В свое время троянцы Krotten, Cryzip и GpCode доставили немало хлопот пользователям Web Money: для восстановления зашифрованных данных или возобновления нормального функционирования операционной системы вымогатели заставляли своих жертв проводить платежи с использованием электронных денег. Конец марта –начало апреля этого года стали настоящим часом X для Trojan-Ransom (от англ. ransom — «выкуп»): в сети под видом видеокодеков началось распространение троянцев, блокирующих работу компьютера и требующих отправить платную sms для его разблокировки. Целевая аудитория потенциальных жертв серьезно расширилась: отныне в зоне риска оказывался любой абонент сотовой связи, имеющий выход в интернет.
Первой подобной программой считается Trojan-Ransom.Win32.SMSer, внесенная в антивирусные базы «Лаборатории Касперского» 8 октября 2008 года. Предварительно прописавшись в реестре, троянец запускал диспетчер задач и осуществлял маскировку его окна — фактически нормальная работа системы была серьезно затруднена. Свое имя зловред получил не случайно: для восстановления нормальной работы компьютера создатели программы предлагали пользователю отправить sms на короткий номер — в ответ высылался код для прекращения блокировки диспетчера задач.
Следующим шагом в эволюции вредоносного ПО типа Trojan-Ransom было появление в ноябре прошлого года Hexzone — одного из самых популярных семейств троянцев с описываемым функционалом. Представители Hexzone незаметно встраиваются в интернет-браузер и выдают на экран эротический рекламный баннер, требуя отправки sms, если пользователь не рад новым «соседям». Аналогичным образом действуют троянцы из семейства Gazon, с той лишь разницей, что зловредная программа предстает уже не баннером, а отдельным окном c пикантным содержимым.
Вымогатели и террористы
«Хотя эти названия, конечно, условные — скорее для обозначения различий в функционале, подобное ПО я бы разделил на два вида: вымогателей и террористов», — говорит Андрей Ладиков, вирусный аналитик «Лаборатории Касперского».
К первому виду можно отнести семейства Hexzone и Gazon: в первом случае назойливый баннер снижает работоспособность системы, но не блокирует ее полностью; ко второму – троянские программы, блокирующие работу ПК и угрожающие пользователю порчей его данных, в случае если тот не отправит sms на указанный номер (Blocker и BlueScreen).
В самом деле, несмотря на всю условность полученных наименований, названные троянцы за снятие блокировки требуют самых настоящих денег. При этом «внутренний курс», по которому работают злоумышленники, серьезно отличается от среднерыночного. При отправке sms на указанный номер с мобильного счета пользователя будут сняты от 300 до 400 рублей.
По словам Ладикова, сейчас наиболее активны и распространены пять семейств троянцев, имеющих функцию работы с sms-кодом: HexZone, Blocker, Gazon, BlueScreen и SMSer. Помимо этого существуют десятки разрозненных семейств, для удобства классификации сгруппированных под именем Agent. Всего же в «дикой природе» (in-the-wild) встречаются более 1500 модификаций данного вредоносного ПО.
Вас заказали
Столь стремительный рост числа троянских программ типа Trojan-Ransom, наблюдающийся последние полгода, во многом может быть объяснен высокой эффективностью применяемой злоумышленниками схемы. Не секрет, что практически все российские компании, предоставляющие сервис sms-билинга (а таких сегодня насчитывается до нескольких сотен) устанавливает наценки на свои услуги в среднем в пределах от 40% до 60% от первоначальной стоимости одной sms. Выходит, некоторым контент-провайдерам, выгодно предоставлять sms-билинг авторам подобных программ. Так ли это? Руководитель отдела оперативной борьбы с угрозами, Алексей Маланов («Лаборатория Касперского»), склонен с этим согласиться: «Троянец блокирует нормальную работу компьютера и для ее восстановления предлагает ввести пароль, который жертва получает в ответ на короткое сообщение. Часть денег за платную sms получает мобильный оператор, часть — контент-провайдер и злоумышленники, арендовавшие этот номер. Чем популярнее становится схема, тем больше вирусописателей задумываются над ее использованием. В свою очередь, это ведет к увеличению количества потерпевших».
Антитеррор
В ответ на участившиеся жалобы пользователей специалисты одной антивирусной компании выпустили онлайн-утилиту, позволяющую получить код разблокировки — для этого лишь необходимо ввести в соответствующее поле текст предполагаемого sms-сообщения.
Своевременное обновление антивирусных баз в паре с упомянутой веб-формой получения кода разблокировки действительно позволяет предотвратить заражение или избавиться (в случае заражения) от настырных цифровых вымогателей. Но лишь на некоторое время.
При всей своей простоте и очевидной на первый взгляд эффективности, подобный подход, с сожалению, не лишен некоторого изъяна. Страница с онлайн-утилитой находится на веб-сайте компании-разработчика, тем самым провоцируя киберпреступников на модификацию троянцев. Иными словами, действие вызывает противодействие: у вирусописателей появляется стимул еще активнее заниматься написанием новых, еще более серьезных программ. Есть ли выход?
«Сотрудниками нашей компании была написана специальная программа, позволяющая вычислять код для разблокировки ПК в случае его заражения троянской программой типа Trojan-Ransom. Однако чтобы не привлекать повышенного внимания вирусописателей, мы сознательно не публикуем ее в открытом доступе на нашей странице, — говорит Андрей Ладиков. — Пользователи продуктов «Лаборатории Касперского» могут обратиться в службу технической поддержки и, пройдя процедуру идентификации, по телефону получить код разблокировки компьютера».
Известная пословица гласит: «Дареному коню в зубы не смотрят». Пожалуй, оно действительно так, но только не в этом случае. Специалисты в области информационной безопасности советуют руководствоваться принципом «предупрежден, значит вооружен» — использовать эффективные средства антивирусной защиты с обновленными базами, а в сложных ситуациях — обращаться в службу технической поддержки.
Станислав Миронов, Kaspersky.RU
