«Оконные» блокираторы, или кому выгодно распространение троянцев Win32/LockScreen
В последнее время довольно сильный резонанс в СМИ вызвала, так называемая, эпидемия программ-блокираторов. Под программами-блокираторами подразумевается вредоносное ПО, которое после своей активации/запуска тем или иным образом блокирует работу пользователя на его компьютере. При этом за оказание услуги возвращения прежней работоспособности ПК злоумышленники вымогают денежные средства. Во всей этой истории с блокираторами интересно то, что данная проблема носит локальный характер для России и стран ближнего зарубежья. В других странах подобное мошенничество практически не распространено, а скорее является исключением из правил. Почему же у нас это приобрело настолько массовый характер? Ответ намного проще, чем может показаться, и находится на поверхности.
Дело в том, что в нашей с вами стране популярность SMS-платежей на короткие номера очень высока. А правовое регулирование для провайдеров, предоставляющих короткие номера в аренду, явно отстает. И именно поэтому киберпреступникам выгодно создавать и распространять такого рода вредоносные программы. А с помощью блокираторов они довольно быстро могут поправить свое финансовое положение деньгами, полученными при помощи вымогательства и шантажа. Кроме того, многие пользователи выбирают наиболее легкий путь сопротивления этой заразе, то есть заплатить. Но зачастую после оплаты услуги разблокировки вы ее не получаете, так как мошенники уже достигли желаемого эффекта и получили от вас заветные рублики. А завтра они уже начнут распространять другую программу, и, вероятнее всего, вы уже не попадетесь на эту удочку. Но есть еще большое количество пользователей, не наступавших на эти вредоносные «грабли». Просторы нашей страны очень велики.
Срок жизни одного экземпляра троянской программы Win32/LockScreen невелик и, в лучшем случае, составляет несколько дней. Дело в том, что эти троянцы быстро падают в антивирусные базы и перестают приносить «грязную» прибыль своим создателям. После этого появляются модифицированные экземпляры, которые изменены таким образом, чтобы сбить с толку большинство антивирусных программ. Если посмотреть на код многих программ-блокираторов, то по своей структуре они очень похожи на вполне легальные приложения, что добавляет хлопот по их несигнатурному обнаружению и усиливает эффект от их распространения.
А вот само распространение программ-блокираторов — отдельная, не менее захватывающая тема. Эти вредоносы не умеют распространяться сами по себе, без чьей-либо помощи. Наверное, для многих хабрапользователей не окажется открытием, что существуют целые «партнерки» по оказанию услуг распространения вредоносных программ, в том числе и троянцев Win32/LockScreen.
Особенно массовый эффект слаженной работы киберкриминального сообщества заметен во время повышенной социальной активности в сети. Например, в новогодние праздники или в моменты возросшего числа поисковых запросов со следующим содержанием «скачать фильм „Аватар“ бесплатно». Сценарий распространения обычно очень прост: вас под различными предлогами просят скачать и запустить исполняемый файл, иногда замаскированный под нечто иное. Это объясняет то, что в декабре/январе мы заметили значительно возросшую интенсивность распространения троянцев Win32/LockScreen.
Напоследок посмотрим на ситуацию с другой стороны. Может быть слишком циничным будет утверждение о том, что такое массовое распространение мошеннических программ, возможно, заставит новичков – пользователей интернета быстро понять, что не стоит тыкать на все баннеры подряд. Вероятно, лишившись 300 рублей, пользователь в следующий раз не поставит под удар учётную запись своего интернет-банка с гораздо большей суммой. Вторым положительным моментом в этой эпидемии Рунета, возможно, станет шлифование законодательной базы в отношении «партнёрок» по распространению LockScreen-ов и телефонных агрегаторов, предоставляющих короткие номера в аренду. Ведь до 2009 года они очень удачно развивали свой бизнес за счёт клиентов, делающих массовые рассылки SMS с текстами вроде: «Мама, у меня украли сотовый телефон, срочно положи мне 500 р. на номер +7 (9хх) ххх-хх-хх». Теперь пришло время платить для новых интернет-пользователей, ещё не успевших разобраться, что в дебрях интернета безопасно, а что может нанести вред.
З.Ы.: Компания ESET хочет снова призвать всех пользователей не поддаваться на уловки злоумышленников и быть бдительными. Если же Вам все-таки не удалось избежать блокиратора, и вы оказались заражены такой троянской программой – НИКОГДА не оплачивайте услуги злоумышленников. С большой вероятностью Вы не получите желаемого решения этой проблемы. Если же вдруг, поганый троянец одолел Ваш ПК, можно воспользоваться нашим бесплатным сервисом разблокировки.
