10 октября, 2013
KIS-2014: Звонок другу.
Ах, если бы только найти индивида! Уж я так устрою, что он свои деньги мне сам принесёт, на блюдечке с голубой каёмкой.
Клиента надо приучить к мысли, что ему придётся отдать деньги. Его надо морально разоружить, подавить в нем реакционные собственнические инстинкты.
(с) Остап Сулейман Берта Мария Бендер-Бей
Сомневаюсь, что современные кибер-негодяи учились своим приёмчикам у этого идейного борца за денежные знаки. Однако параллель налицо – так и никак иначе, по формуле «на блюдечке с голубой каёмочкой» потрошат кошельки граждан блокеры — особый и весьма подленький вид компьютерных зловредов. И в новой версии KIS 2014 мы им подготовили особый сюрприз.
Матчасть блокеров достаточно проста.
Всеми доступными способами (например, через уязвимости в приложениях) на компьютер жертвы внедряется вредоносная программа, которая внезапно выводит на экран картинку и блокирует как рабочий стол компьютера, так и окна всех остальных программ. Разблокировка возможна (ну, была возможна – подробности ниже) с помощью специального кода, который можно получить у мошенников. Ага, за деньги – с оплатой как у взрослых мальчиков через premium SMS номера и электронные деньги. А покамест, что бы пользователь не делал (в том числе CTRL+ALT+DEL), какие бы приложения не вызывал (в т.ч. антивирусы) – всё равно он будет видеть примерно вот такую гадость:
Или вот такую:
Или ещё более тысячи других вариантов. Причем не имеет значения, Windows у вас или Мак.
В общем, про технику блокеров уже много написано, читайте, например, здесь.
Несколько лет назад масштаб эпидемии перешёл все пределы приличия, так что их авторов даже начали ловить и сажать компетентные органы. Оптимистично оборот этой отрасли компьютерного зловредства в 2010г. составил аж 100 млн.руб. (пессимистично – 500 млн.руб.), её жертвами стали десятки миллионов пользователей. Порядка 5% владельцев зараженных компьютеров действительно платят вымогателям, что вдохновляет их на новые «подвиги».
На пике эпидемии мы даже выпустили бесплатное приложение, которое по номеру телефона или счёта вымогателя выводило код разблокировки – своего рода «звонок другу». Казалось бы, вот он, момент истины! Вот-вот жить станет лучше и веселее! И правда — судя по количеству обращений к нашему веб-сервису, масштаб катастрофы уменьшился примерно в 10 раз. Но, увы и ах! – проблема не только осталась, она, как говорится, усугубилась.
Во-первых, чисто российский (постсоветский) феномен стал разрастаться глобально, «благо» платные SMS номера и электронные деньги есть везде. При этом российские (постсоветские) кибер-негодяи удачно прятались от зарубежного правосудия за бюрократическими особенностями международного сотрудничества. Во-вторых, раньше блокеры были «честными» и после оплаты действительно снимали баннер с экрана (ага, до следующей команды заблокировать!). Их преемники этим не страдают и держат баннер даже после оплаты. Т.е. вы догадываетесь – в них больше нет кода для разблокировки и деблокер-сервисы больше не работают!
Что делать?
Прежде всего, за редким исключением всё ещё остаётся возможность хирургического вмешательства и ручного удаления блокеров бесплатными утилитами, если вдруг штатный антивирус пропустил атаку. Прочитав много букв по предыдущей ссылке, вы поймёте, что задача это нетривиальная, под силу только спецам. А для обычного пользователя в KIS 2014 мы подготовили одну приятную фичу, способную убрать блокер 4 пальцами, буквально. Или тремя, но несколько раз :) Причём без тех самых редких исключений.
А именно:
уже пару лет как в наших домашних продуктах есть функция «безопасная клавиатура«. Это драйвер операционной системы, который защищает от клавиатурных перехватчиков (кейлоггеров). Т.е. даже если компьютер заражен неким супер-пупер троянцем, то его попытки перехватить, например, вводимые с клавиатуры пароли тщетны. Тем же способом мы боремся с блокерами – безопасная клавиатура не даёт зловреду монопольно завладеть «кнопками» и если пользователь нажимает комбинацию СTRL+ALT+SHIFT+F4 (или CTRL+ALT+DEL несколько раз подряд), то KIS запускает процедуру деактивации блокера. Точнее, различными антивирусными компонентами (сигнатурами и эвристиками) мы детектируем заражение и проводим зачистку активных процессов, системного реестра и разблокируем экран. Затем удаляем остатки блокера стандартными средствами антивируса, перезапускаем Проводник (explorer.exe) для восстановления кнопки «Пуск» и оригинального рабочего стола, а также восстанавливаем изменённые ключи реестра. Кстати, описанный сценарий деактивации блокера включен в состав патентной заявки и сейчас проходит экспертизу.
И напоследок – из серии «я плакал».
Летом этого года жертвой блокера стал 21-летний американец. Точнее – он обнаружил на своём экране примерно вот такую картинку:
Если вчитаться в текст предупреждения, то владелец заблокированного компьютера от имени ФБР обвиняется в просмотре детской порнографии и ряде других федеральных преступлений. Искупить сей грех предлагается оплатой штрафа в размере $200 в течение 72 часов.
Дальнейшие метания жертвы логически труднообъяснимы. Неясно сколько времени парень боролся с угрызениями совести, но, в конце концов, он пришел с повинной в полицию. На его компьютере действительно были обнаружены перечисленные материалы. Как говорится – нашла коса на камень!