможности Internet Explorer. Если по какой-либо причине, выполнить лечение компьютера антивирусом не представляется возможным, то вручную избавиться от назойливого вредоносного приложения можно, выполнив следующие действия:
1. Откройте окно «Управление надстройками» из диалогового меню «Сервис→ Надстройки→ Включение и отключение надстроек».
2. В открывшемся диалоговом окне будут перечислены все установленные и активные надстройки, среди которых следует выявить вредоносную.
3. Обратите внимание на все надстройки, у которых в колонке «Издатель» либо ничего не указано, либо есть строка «(Не проверено)» – их следует проверить в первую очередь.
4. Отключите подозрительные расширения, установив им статус «Отключить» (рис. 7.).
5. Перезапустите Internet Explorer и убедитесь, что всплывающее окно исчезло.
Рисунок 7. Просмотр активных надстроек для браузера Internet Explorer.
Если описанная процедура не помогла, то возможно, причина в другом расширении, и чтобы его выявить, можно последовательно выключать все расширения, проверяя результат.
Следующий вид вредоносной программы класса Trojan-Ransom основан на блокировке доступа пользователя к ресурсам операционной системы, не давая пользователю возможности завершить работу вредоносной программы или запустить любую другую программу, в том числе «Диспетчер Задач». Запустив такого троянца, пользователь увидит на экране сообщение с требованием выкупа. Клавиатура и мышка продолжают работать, но на экране появляется окно, которое невозможно свернуть, с которого не возможно переключится («Alt-Tab»), и вообще все служебные сочетания клавиш перестают работать. Остается только окно, расположенное поверх остальных, в котором сформулированы условия получения пароля для восстановления работоспособности (рис. 8).
Рисунок 8. Блокировка экрана вредоносной программой Trojan-Ransom семейства Blocker.
Бизнес-модель здесь та же, что и в предыдущем пункте. С технической точки зрения программы такого вида несложно удалить (способ мы рассмотрим в следующем пункте), т.к. обычно они прописываются в стандартном ключе реестра автозапуска. Нюанс здесь заключается в том, что для удаления программы-вымогателя придется перегрузить компьютер, а у пользователя могло быть множество незакрытых и вовремя несохраненных документов. В таком случае можно попробовать следующий способ нейтрализации вредоносной программы.
Способ лечения №1. Для решения проблемы необходимо завершить вредоносный процесс, блокирующий экран. Если компьютер находится в сети, то можно подключиться к компьютеру с помощью средств удаленного администрирования. Приведем пример с использованием стандартного средства WMIC (Windows Management Instrumentation Command-line).
1. На удаленной машине запустите командную оболочку .
2. Далее выполняйте следующие команды:
(например «/NODE:192.168.10.128»)
(например «/USER:Analyst»)
3. Здесь появится предложение ввести пароль пользователя на компьютере, заблокированном программой-вымогателем, который также надо ввести
4. Далее выполните команду
5. После этого будет выведен список запущенных процессов на удаленной машине.
Рисунок 9. Просмотр процессов на зараженной машине с помощью WMIC.
6. Следующая задача – найти в листинге подозрительный процесс, который не относится к ОС и пользовательским приложениям.
7. Выполните следующую команду:
(например, process where name=”aers0997.exe” delete)
Рисунок 10. Завершение зловредного процесса на зараженной машине с помощь WMIC.
8. После завершения вредоносного процесса, на зараженной машине исчезнет окно с требованием выкупа, и удаление троянской программы и ее компонент уже не представляет труда.
Способ лечения №2. Другим вариантом функционирования вредоносных программ семейств Blocker является блокирование работы не сразу после запуска, а после перезагрузки компьютера. Если описанный выше способ лечения реализовать не удалось, можно воспользоваться встроенной возможностью восстановления в ОС Windows. Рассмотрим последовательность шагов на примере ОС Windows 7 с использованием установочного DVD-диска (рис. 11). Инсталляционный диск понадобится Windows в процессе работы.
1. Перезагрузите компьютер, нажимая после запуска клавишу «F8» пока не появится меню c выбором режима загрузки Windows.
2. В появившемся меню выберите пункт «Repair Your Computer». ОС загрузится в специальном режиме.
3. В процессе запуска вам будет предложено выбрать раскладку клавиатуры и ввести пароль пользователя Windows.
4. В появившемся далее диалогом окне следует выбрать пункт «System Restore».
5. Запустившийся мастер предложить вам откатить систему к одной из точек восстановления. Выберите последнюю точку восстановления и дождитесь окончания работы мастера.
6. По завершении вам будет предложено перегрузиться, после чего вы скорее все ограничения будут сняты.
Следует отметить улучшенную защиту ОС Windows 7, в которой некоторые из вредоносных программ семейства можно обезвредить средствами «Диспетчера Задач Windows».
Рисунок 11. Схема лечения вредоносной программы семейства Blocker, используя Windows 7 Recovery Environment.
