Вирусы-вымогатели. Блокировщики. Порнобаннеры.

Аватар пользователя userok


Вирусы-вымогатели. Блокировщики. Порнобаннеры.

Эта первая статья посвященная данному виду вредоносных программ, в ней мы попытаемся разобраться каким образом такие вирусы попадают на компьютер и есть ли смысл идти на поводу у злоумышленников. В следующей статье мы поговорим о стратегии удаления этой заразы с ПК, а в последней, третьей по счёту, попробуем «заразить» блокировщиком-вымогателем Windows на виртуальной машине и затем удалить его используя знания, полученные в двух предыдущих статьях.

И так как-же можно подцепить подобную инфекцию? Точно так-же как и другое вредоносное ПО: по электронной почте, на порносайте или при запуске очередного скачанного из Сети взломщика какой-нибудь недешёвой коммерческой программы. Расчет злоумышленников прост как три копейки: пользователь вводится в заблуждение запуская исполняемый exe-файл, содержащий вирус, а называющийся к примеру windows7crack.exe. Но вместо активации вожделённой операционной системы он получает заблокированный компьютер со всеми вытекающими последствиями.

Еще один пример - это порнография, так горячо любимая пользователями всемирной паутины:) а так-же музыка, безобидные небольшие видеоролики, клипы итд.

Итак, первый способ: цель злоумышленника сделать так чтобы Вы самостоятельно запустили вредоносную программу, большего от вас не требуется, вредоносный код дальше сделает свое чёрное дело.

Сделаем небольшое отступление: те пользователи кто застал времена MS-DOS, прекрасно помнят, что исполняемыми являются файлы с расширениями exe, com, bat. Если раньше пользователи всегда знали по расширению какой тип файла они открывают двойным щелчком, то в новое время не без стараний компании Microsoft огромное число пользователей даже понятия не имеют о тех нескольких символах «после точки», и определяют тип содержимого исключительно по внешнему виду значка.
Нет числа тем несчастным которые дважды щёлкая обычный c виду музыкальный файл, с удивлением получали вместо запуска проигрывателя окно с требованием пополнить счет чужого мобильного телефона.

Почему так происходит? Разработчики ОС Windows всегда стремились сделать своё детище доступным для освоения максимальному числу пользователей, с целью увеличить популярность своей ОС и соответственно продажи. Стратегия — не грузить пользователя «ненужными» техническими деталями. Надо признаться эту задачу они выполнили безукоризненно. Многие покупая компьютер даже не подозревают, что существуют другие ОС кроме Windows, а на вопрос какая операционная система у них стоит, неуверенно отвечают что Windows, а уж добиться у такого пользователя ответа какая именно версия Windows на его компьютере практически невозможно.

Хотелось бы посмотреть в глаза тому человеку в Microsoft, кому впервые пришла в голову идея, скрыть от пользователя расширения файлов и более того сделать это настройкой по-умолчанию! Но хватит эмоций, нас интересует в данной статье то каким образом этим пользуются граждане вирусописатели.

Почти все производители программных продуктов вставляют в основные исполняемые файлы своих программ небольшие картинки-логотипы, а что мешает разработчику вредоносной программы вставить в свой экзешник логотип популярного медиа-проигрывателя или текстового процессора?

Предположим злоумышленник присвоил своей вредоносной программе следующие имена:
xxx-video.exe
xxx-video.avi.exe
и вставил туда логотип проигрывателя Windows Media, а что видит пользователь, скачав их на свой компьютер?
Если пользователь убрал галку «Скрывать расширения для зарегистрированных типов файлов» в меню «Сервис»-> «Свойства папки» → «Вид» в проводнике Windows, тогда он увидит следующую картинку:

И десять раз подумает стоит ли запускать столь подозрительный контент.
Но если у него эта галка стоит, а по-умолчанию она присутствует и символы после последней точки в имени файла не отображаются, тогда он может не чувствуя подвоха запустить эти файлы на исполнение двойным щелчком мыши:

Если же Вас совершенно не интересует «горячее видео», это совсем не значит, что Вы не можете быть обмануты подобным образом. В нашей практике на компьютерах пользователей встречались различные виды маскировки вредоносных файлов под различные популярные форматы файлов, например:
Федеральный_закон №14ФЗ.docx.exe
База_данных_мобильных_телефонов.mdb.exe
Вестник_бухгалтера_№3-2012.pdf.exe
Виагра.mp3.exe
Все_обои_рабочего_стола_ в_одном_архиве.zip.exe и.т.д. и.т.п.

