KIS-2014: Звонок другу.

Ах, если бы только найти индивида! Уж я так устрою, что он свои деньги мне сам принесёт, на блюдечке с голубой каёмкой.

Клиента надо приучить к мысли, что ему придётся отдать деньги. Его надо морально разоружить, подавить в нем реакционные собственнические инстинкты.

(с) Остап Сулейман Берта Мария Бендер-Бей

Сомневаюсь, что современные кибер-негодяи учились своим приёмчикам у этого идейного борца за денежные знаки. Однако параллель налицо – так и никак иначе, по формуле «на блюдечке с голубой каёмочкой» потрошат кошельки граждан блокеры — особый и весьма подленький вид компьютерных зловредов. И в новой версии KIS 2014 мы им подготовили особый сюрприз.

Матчасть блокеров достаточно проста.

Всеми доступными способами (например, через уязвимости в приложениях) на компьютер жертвы внедряется вредоносная программа, которая внезапно выводит на экран картинку и блокирует как рабочий стол компьютера, так и окна всех остальных программ. Разблокировка возможна (ну, была возможна – подробности ниже) с помощью специального кода, который можно получить у мошенников. Ага, за деньги – с оплатой как у взрослых мальчиков через premium SMS номера и электронные деньги. А покамест, что бы пользователь не делал (в том числе CTRL+ALT+DEL), какие бы приложения не вызывал (в т.ч. антивирусы) – всё равно он будет видеть примерно вот такую гадость:

ransomware4

Или вот такую:

ransomware6

Или ещё более тысячи других вариантов. Причем не имеет значения, Windows у вас или Мак.

В общем, про технику блокеров уже много написано, читайте, например, здесь.

Несколько лет назад масштаб эпидемии перешёл все пределы приличия, так что их авторов даже начали ловить и сажать компетентные органы. Оптимистично оборот этой отрасли компьютерного зловредства в 2010г. составил аж 100 млн.руб. (пессимистично – 500 млн.руб.), её жертвами стали десятки миллионов пользователей. Порядка 5% владельцев зараженных компьютеров действительно платят вымогателям, что вдохновляет их на новые «подвиги».

На пике эпидемии мы даже выпустили бесплатное приложение, которое по номеру телефона или счёта вымогателя выводило код разблокировки – своего рода «звонок другу». Казалось бы, вот он, момент истины! Вот-вот жить станет лучше и веселее! И правда — судя по количеству обращений к нашему веб-сервису, масштаб катастрофы уменьшился примерно в 10 раз. Но, увы и ах! – проблема не только осталась, она, как говорится, усугубилась.

Оборот блокерского бизнеса в 2010г. достиг 500 млн.руб., жертвами стали десятки миллионов пользователей, из которых примерно 5% действительно заплатили вымогателям

Во-первых, чисто российский (постсоветский) феномен стал разрастаться глобально, «благо» платные SMS номера и электронные деньги есть везде. При этом российские (постсоветские) кибер-негодяи удачно прятались от зарубежного правосудия за бюрократическими особенностями международного сотрудничества. Во-вторых, раньше блокеры были «честными» и после оплаты действительно снимали баннер с экрана (ага, до следующей команды заблокировать!). Их преемники этим не страдают и держат баннер даже после оплаты. Т.е. вы догадываетесь – в них больше нет кода для разблокировки и деблокер-сервисы больше не работают!

Что делать?

Прежде всего, за редким исключением всё ещё остаётся возможность хирургического вмешательства и ручного удаления блокеров бесплатными утилитами, если вдруг штатный антивирус пропустил атаку. Прочитав много букв по предыдущей ссылке, вы поймёте, что задача это нетривиальная, под силу только спецам. А для обычного пользователя в KIS 2014 мы подготовили одну приятную фичу, способную убрать блокер 4 пальцами, буквально. Или тремя, но несколько раз :) Причём без тех самых редких исключений.

А именно:

уже пару лет как в наших домашних продуктах есть функция «безопасная клавиатура». Это драйвер операционной системы, который защищает от клавиатурных перехватчиков (кейлоггеров). Т.е. даже если компьютер заражен неким супер-пупер троянцем, то его попытки перехватить, например, вводимые с клавиатуры пароли тщетны. Тем же способом мы боремся с блокерами – безопасная клавиатура не даёт зловреду монопольно завладеть «кнопками» и если пользователь нажимает комбинацию СTRL+ALT+SHIFT+F4 (или CTRL+ALT+DEL несколько раз подряд), то KIS запускает процедуру деактивации блокера. Точнее, различными антивирусными компонентами (сигнатурами и эвристиками) мы детектируем заражение и проводим зачистку активных процессов, системного реестра и разблокируем экран. Затем удаляем остатки блокера стандартными средствами антивируса, перезапускаем Проводник (explorer.exe) для восстановления кнопки «Пуск» и оригинального рабочего стола, а также восстанавливаем изменённые ключи реестра. Кстати, описанный сценарий деактивации блокера включен в состав патентной заявки и сейчас проходит экспертизу.

И напоследок – из серии «я плакал».

Летом этого года жертвой блокера стал 21-летний американец. Точнее – он обнаружил на своём экране примерно вот такую картинку:

ransomware5

Если вчитаться в текст предупреждения, то владелец заблокированного компьютера от имени ФБР обвиняется в просмотре детской порнографии и ряде других федеральных преступлений. Искупить сей грех предлагается оплатой штрафа в размере $200 в течение 72 часов.

Дальнейшие метания жертвы логически труднообъяснимы. Неясно сколько времени парень боролся с угрызениями совести, но, в конце концов, он пришел с повинной в полицию. На его компьютере действительно были обнаружены перечисленные материалы. Как говорится – нашла коса на камень!

Прочитать комментарии 6
Комментарии 3 Оставить заметку

    Alexander Krugovoy (@Alex_Doppler)

    Спасибо за статью — улыбнуло про ФБР. А по сути — никогда не сталкивался за всё время. Даже иногда обидно, что меня игнорируют зловреды ))

    Eger

    >> » убрать блокер 4 пальцами … причём без тех самых редких исключений»

    Не верю!
    1. Как «функция «безопасная клавиатура» (драйвер операционной системы) работают до старта ОС? Ведь есть блокеры, которые лочат загрузку ОС, (т.е. грузятся вместо ОС).
    2. Как тут быть с зловредами, которые не просто лочат, а криптуют файлы… А ответный код (уникальный при каждом новом заражении) является ключом для раскриптовки

    Юрий

    Был как-то один интересный блокиратор (Trojan-Pornoasset или что-то такое, уже не припомню) так вот он переименовывал системные файлы Explorer.exe и userinit.dll в рандомный набор символов, а свои «рабочие» файлы в Explorer.exe и userinit.dll.
    Ох было «весело» его выковыривать ручками…

Обратные ссылки 3

Борьба с блокерами стала еще более эффективной | Daily — Russian — Russia — blog.kaspersky.ru

Секюрити-новости за неделю | Nota Bene: официальный блог Евгения Касперского

Что нового в Kaspersky Internet Security 2015? | Nota Bene: официальный блог Евгения Касперского

Оставить заметку