Способ лечения №3. Если предыдущий способ лечения не помог, можно воспользоваться методом ручного удаления вредоносной программы из безопасного режима Windows.
1. Перезагрузите компьютер, нажимая после запуска клавишу «F8» пока не появится меню c выбором режима загрузки Windows.
2. В появившемся меню выберите пункт «Safe mode with Command Prompt» (безопасный режим с запуском командной строки). ОС загрузится в специальном режиме.
3. После ввода пароля появится окно командной строки. Из него можно запускать любые утилиты и программы. В этом случае искать, где прописалась вредоносная программа придется самостоятельно. Большую помощь тут может оказать бесплатная утилита Autoruns. Мы рекомендуем заниматься самолечением, только если вы четко представляете последствия своих действий. Также можно найти в интернете описание для данной вредоносной программы, правда, придется воспользоваться другим компьютером. Ключевыми словами для поиска могут быть фразы из требования: короткий номер, адрес электронной почты (рис. 12). Некоторые security-компании публикуют на сайтах генераторы кодов разблокировки, действующих для вредоносных программ определенных модификаций. И злоумышленники оперативно меняют алгоритм от версии к версии. Чтобы не стимулировать написание ими новых модификаций, код разблокировки для подобных вымогателей в «Лаборатории Касперского» не публикуют в свободном доступе, а предоставляют по запросу в службу поддержки, как отмечает вирусный аналитик Андрей Ладиков.
Рисунок 12. Поиск в интернете инструкции по удалению Trojan-Ransom, требующих отправки SMS на короткий номер «3649».
Способ лечения №4. Если предыдущий способ лечения не помог или возможность загрузки Windows из безопасного режима отключена вредоносной программой (распространенная ситуация), можно воспользоваться методом ручного удаления вредоносной программы с использованием загрузочного компакт-диска, т.н. LiveCD, например, ERD Commander. Установить программу в автозапуск ОС можно разными способами. Вредоносные программы класса Trojan-Ransom обычно используют системный реестр Windows. Рассмотрим самый распространенный случай – изменение значения «Userinit» в ветке «HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon». При такой автозагрузке блокировка компьютера происходит сразу после ввода пароля при входе в систему.
1. Загрузитесь с диска ERD Commander и зайдите в меню «Start»→«Administrative Tools»→«Registry Editor».
2. Найдите ключ Userinit в ветке реестра «HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon».
3. Восстановите значение на «C:\Windows\system32\userinit.exe,». Будьте осторожны и внимательны при работе с системным реестром!
4. Удалите вредоносный файл, который был прописан в «Userinit» (в случае, изображенном на рисунке 13, этот файл: «C:\blocker.exe»).
5. Загрузите компьютер в обычном режиме.
Рисунок 13. Удаление троянской программы из реестра с помощью ERD Commander.
Способ лечения №5. Наконец, если вы зарегистрированный пользователь антивирусного продукта, вы можете обратиться в службу поддержки антивирусной компании – вам там обязательно помогут, например, указав код разблокировки.
В операционных системах семейства Windows имеется гибкий механизм политик безопасности, позволяющий системным администраторам настраивать пользовательское окружение. Используя системный реестр, можно отключить пункты системного меню, «Панель Задач», изменить вид папок и т.д. Вирусописатели и здесь быстро научились использовать функцию системы в своих целях, породив целое семейство вредоносных программ, ограничивающих действия пользователя в операционной системе.
Рисунок 14. Так выглядит интерфейс ОС Windows после запуска вредоносной программы семейства Trojan-Ransom.Win32.Taras.e.
Изменение системных настроек, таких как запрет запуска редактирования реестра, запрет запуска «Диспетчера задач» и т.д., уже давно используется разнообразными вредоносными программами. К этому виду программ-вымогателей можно отнести семейства и (рис. 14). Как правило, после запуска такой программы на компьютере можно запустить только Интернет-браузер, чтобы можно было заплатить выкуп. Рассмотрим некоторые способы лечения.
Способ лечения №1. В случаях некоторых троянских программ-вымогателей помогает нехитрый прием с удалением профиля заблокированного пользователя.
1. Загрузитесь в безопасном режиме.
2. Войдите в систему под другим пользователем, например, пользователем «Администратор».
3. В случаях некоторых программ-вымогателей (например, ) вы увидите, что возможности этого пользователя ничем не ограничены, потому что действие троянца распространяется только на того пользователя, который запустил эту вредоносную программу.
4. Можно попытаться обнаружить вредоносную программу, чтобы удалить ее, хотя для этого могут потребоваться определенные навыки, т.к. нередко программы, действующие по этой схеме, действуют однократно – изменяют системные настройки, а после больше не запускаются и ничем себя не проявляют.
5. Скопируйте содержимое рабочего стола заблокированного пользователя и другие нужные файлы, чтобы не потерять важную информацию, а затем удалите профиль заблокированного пользователя. Создайте нового пользователя и войдите в систему под новым аккаунтом.