Способ второй: скрытая загрузка вредоносного контента напрямую с вэб-страницы. На какие только ухищрения не идут «плохие парни», чтобы заставить вас скачать вирус!
Расскажу как один мой знакомый словил порнобаннер. Привожу его слова по памяти: «Смотрю на каком-то сайте порнофотки, тут в правом нижнем углу появляется окошко, там фотка молодой красивой девушки и сообщение от неё: «Приветик, я тоже из города N. давай познакомимся!», я нажал на это сообщение и через несколько секунд компьютер заблокировался!»
Вот так!

Мне конечно понятно, что подобное окошко показывается каждому посетителю того сайта, возможно фото девушек раз от раза меняются, может слегка варьироваться и сообщение. Но неужели тем, кто ведётся на этот обман не приходит в голову задуматься: а каким же это образом она его нашла? И каким сильным специалистом в области интернет-технологий надо быть, чтобы
а) узнать кто из мужчин живущий с ней в одном городе сейчас бороздит просторы Сети
б) вычислить их IP-адреса
с) выбрать из них того, который ей наиболее симпатичен
d) удалённо отправить предложение о знакомстве напрямую в его браузер ???
Вы бы справились с подобной задачей? А двадцатилетняя блондиночка?

Способ третий: Открыть вложение в электронное письмо, присланное от неизвестного адресата.

Способ четвертый: автозапуск с заражённой флешки.

Все остальные пути попадания вымогателей на компьютер представляют собой те или иные вариации рассмотренных четырёх, хотя прогресс нельзя остановить и злоумышленники несомненно будут находить всё более изощрённые методы заражения Вашего ПК.

В заключении хотелось бы ответить на вопрос, волновавший многих впервые «заразившихся»: а стоит ли платить деньги злоумышленникам?

Если в тексте требования оплаты указан короткий номер на который надо отправить sms-сообщение, существует микроскопическая вероятность, что в ответ будет прислан реальный код разблокировки, если злоумышленники «сравнительно честные», мне известна пара таких случаев. Но это лотерея, может быть повезёт, но скорее всего нет.

Другой вариант требование оплаты на электронный кошелёк QIWI, WEM-money, yandex-деньги и.т.д. Первый вопрос который следует задать себе: а каким образом и куда будет выслан код разблокировки? Если Вы не можете ответить на этот вопрос, то не стоит и платить.

Ну и напоследок наиболее циничное требование пополнить счет мобильного телефона через терминал оплаты, и на чеке, который он Вам выдаст, якобы Вы сможете найти код разблокировки. Ну откуда обычный фискальный кассовый аппарат, установленный в терминале оплаты может «знать» код разблокировки вредоносной программы, ведь он не имеет абсолютно никакого отношения к её создателям? До сих пор не могу удержаться от улыбки, вспоминая как клиент обратился ко мне с просьбой показать ему какой именно код с фискального чека необходимо ввести. Говорил, что все перепробовал, но ни один ему не помог. Кто бы сомневался...

Вывод: платить не стоит ни в коем случае! Только лечиться. О том каким образом это сделать мы поговорим в следующей статье. Никакого чуда не обещаем, всякое бывает, но зная механизмы заражения, способы загрузки зловреда в оперативную память, зная основные места файловой системы, где обычно прячутся вирусы-вымогатели, а также способы их автозагрузки Вы сможете с вероятностью до 95% вычистить свой компьютер от заразы самостоятельно.

Эта статья опубликована под Creative Commons Attribution ShareAlike лицензией.

Ссылки:
Вирусы-вымогатели. Стратегия лечения.
Вирусы-вымогатели. Пошаговый пример лечения.

Добавить комментарий