Количество обращений пользователей, терроризируемых в последнее время троянскими программами, прямо пропорционально всевозрастающему числу последних. И если троянский конь из бессмертной «Илиады» вошел в историю, не проронив ни слова, поделки вирусописателей, напротив, заявляют о себе «в полный голос» — настойчиво требуют денег за избавление от собственной компании.
В свое время троянцы Krotten, Cryzip и GpCode доставили немало хлопот пользователям Web Money – для восстановления зашифрованных данных или возобновления нормальной работы операционной системы вымогатели заставляли своих жертв проводить платежи с использованием «электрон-ных» денег. Конец марта и начало апреля этого года стали настоящим часом X для Trojan-Ransom-программ: в сети под видом видеокодеков началось распространение троянов, блокирующих работу компьютера и требующих отправить платную смс для его разблокировки. Аудитория потенциальных жертв серьезно расширилась: отныне в зоне риска оказывался любой абонент сотовой связи, имеющий выход в интернет.
Первой подобной программой считается Trojan-Ransom.Win32.SMSer. Предварительно прописавшись в реестре, троянец запускал диспетчер задач и осуществлял маскировку его окна — нормальная работа системы была затруднена. Свое имя зловред получил не случайно: для восстановления нормальной работы компьютера создатели программы предлагали пользователю отправить смс на короткий номер, в ответ высылался код для прекращения блокировки диспетчера задач.
Следующим шагом в эволюции вредоносного ПО типа Trojan-Ransom было появление в ноябре прошлого года Hexzone – одного из самых популярных семейств троянцев с описываемым функционалом. Представители Hexzone незаметно встраиваются в интернет-браузер и выдают на экран эротический рекламный баннер, требуя отправки смс, если пользователь не рад новым «соседям». Аналогичным образом действуют троянцы из семейства Gazon, с той лишь разницей, что зловредная программа предстает уже не баннером, а представляет собой отдельное окно c пикантным содержимым.
Вымогатели и террористы
«Хотя эти названия, конечно, условные – скорее, для обозначения различий в функционале — подобное ПО я бы разделил на два класса: вымогатели и террористы», — говорит Андрей Ладиков, вирусный аналитик «Лаборатории Касперского».
К первому классу можно отнести семейства Hexzone и Gazon– в первом случае назойливый баннер снижает работоспособность системы, «террористами» небезосновательно можно назвать троянские программы, блокирующие работу ПК и угрожающие пользователю порчей его данных, в случае если тот не отправит смс (Blocker и BlueScreen).
В самом деле, несмотря на всю условность полученных наименований, названные троянцы за снятие блокировки требуют самых настоящих денег. При отправке смс на указанный номер с мобильного счета пользователя будут сняты от 300 до 400 рублей.
По словам Ладикова, сейчас наиболее активны и распространены 5 семейств троянцев, имеющих функцию работы с смс-кодом: HexZone, Blocker, Gazon, BlueScreen и SMSer. Помимо этого, существуют десятки разрозненных семейств, для удобства классификации сгруппированных под именем Agent. Всего же в «дикой природе» (in-the-wild) встречаются более 1500 модификаций данного вредоносного ПО.
Вас заказали
Столь стремительный рост числа троянских программ типа Trojan-Ransom, наблюдающийся последние полгода, во многом может быть объяснен высокой эффективностью применяемой злоумышленниками схемы. Не секрет, что практически все российские компании, предоставляющие сервсис смс-билинга, устанавливают наценки на свои услуги в среднем в пределах от 40% до 60% от первоначальной стоимости одного смс. Выходит, некоторым контент-провайдерам выгодно предоставлять смс-билинг авторам подобных программ. Так ли это? Руководитель отдела оперативной борьбы с угрозами Алексей Маланов («Лаборатория Касперского») склонен с этим согласиться: «Троян блокирует нормальную работу компьютера и для ее восстановления предлагает ввести пароль, который жертва получает в ответ на короткое сообщение. Часть денег за платную СМС получает мобильный оператор, часть – контент-провайдер и злоумышленники, арендовавшие этот номер. Чем популярнее становится схема, тем больше вирусописателей задумываются над ее использованием. В свою очередь, это ведет к увеличению количества потерпевших».
Антитеррор
В ответ на участившиеся жалобы пользователей специалисты одной антивирусной компании выпустили онлайн-утилиту, позволяющую получить код разблокировки – для этого лишь необходимо ввести в со-ответствующее поле текст предполагаемого смс-сообщения. Своевременное обновление антивирусных баз в паре с упомянутной веб-формой получения кода разблокировки действительно позволяют предотвратить заражение или избавиться (в случае заражения) от настырных цифровых вымогателей.
При всей своей простоте и очевидной на первый взгляд эффективности, подобный подход, с сожалению, не лишен некоторого изъяна. Страница с онлайн-утилитой находится на веб-сайте компании-разработчика, тем самым провоцируя киберпреступников на модификацию троянцев. Иными словами, действие вызывает противодействие: у вирусописателей появляется стимул еще активнее заниматься написанием новых, еще более серьезных программ. Есть ли выход?
«Сотрудниками нашей компании была написана специальная программа, позволяющая вычислять код для разблокировки ПК в случае его заражения троянской программой типа Trojan-Ransom. Однако, чтобы не привлекать повышенного внимания вирусописателей, мы сознательно не публикуем ее в открытом доступе на нашей странице, — говорит Андрей Ладиков. – Пользователи продуктов «Лаборатории Касперского» могут обратиться в службу технической поддержки и, пройдя процедуру идентификации, по телефону получить код разблокировки».