Способ лечения №2. Некоторые вымогатели (например, ) изменяют системные настройки, оказывающие эффект на всех пользователей в системе. Например, вредоносная программа запускается при старте Windows и применяет настройки для каждого нового пользователя, кроме того, запрещая вход в безопасном режиме Windows. В этом случае может помочь вариант с использованием загрузочного LiveCD.
1. Предварительно скачайте из Интернета утилиту AVZ – универсальный инструмент для борьбы с вредоносными программами и устранения последствий заражения. Скопируйте утилиту на flash-носитель.
2. Загрузитесь с LiveCD. Как правило, вредоносные программы данного вида оставляют возможность запуска на заблокированном компьютере только нескольких приложений: Internet Explorer, Outlook Express, чтобы пользователь мог отправить письмо злоумышленникам. Воспользуемся этой возможностью для запуска лечащей утилиты вместо разрешенного приложения.
3. Скопируйте содержимое каталога с утилитой AVZ на рабочий стол пользователя заблокированного компьютера. Например, для пользователя Analyst путь к рабочему столу в Windows XP может быть таким: C:\Documents and settings\Analyst\Desktop, а в Windows Vista/7 таким: C:\Users\Analyst\Desktop.
4. Переименуйте исполняемый файл утилиты с AVZ.exe на iexplore.exe (название исполняемого файла Internet Explorer).
Рисунок 15. Исполняемый файл avz.exe переименован в iexplore.exe.
5. Все готово, теперь перезагрузите компьютер и войдите в систему под заблокированным пользователем.
6. Запустите с рабочего стола утилиту AVZ (iexplore.exe). Утилита запустится, т.к. приложению Internet Explorer запуск разрешен.
7. В появившемся окне выберите пункт меню «Файл»→«Восстановление системы».
8. Отметьте все пункты кроме последнего и нажмите кнопку «Выполнить отмеченные операции».
Рисунок 16. Восстановление после заражения, используя AVZ.
9. По завершении операции восстановления, перезагрузите компьютер. Все ограничения будут сняты.
Способ лечения №3. Здесь поможет тот факт, что у каждой такой программы есть свой собственный и неповторимый текст с условиями оплаты. Поэтому можно воспользоваться уникальными словами или фразами для поиска информации о лечении в Интернете. С большой вероятностью вы найдете инструкции по избавлению именно от этой вредоносной программы (рис. 17). Можете обратиться на специализированные форумы, такие как Virusinfo.info, «Борьба с вирусами».
Рисунок 17. Используйте уникальный текст в поисковых системах. В данном примере можно использовать слово «kscard@box.az».
Способ лечения №4. Если ни один из описанных способов не помог, вы можете обратиться в службу технической поддержки вашей антивирусной компании.
Наконец, последний вид программ-вымогателей незаметно шифрует данные пользователя. Позже пользователь обнаруживает, что не может получить доступ к нужным файлам. Условия выкупа «данных-заложников» либо помещаются в текстовый файл в каждом каталоге с зашифрованными файлами (например, в случае ), либо размещаются на обоях рабочего стола (например, так поступает ).
Рисунок 18. Файлы пользователя, зашифрованные Trojan-Ransom.Win32.Encore.b. Видно характерное расширение «VSCRYPT» у зашифрованных файлов.
Обычно программы-вымогатели этого вида шифруют файлы избирательно – с расширениями doc, xls, txt и т.д., т.е. которые потенциально могут содержать важную для пользователя информацию. Наиболее известное семейство таких программ . Более подробно историю этого семейства можно проследить в статье Ольги Емельяновой и Дениса Назарова «Шантажист» на информационно-аналитическом портале Securelist.
Рисунок 19. Так выглядят зашифрованные файлы.
Рисунок 20. Предложение купить утилиту для расшифровки файлов.
Вымогатели семейства помещают файлы в ZIP-архивы с паролем. Оригинальную стратегию применяют вредоносные программы семейства . Представитель этих вымогателей сначала скрытно шифрует пользовательские файлы, а затем, при обращении к этим файлам пользователя, выдает сообщение о том, что файлы повреждены. Для восстановления испорченных файлов рекомендуется купить «специальную лечащую утилиту».
Способ лечения. Здесь нет универсальных способов лечения, т.к. алгоритмы шифрования данных варьируются от программы к программе. Для расшифровки файлов как минимум надо иметь экземпляр троянской программы, хотя и этого может быть недостаточно. В случае заражения программой-вымогателем подобного вида, имеет смысл обратиться в техническую поддержку антивирусной компании. Наконец, если позволяет квалификация, можно попытаться самостоятельно дизассемблировать вредоносную программу, выяснить алгоритм шифрования и написать программу дешифровки.
Рассмотрим приемы, используемые злоумышленниками для получения выкупа. Множество современных программ-вымогателей используют бесхитростные формулировки, сводящиеся к простой констатации факта: «Компьютер заблокирован. Для разблокировки нужно заплатить». Редко применяются дополнительные раздражающие факторы. Например, требование о выкупе помещает на фоне бесконечно сменяющихся разноцветных квадратов, смотреть на которые долго просто затруднительно (рис. 21).
