Домой Общество Вам "ценная" бандероль! или Троянцы с платной доставкой

Вам "ценная" бандероль! или Троянцы с платной доставкой

0

Количество обращений пользователей, терроризируемых в последнее время троянскими программами, прямо пропорционально всевозрастающему числу последних. И если троянский конь из бессмертной «Илиады» вошел в историю, не проронив ни слова, поделки вирусописателей, напротив, заявляют о себе «в полный голос» — настойчиво требуют денег за избавление от собственной компании.

В свое время троянцы Krotten, Cryzip и GpCode доставили немало хлопот пользователям Web Money – для восстановления зашифрованных данных или возобновления нормальной работы операционной системы вымогатели заставляли своих жертв проводить платежи с использованием «электрон-ных» денег. Конец марта и начало апреля этого года стали настоящим часом X для Trojan-Ransom-программ: в сети под видом видеокодеков началось распространение троянов, блокирующих работу компьютера и требующих отправить платную смс для его разблокировки. Аудитория потенциальных жертв серьезно расширилась: отныне в зоне риска оказывался любой абонент сотовой связи, имеющий выход в интернет.

Первой подобной программой считается Trojan-Ransom.Win32.SMSer. Предварительно прописавшись в реестре, троянец запускал диспетчер задач и осуществлял маскировку его окна — нормальная работа системы была затруднена. Свое имя зловред получил не случайно: для восстановления нормальной работы компьютера создатели программы предлагали пользователю отправить смс на короткий номер, в ответ высылался код для прекращения блокировки диспетчера задач.

Следующим шагом в эволюции вредоносного ПО типа Trojan-Ransom было появление в ноябре прошлого года Hexzone – одного из самых популярных семейств троянцев с описываемым функционалом. Представители Hexzone незаметно встраиваются в интернет-браузер и выдают на экран эротический рекламный баннер, требуя отправки смс, если пользователь не рад новым «соседям». Аналогичным образом действуют троянцы из семейства Gazon, с той лишь разницей, что зловредная программа предстает уже не баннером, а представляет собой отдельное окно c пикантным содержимым.

Вымогатели и террористы

«Хотя эти названия, конечно, условные – скорее, для обозначения различий в функционале — подобное ПО я бы разделил на два класса: вымогатели и террористы», — говорит Андрей Ладиков, вирусный аналитик «Лаборатории Касперского».

К первому классу можно отнести семейства Hexzone и Gazon– в первом случае назойливый баннер снижает работоспособность системы, «террористами» небезосновательно можно назвать троянские программы, блокирующие работу ПК и угрожающие пользователю порчей его данных, в случае если тот не отправит смс (Blocker и BlueScreen).

В самом деле, несмотря на всю условность полученных наименований, названные троянцы за снятие блокировки требуют самых настоящих денег. При отправке смс на указанный номер с мобильного счета пользователя будут сняты от 300 до 400 рублей.

По словам Ладикова, сейчас наиболее активны и распространены 5 семейств троянцев, имеющих функцию работы с смс-кодом: HexZone, Blocker, Gazon, BlueScreen и SMSer. Помимо этого, существуют десятки разрозненных семейств, для удобства классификации сгруппированных под именем Agent. Всего же в «дикой природе» (in-the-wild) встречаются более 1500 модификаций данного вредоносного ПО.

Вас заказали

Столь стремительный рост числа троянских программ типа Trojan-Ransom, наблюдающийся последние полгода, во многом может быть объяснен высокой эффективностью применяемой злоумышленниками схемы. Не секрет, что практически все российские компании, предоставляющие сервсис смс-билинга, устанавливают наценки на свои услуги в среднем в пределах от 40% до 60% от первоначальной стоимости одного смс. Выходит, некоторым контент-провайдерам выгодно предоставлять смс-билинг авторам подобных программ. Так ли это? Руководитель отдела оперативной борьбы с угрозами Алексей Маланов («Лаборатория Касперского») склонен с этим согласиться: «Троян блокирует нормальную работу компьютера и для ее восстановления предлагает ввести пароль, который жертва получает в ответ на короткое сообщение. Часть денег за платную СМС получает мобильный оператор, часть – контент-провайдер и злоумышленники, арендовавшие этот номер. Чем популярнее становится схема, тем больше вирусописателей задумываются над ее использованием. В свою очередь, это ведет к увеличению количества потерпевших».

Антитеррор

В ответ на участившиеся жалобы пользователей специалисты одной антивирусной компании выпустили онлайн-утилиту, позволяющую получить код разблокировки – для этого лишь необходимо ввести в со-ответствующее поле текст предполагаемого смс-сообщения. Своевременное обновление антивирусных баз в паре с упомянутной веб-формой получения кода разблокировки действительно позволяют предотвратить заражение или избавиться (в случае заражения) от настырных цифровых вымогателей.

При всей своей простоте и очевидной на первый взгляд эффективности, подобный подход, с сожалению, не лишен некоторого изъяна. Страница с онлайн-утилитой находится на веб-сайте компании-разработчика, тем самым провоцируя киберпреступников на модификацию троянцев. Иными словами, действие вызывает противодействие: у вирусописателей появляется стимул еще активнее заниматься написанием новых, еще более серьезных программ. Есть ли выход?

«Сотрудниками нашей компании была написана специальная программа, позволяющая вычислять код для разблокировки ПК в случае его заражения троянской программой типа Trojan-Ransom. Однако, чтобы не привлекать повышенного внимания вирусописателей, мы сознательно не публикуем ее в открытом доступе на нашей странице, — говорит Андрей Ладиков. – Пользователи продуктов «Лаборатории Касперского» могут обратиться в службу технической поддержки и, пройдя процедуру идентификации, по телефону получить код разблокировки».

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.