Винлокеры

 Винлокеры (по классификации DrWeb Trojan.Winlock, антивирусы «Лаборатории Касперского классифицируют их как Trojan-Ransom)—семейство вредоносных программ, затрудняющих, или блокирующих работу пользователя с ОС, и требующих за разблокировку и восстановление компьютера перечисление денежных средств злоумышленникам. Первые представители семейства появились в 2007 году. Всплеск количества зараженных станций был зафиксирован зимой 2009-2010 года (миллионы компьютеров, в основном русскоязычных пользователей) и в мае 2010.
Первые представители использовали для перевода денег короткие SMS-номера, в настоящее время перечень способов оплаты пополнился электронными кошельками.
В настоящее время антивирусным ПО детектируется несколько тысяч разнообразных винлокеров. Примечательная особенность—винлокеры ориентированы в основном на русскоязычных пользователей. При проектировании и разработке злоумышленники используют методы социальной инженерии. Необходимость оплатить разблокировку объясняется в сообщении тем, что пользователь использовал нелицензионное программное обеспечение, просматривал порносайты (широко используются шокирующие рядового человека разделы как педофилия и т.д.). Достаточно часто сообщение винлокера при внимательном рассмотрении звучит абсурдно, например: «Ваш компьютер заблокирован… Для разблокировки компьютера необходимо пополнить баланс телефона в любом терминале оплаты. После оплаты код разблокировки должен появиться на чеке оплаты». По статистике до 10-15% процентов неискушенных пользователей, шокированных содержанием сообщения и медиасодержимым винлокера (используются в основном фото, иногда видео) пытается разблокировать компьютер, платя мошенникам деньги, но в 99% процентов случаев это не помогает. В некоторые винлокеры встроен таймер обратного отсчета, по истечении которого вирус обещает уничтожить данные, ОС или другие разрушительные действия. Чаще всего это простая угроза, но некоторые виды действительно осуществляют это. К счастью по причине частой «кривизны» рук «разработчиков» это не всегда срабатывает.
Заражение винлокером может произойти при посещении страницы злоумышленника в интернете с вредоносным сценарием, также при запуске программ, маскирующихся под установщики и самораспаковывающиеся архивы (часто в «лицензионном соглашении» такого файла говорится о том, что пользователь обязуется посмотреть рекламный блок, например 1000 раз, или отказаться от этого, отправив платное SMS на короткий номер).
Интерфейс троянов разнообразен и красочен. Наболее часто обыгрывается схожесть со стандартными меню ОС, либо наличие порнографического материала с шокирующим содержимым. Иногда винлокеры маскируются под антивирусные продукты, проводя мнимую «проверку», и предлагающие пользователю установить «антивирус».
Условно винлокеры можно классифицировать на 5 типов, в зависимости от метода внедрения и степени блокировки ОС:

1-й тип. Баннеры, появляющиеся только в окне браузера, чаще всего внедряясь как надстройка.
2-й тип. Информер винлокера остается после закрытия браузера, но у пользователя имеется возможность открывать другие программы в т.ч. диспетчер задач и редактор реестра.
3-й тип. Информер загружается после полной загрузки рабочего стола, закрывают его целиком, блокируют запуск диспетчера задач, редактора реестра, загрузку в безопасном режиме. Часто они также устанавливают собственные перехватчики прерываний клавиатуры, блокируя ее полностью, кроме клавиш цифрового ввода для ввода кода разблокировки.
4-й тип. Баннер загружается до загрузки рабочего стола. Чаще всего подменяется файл Userinit.exe или Explorer.exe
5-й тип. Так называемый MBR.Locker. Загружается до передачи управления операционной системе. Вирус вносит изменения в Master Boot Record жесткого диска.

Способы разблокировки компьютера от различных видов винлокеров рассмотрены на нашем сайте здесь.

Запись опубликована в рубрике безопасность. Добавьте в закладки постоянную ссылку.

Добавить комментарий