Рисунок 21. Требование о выкупе на фоне сменяющихся разноцветных картинок.
Однако не меньшая часть вредоносных программ использует приемы, подталкивающие пользователя заплатить злоумышленнику, а не искать альтернативного решения проблемы. Рассмотрим некоторые из таких приемов. Самый распространенный способ – напугать, нарисовав как можно более неприятную картину, и тут же предложить выход. В этом случае обычно применяется фиктивный мотив требования выкупа:
• «обнаружение» нелицензионной версии операционной системы Windows;
• «обнаружение» рассылки спама с компьютера-пользователя;
• «обнаружение» совершения неких преступных действий;
• «обнаружение» вредоносных программ, препятствующих работе компьютера;
• «обнаружение» проблем в работе операционной системы.
«Обнаружение» нелицензионной версии Windows, без сомнения, самый популярный у злоумышленников мотив, используемый разными семействами вредоносных программ-вымогателей. Как правило, в требовании ссылаются на компанию Microsoft и разнообразные правоохранительные органы (рис. 22). Дополнительным «стимулятором» по замыслу вирусописателей является таймер обратного отсчета или простое указание времени, отведенного на выплату выкупа. Все в лучших традициях шантажа из реальной жизни.
Некоторые вымогатели дополнительно приводят статью уголовного кодекса, которую якобы нарушает пользователь (рис. 24). Обращает внимание оформление требований. В шапке – название государственного ведомства. Большим красным шрифтом – описание проблемы для пользователя – его компьютер заблокирован этим ведомством. Чуть меньшим кеглем, но опять же красным цветом – номер статьи уголовного кодекса. И наконец, шрифтом успокаивающего, зеленого цвета описывается решение проблемы.
Для придания солидности требованиям, злоумышленники прибегают к технической терминологии (рис. 25). Один из представителей семейства SMSer сообщает об обнаруженной вредоносной программе, причем приводится ее техническое описание. Тут же пользователя предупреждают о последствиях переустановки Windows или самостоятельного лечения, отсекая таким образом, очевидные альтернативные пути решения возникшей проблемы.
Рисунок 25. Требование о выкупе, необходимом для лечения «обнаруженной» вредоносной программы.
Тему системной ошибки эксплуатирует целое семейство (рис. 26). Здесь используется имитация синего окна Windows, возникающего при критических ошибках.
Рисунок 26. Требование о выкупе, необходимом для лечения системной ошибки.
Сюда же можно отнести и совсем провокационные сообщения от имени известных компаний. Так, требует выкуп от имени «Лаборатории Касперского» (рис. 27). Причина, конечно же, очевидная – «обнаружение» вредоносной программы. В другой провокации требует денежную компенсацию за якобы обнаруженную попытку взлома антивирусного продукта «Лаборатории Касперского» (рис. 28). При этом вымогатель даже не удосуживается проверить наличие такого продукта у пользователя. «Мы должны убедиться, что вы не робот», – заявляет , выдвигая денежные требования от имени социальной сети «В Контакте» за якобы мошеннические действия в этой сети и попытку взлома базы данных (рис. 29). Внимательный читатель может увидеть, что сообщения на рисунках 28 и 29 сделаны по одному шаблону. Подобные провокации от имени известных компаний по замыслу злоумышленников придают дополнительный вес их требованиям.
Рисунок 27. Требование выкупа, прикрываясь именем «Лаборатории Касперского».
Рисунок 29. Требование выкупа, прикрываясь именем социальной сети «В Контакте».
Еще одним психологическим приемом является создание условий, при которых пользователь постесняется обратиться за помощью к квалифицированным специалистам. Так в окне требований о выкупе демонстрирует пикантные картинки c подписью: «последние просмотренные вами ролики». А распространяется под видом порнографической игры. Однако когда пользователь запускает программу, доступ к компьютеру ограничивается, а на экране возникает требование оплаты, стилизованное под письмо с угрозами, составленное из букв, вырезанных из газеты (рис. 30). На всякий случай, вирусописатель рисует для жертвы яркую картину последствий – сгоревший жесткий диск, приводящий к пожару в квартире.
Рисунок 30. Сообщение Trojan-Ransom.Win32.Shutdowner.
А семейство поступает еще проще, выдавая текст: «Оплатите заказанное порно-видео». И потом объясняйте системному администратору или знакомому, которого привлечете к решению проблемы, что вы ничего не заказывали. Расчет вирусописателей основан на том, что большинство пользователей в такой ситуации предпочтет заплатить, чем оправдываться, что не имеет к контенту никакого отношения. Мы призываем пользователей не идти на поводу у злоумышленников.
«Чем быстрее, тем лучше!», – радостно обещает вредоносная программа , иллюстрируя еще один способ мотивации – пообещать пользователю, что, чем больше он оплатит денег, и чем меньше он будет раздумывать, тем быстрее будет решена его проблема. Так сказать, VIP-обслуживание (рис. 31).
Рисунок 31. Сообщение троянской программы-вымогателя Trojan-Ransom.Win32.Daideneg.a.
Мы рассмотрели самые популярные случаи заражения вредоносными программами-вымогателями. Однако встречаются одиночные, экзотические случаи заражения, несколько выходящие за рамки общих схем. Например, крошечный , шифрующий офисные файлы (doc, xls и т.д.) случайным паролем с помощью архиватора WinRAR. При этом для отвлечения внимания, он запускает утилиту ping на адрес 127.0.0.1. При отсутствии в операционной системе установленного архиватора WinRAR, троянец безвреден.
Рисунок 32. Предложение купить утилиту для расшифровки файлов от Trojan-Ransom.BAT.Agent.a.
Более простой путь выбрал автор еще более миниатюрного (размером всего 201 байт), демонстрирующего в бесконечном цикле диалоговое окно с денежными требованиями (рис. 33).
Рисунок 33. Требование Trojan-Ransom.VBS.Agent.a.
Попытки нажать «OK» или кнопку закрытия окна не приводят к желаемому результату, однако программу легко завершить, используя «Диспетчер Задач». А вредоносная программа устанавливается как экранная заставка (screensaver) и после первой же перезагрузки действует, как типичный представитель семейства Blocker.
кроме ограничения действий в системе, также меняет и системные звуки для разнообразных событий Windows. Новая звуковая схема обнаруживает любовь автора вредоносной программы к творчеству группы «Ленинград».
представляет собой DLL, исполняемую в адресном пространстве браузеров и блокирующую доступ к веб-сайтам, объясняя причину блокировки зараженностью компьютера вредоносными программами. Чтобы вернуть все как было, предлагается приобрести «специальный антивирус».
Можно вспомнить, что в некоторых ранних модификациях вымогателей семейства Blocker, спустя отведенное для выплаты выкупа время, программа автоматически деактивировалась. Но это исключительные случаи, оставшиеся в прошлом.
Наряду со случаями экзотических заражений, существуют и способы специфического лечения, т.е. обходные приемы, работающие при определенных условиях. Так, первые версии вредоносных программ семейства Blocker можно было обойти, нажав поверх окна выкупа сочетание клавиш «Win-U», которое приводило к появлению окна активации специальных возможностей. Олег Зайцев, эксперт «Лаборатории Касперского», в веблоге описывает, как нейтрализовать вредоносную программу посредством этой возможности. Иногда действуют и другие сочетания клавиш. Однако в последующих версиях вредоносных программ этого семейства данная возможность обхода была учтена – вирусописатели тоже учатся. А для вредоносной программы семейства GPCode был найден обходной способ частичного восстановления зашифрованных файлов. В описании одного из представителей этого семейства в вирусной энциклопедии «Лаборатории Касперского» можно найти это решение, основанное на использовании утилиты для восстановления удаленных файлов.
Все рассмотренные ранее способы борьбы с программами-вымогателями предназначены для нейтрализации активной вредоносной программы или устранения последствий ее работы. В следующем разделе мы рассмотрим, как избежать заражения вредоносной программой-вымогателем, т.е. методы превентивной защиты.
Как гласит латинская пословица: «Предупрежден, значит вооружен». Для снижения риска заражения вредоносными программами вообще, а не только программами-вымогателями, в Kaspersky Internet Security 2010 появился новый инструмент превентивной защиты – «Безопасная среда» (рис. 34). Данный механизм использует принципы виртуализации, так что подозрительные программы, запущенные в такой «песочнице» не смогут нанести вреда операционной системе и данным пользователя. По умолчанию в песочнице KIS2010 находятся 2 ярлыка – на браузер Internet Explorer в обычном режиме и на браузер Internet Explorer в режиме очистки всех сеансовых данных после закрытия. Интерфейс «Безопасной среды» позволяет самостоятельно добавить приложения для запуска в песочнице, например, другие браузеры – Firefox, Opera или Chrome. Рассмотрим использование этого инструмента в типовых сценариях заражения вредоносными программами-вымогателями.
Рисунок 34. Инструмент «Безопасная среда» в KIS2010.
Итак, один из самых популярных сценариев заражения может выглядеть следующим образом. Пользователь, открыв ICQ или войдя в любимую социальную сеть, получает сообщение, которое содержит ссылку на веб-сайт с привлекательным текстом. Причем в общем случае источником сообщения может быть как совсем незнакомый контакт, так и кто-либо из контактного листа пользователя. Большинство пользователей осторожно относятся к сообщениям от незнакомцев, при этом недооценивая опасность перехода по ссылкам, полученных от друзей, и совершенно напрасно. Часто вредоносные программы, заразив компьютер пользователя, крадут его логины и пароли к системам коммуникации и тут же рассылают от его имени свои копии, спам, другие вредоносные программы или ссылки на них. Например, подобным образом поступает червь Net-Worm.Win32.Koobface.es для социальной сети Facebook или червь Net-Worm.Win32.Rovud, распространяющийся в сети «В контакте». Допустим, в рассматриваемом случае ссылка пришла от знакомого из контактного листа, и пользователь, щелкнув по ней, видит предупреждение об опасности посещения внешних ссылок. Действительно, по этой ссылке может быть игра, флэш-ролик, видеосюжет или музыкальный файл, однако, вполне может быть и вредоносная программа или зараженный веб-сайт. Многие пользователи открывают ссылки, несмотря на предупреждения. Однако посмотреть ролик не удается – вместо этого предлагается сначала скачать кодек, установка которого требуется для просмотра видео. Пользователь запускает программу и видит уже знакомое сообщение: «».
Обеспечить 100% защиту от программ-вымогателей невозможно, т.к. вся антивирусная индустрия развивается в условиях постоянной гонки вооружений с индустрией киберкриминала. Однако значительно снизить риски заражения программами-вымогателями можно при условии надлежащего применения «Безопасной среды» KIS2010, успешно противостоящей описанным ранее техническим реализациям программ-вымогателей. Рассмотрим, использование «Безопасной среды» в схеме заражения, рассмотренной выше. Пользователь открывает браузер, заходит на веб-сайт социальной сети и получает сообщение со ссылкой на видеоролик.
Ссылку, ведущую на внешний сайт, пользователь решает открыть в «Безопасной среде», для чего запускает Internet Explorer из безопасной среды KIS2010, после чего по периметру открывшегося браузера появляется зеленое свечение – отличительный признак приложений, запущенных из песочницы. Пользователь переходит по адресу, указанному в ссылке, и открывшийся веб-сайт предлагает ему установить кодек для просмотра видео.
Рисунок 35. Предложение установить видеокодек в браузере, запущенном из «Безопасной среды» KIS2010
Пользователь запускает предложенный файл прямо из браузера и видит окно с требованиями выкупа. Однако в отличие от описанной выше ситуации, здесь достаточно перезагрузить компьютер, чтобы не оставить никаких последствий от запущенной программы-вымогателя. Объясняется это тем, что программа-вымогатель сразу же после запуска, используя системный реестр, обеспечивает себе автозапуск при загрузке Windows, а также создает свои компоненты в файловой системе. При запуске же такой программы из «Безопасной среды» изменению подвергается виртуальное окружение, не оказывающее влияния на реальную операционную систему и пользовательские данные. Те же, кто стремится обеспечить еще более высокий уровень защиты, могут всю работу с Интернетом осуществлять в браузере, запущенном из «Безопасной среды». В этом случае можно создать на рабочем столе ярлык для браузера, запущенного из песочницы (созданный ярлык также подсветится зеленым свечением).
Рисунок 36. Ярлык на запуск Internet Explorer из «Безопасной среды» KIS2010.
Запуск браузера из «Безопасной среды» позволит также защититься от программ-вымогателей, ограничивающих работу в браузере показом всплывающих сообщений. В этом случае достаточно нажать кнопку «Очистить» в интерфейсе «Безопасной среды» и все изменения, внесенные вредоносной программой, будут аннулированы (рис. 37).
Рисунок 37. Кнопка «Очистить» для очистки безопасной среды.
Подозрительную программу можно запустить в «Безопасной среде» из вызываемого контекстного меню для файла (рис. 38).
Рисунок 38. Запуск подозрительного приложения в безопасной среде.
Запуск подозрительных программ в «Безопасной среде» KIS2010 позволяет также защититься от рассмотренных программ-вымогателей:
• шифрующих файлы;
• ограничивающих действия в операционной системе путем изменения в системном реестре;
• блокирующих доступ к веб-сайтам путем изменения файла HOSTS.
Как и в случае с вредоносными программами других классов мы наблюдаем непрекращающуюся гонку вооружений в ситуации с вредоносными программами-вымогателями. Злоумышленники на всех фронтах постоянно улучшают свои творения. Если раньше существовало множество обходных путей лечения программ семейства Blocker, то в последних модификациях вирусописатели учитывают известные приемы обхода. От модификации к модификации усиливались вредоносные программы семейств Krotten и Taras, закрывая все недосмотренные возможности обходной нейтрализации этих программ. Причина такого внимательного подхода проста – для злоумышленников это прибыльное занятие, и они относятся к нему с профессиональной серьезностью. Лишним подтверждением этому утверждению является то, что во многих вымогателях семейства можно найти строку «Rabota» (рис. 39), относящуюся к файлам проекта.
Рисунок 39. Строки из вредоносной программы семейства Trojan-Ransom.Win32.SMSer.
Причин, обуславливающих популярность программ данного класса, несколько.
Рисунок 40. Статистика заражений программами-вымогателями по данным KSN.
Одной из главных является простота реализации мошеннической схемы. Пока будет существовать относительно доступная возможность получения денег посредством SMS с минимальными рисками, подобная бизнес-модель будет привлекательна для злоумышленников. Действительно, ранние версии программ-вымогателей (2006 год) требовали оплату выкупа с использованием E-Gold (), Web-Money () или даже через Western (). Вместе с тем использование E-Gold или Web-Money ограничивает возможности злоумышленников, т.к. очень немногие пользователи умеют пользоваться электронным кошельком, и вообще процедура перечисления таких денег злоумышленнику для рядового пользователя может оказаться сложной. Это понимали и вирусописатели. Позднее, в семействе программ-вымогателей (2007 год) появилась подробная иллюстрированная инструкция по оплате выкупа через платежный терминал с использованием Web-Money или Яндекс.Деньги (рис. 41). Характерен и метод распространения вредоносной программы – на разнообразные форумы добавлялась ссылка на игру «Battle tank».
Рисунок 41. Подробная инструкция для оплаты выкупа через платежные терминалы, предлагаемая вымогателями семейства Trojan.Win32.Sovest.
Однако настоящий расцвет индустрии программ-вымогателей связан с широким распространением мобильных телефонов и возможностью мгновенной оплаты выкупа посредством SMS. Существенное значение имеет относительная анонимность при получении денег, что делает этот бизнес не только рентабельным, но и привлекательным вследствие низких рисков. Стоит ли говорить, что суммы, которые в действительности снимаются со счета пользователя, чувствительно отличаются от указанных авторами вредоносных программ. Для тех, кому интересно, стоимость отправки SMS сообщения на конкретный номер можно узнать в Интернете на сайте http://smscost.ru. Наконец, не последнюю роль играет относительная простота создания вредоносной программы-вымогателя в сравнении с вредоносными программами других поведений. И хотя программы-вымогатели направлены в основном на страны, где имеет распространение русский язык, не следует думать, что цели злоумышленников этим ограничиваются (рис. 42).
Мы рассмотрели наиболее популярные виды троянских программ, шантажирующих пользователей в явном виде. Существуют и другие программы, вымогающие деньги обманным путем, например лжеантивирусы, затронутые нами во втором выпуске AV-School Security Bulletin (AVSSB), но их требования не столь прямолинейные, а последствия активности не столь опасны. Также стоит отметить, что методы лечения, описанные в этом выпуске, применимы к большинству наиболее популярных способов заражения. Однако процедура лечения может оказаться гораздо сложней, если вредоносная программа класса Trojan-Ransom устанавливается с помощью другой вредоносной программы класса Trojan-Dropper или в случае использования rootkit-технологий, которые уже рассматривались в четвертом выпуске AVSSB. Современные вредоносные программы часто действуют не поодиночке, а совместно, т.к. зараженный компьютер должен принести злоумышленнику максимальную выгоду. Так , маскирующийся под графический файл (прием, описанный в разделе «Вредоносные программы в лицах» выпуска AVSSB #3), при запуске устанавливает в систему вредоносные программы и . Первая устанавливаемая программа – уже известный нам вымогатель. А в то время, пока пользователь пытается разблокировать компьютер, вторая установленная программа скрытно крадет аккаунты к разнообразным приложениям и веб-сайтам и отсылает их злоумышленнику. Поэтому во всех описанных способах лечения мы рекомендуем дополнительно проверять компьютер антивирусом со всеми последними обновлениями, чтобы выявить и нейтрализовать все установленные вредоносные программы. Не лишней окажется и смена паролей к приложениям и веб-сайтам. Также мы советуем нашим читателям периодически делать резервное копирование и не посещать подозрительные сайты в Интернете. В тех же случаях, когда у вас есть необходимость работы с файлами и сайтами, не внушающими вам доверие, мы рекомендуем пользоваться инструментом «Безопасная среда» из состава Kaspersky Internet Security 2010. Его применение позволяет успешно противостоять вредоносным программам-вымогателям рассмотренных видов с различными принципами действия.
Как обычно, статистика по авто-описаниям за прошедший месяц доступна на веб-сайте AV-School. World of Warcraft сменил лидера двух последних месяцев Maple Story в рейтинге онлайн-игр, чаще всего становившихся мишенью для вредоносных программ. Среди антивирусных продуктов, уже 3-й месяц подряд продукты «Лаборатории Касперского» чаще других подвергаются атакам со стороны вредоносных программ.
AV-School SECURITY BULLETIN #5
года тысячи пользователей по всему миру получили почтой странные посылки. В большом белом конверте, полученном от неизвестного лица, они с удивлением обнаруживали дискету и листок синей бумаги. Надпись на дискете содержала простые инструкции по установке имеющейся на ней программы. Текст на прилагающемся листке объяснял ее назначение – программа позволяла оценить у опрашиваемого степень опасности заразиться СПИДом. Также на листке содержалось лицензионное соглашение, но мало кто из пользователей компьютера стал его читать. Активировавшись, программа отсчитывала 90 запусков операционной системы, после чего шифровала файлы, а затем извещала пользователя о необходимости приобрести лицензию, угрожая потерей всех файлов. Тут-то пользователь читал лицензионное соглашение, которое программа любезно предлагала распечатать, однако было поздно. В соглашении прописывалось, что устанавливая программу, пользователь автоматически принимает все условия, в числе которых и право авторов требовать ее оплаты путем блокирования работы всего компьютера. На выбор пользователю предлагалось приобрести один из двух видов лицензии – на 189 или 387 долларов США. Оплаченный счет следовало переслать по указанному адресу в Панаме. Любопытно, что программа предлагала отсрочить платеж, если пользователь соглашался установить эту же программу на другой 
компьютер! Такой вот оригинальный метод распространения. Если пользователь соглашался, то программа создавала специальный файл на дискете, который следовало запустить на другом компьютере. Запущенный файл активировался в системе и создавал метку на исходной дискете. Дискету нужно было вернуть на заблокированный компьютер, после чего программа извещала, что продление лицензии отложено, однако в действительности ничего не изменялось, и пользователю по-прежнему выдавались вымогательские сообщения. Так в декабре далекого 1989 года происходило распространение вредоносной программы . Некоторые пользователи тогда, проявив бдительность, избежали заражения, но многие запустили программу. Инцидент был освещен 
в средствах массовой информации, были выпущены лечащие утилиты, а автор программы пойман. Как отмечает Евгений Касперский в своей книге «Компьютерное Zловредство»: «Не исключено, что данный инцидент – первое в компьютерной истории преступление с корыстным умыслом, при котором инструментом совершения была троянская программа, внедренная на большое количество компьютеров». И вот 20 лет спустя вредоносные программы-вымогатели переживают вторую, а может и третью молодость. Изменились способы распространения – традиционная почта уступила место электронной, появились системы мгновенного обмена сообщениями, социальные сети. Изменились способы получения выкупа – электронные деньги и оплата через SMS намного удобнее для злоумышленников, чем оплаченный счет. Однако не изменился главный принцип, объединяющий все эти программы под одним поведением – взятие данных в заложники или ограничение возможностей работы на компьютере, и требование выкупа за то, чтобы вернуть все как было. В данной статье мы выделим основные виды представителей этого класса вредоносных программ, рассмотрим их особенности, способы борьбы с ними, а также предложим метод превентивной защиты от вредоносных программ этого класса.
переворачивалось изображение экрана. На рубеже столетия появилось множество подобных программ: летающие окна с кнопкой «Отмена», сворачивание всех открываемых окон, удаление панели задач или кнопки «Пуск», блокировка клавиатуры и т.д. Многие шутили над своим друзьями и коллегами, передавая такие программы под видом игры или полезной утилиты. После запуска веселились даже «жертвы», т.к. максимум, что приходилось сделать для прекращения ее действия – просто перезагрузить компьютер. Все подобные программы объединяет отсутствие коммерческой выгоды для ее авторов, поэтому по нашей классификации они относятся к поведению Hoax. Отличие вредоносных программ класса Trojan-Ransom заключается в их изначальной коммерческой направленности. Каждая программа этого поведения является инструментом в определенной бизнес-модели киберпреступников. Рассмотрим виды вредоносных программ класса Trojan-Ransom в порядке сложности борьбы с ними вручную, без антивируса (рис. 1). Избавиться от последствий запуска первых двух видов не представляет никакой сложности, третьего и четвертого – немного сложней, а устранение последствий работы программ, отнесенных к пятому виду не всегда возможно.
программы к программе. Для расшифровки файлов как минимум надо иметь экземпляр троянской программы, хотя и этого может быть недостаточно. В случае заражения программой-вымогателем подобного вида, имеет смысл обратиться в техническую поддержку антивирусной компании. Наконец, если позволяет квалификация, можно попытаться самостоятельно дизассемблировать вредоносную программу, выяснить алгоритм шифрования и написать программу дешифровки.
Как гласит латинская пословица: «Предупрежден, значит вооружен». Для снижения риска заражения вредоносными программами вообще, а не только программами-вымогателями, в Kaspersky Internet Security 2010 появился новый инструмент превентивной защиты – «Безопасная среда» (рис. 34). Данный механизм использует принципы виртуализации, так что подозрительные программы, запущенные в такой «песочнице» не смогут нанести вреда операционной системе и данным пользователя. По умолчанию в песочнице KIS2010 находятся 2 ярлыка – на браузер Internet Explorer в обычном режиме и на браузер Internet Explorer в режиме очистки всех сеансовых данных после закрытия. Интерфейс «Безопасной среды» позволяет самостоятельно добавить приложения для запуска в песочнице, например, другие браузеры – Firefox, Opera или Chrome. Рассмотрим использование этого инструмента в типовых сценариях заражения вредоносными программами-вымогателями. 