Дело в том, что в нашей с вами стране популярность SMS-платежей на короткие номера очень высока. А правовое регулирование для провайдеров, предоставляющих короткие номера в аренду, явно отстает. И именно поэтому киберпреступникам выгодно создавать и распространять такого рода вредоносные программы. А с помощью блокираторов они довольно быстро могут поправить свое финансовое положение деньгами, полученными при помощи вымогательства и шантажа. Кроме того, многие пользователи выбирают наиболее легкий путь сопротивления этой заразе, то есть заплатить. Но зачастую после оплаты услуги разблокировки вы ее не получаете, так как мошенники уже достигли желаемого эффекта и получили от вас заветные рублики. А завтра они уже начнут распространять другую программу, и, вероятнее всего, вы уже не попадетесь на эту удочку. Но есть еще большое количество пользователей, не наступавших на эти вредоносные «грабли». Просторы нашей страны очень велики.
Срок жизни одного экземпляра троянской программы Win32/LockScreen невелик и, в лучшем случае, составляет несколько дней. Дело в том, что эти троянцы быстро падают в антивирусные базы и перестают приносить «грязную» прибыль своим создателям. После этого появляются модифицированные экземпляры, которые изменены таким образом, чтобы сбить с толку большинство антивирусных программ. Если посмотреть на код многих программ-блокираторов, то по своей структуре они очень похожи на вполне легальные приложения, что добавляет хлопот по их несигнатурному обнаружению и усиливает эффект от их распространения.
А вот само распространение программ-блокираторов — отдельная, не менее захватывающая тема. Эти вредоносы не умеют распространяться сами по себе, без чьей-либо помощи. Наверное, для многих хабрапользователей не окажется открытием, что существуют целые «партнерки» по оказанию услуг распространения вредоносных программ, в том числе и троянцев Win32/LockScreen.
Особенно массовый эффект слаженной работы киберкриминального сообщества заметен во время повышенной социальной активности в сети. Например, в новогодние праздники или в моменты возросшего числа поисковых запросов со следующим содержанием «скачать фильм „Аватар“ бесплатно». Сценарий распространения обычно очень прост: вас под различными предлогами просят скачать и запустить исполняемый файл, иногда замаскированный под нечто иное. Это объясняет то, что в декабре/январе мы заметили значительно возросшую интенсивность распространения троянцев Win32/LockScreen.
Напоследок посмотрим на ситуацию с другой стороны. Может быть слишком циничным будет утверждение о том, что такое массовое распространение мошеннических программ, возможно, заставит новичков – пользователей интернета быстро понять, что не стоит тыкать на все баннеры подряд. Вероятно, лишившись 300 рублей, пользователь в следующий раз не поставит под удар учётную запись своего интернет-банка с гораздо большей суммой. Вторым положительным моментом в этой эпидемии Рунета, возможно, станет шлифование законодательной базы в отношении «партнёрок» по распространению LockScreen-ов и телефонных агрегаторов, предоставляющих короткие номера в аренду. Ведь до 2009 года они очень удачно развивали свой бизнес за счёт клиентов, делающих массовые рассылки SMS с текстами вроде: «Мама, у меня украли сотовый телефон, срочно положи мне 500 р. на номер +7 (9хх) ххх-хх-хх». Теперь пришло время платить для новых интернет-пользователей, ещё не успевших разобраться, что в дебрях интернета безопасно, а что может нанести вред.
З.Ы.: Компания ESET хочет снова призвать всех пользователей не поддаваться на уловки злоумышленников и быть бдительными. Если же Вам все-таки не удалось избежать блокиратора, и вы оказались заражены такой троянской программой – НИКОГДА не оплачивайте услуги злоумышленников. С большой вероятностью Вы не получите желаемого решения этой проблемы. Если же вдруг, поганый троянец одолел Ваш ПК, можно воспользоваться нашим бесплатным сервисом разблокировки.
комментарии (67)
И тут рано или поздно порядок наведут, только сколько ещё убытков общество понесёт, пока всё нормализуется?
И да! Кроме закона (нормального, адекватного), должна ещё быть качественная система исполнения. Причём настолько продуманная, чтобы у тех, кто в ней работает не было шансов сделать «через жопу» или не выполнить своих обязанностей. А у нас ни того, ни другого, ни третьего я чего-то не наблюдаю, к сожалению.
Эти мошенничества с СМС на короткие номера уже несколько лет существуют и не только процветают, но и даже набирают обороты. Происходит это не только в интернете, но и по телевизору и даже на обложках школьных тетрадок (не видели ни разу там какую-нибудь «СМС-викторину»?). Прикрыть это дело либо кишка тонка у тех, кто это должен был уже давно сделать, либо у кого-то нужного просто есть интерес в существовании этого явления. В других странах этому всему просто не дали развиться.
4460
a513815000
1mm0.rublya.net/Personal/antivirus.php
000000000 (девять нулей)
На удивление помогло.
Вообще конечно нужно улучшать законы.
А пока обычным пользователям просто нужно быть внимательней.
Ведь вы не считаете, что на улицах станет спокойней, когда народные массы овладеют рукопашкой или освоят огнестрелы…
А вот элементарная грамотность и опыт, чтобы в какой-то момент не оказаться «лохом», — не помещают.
Можно наживаться и легально…
Грустно за страну, что часть ее молодых мозгов работает в исключительно вредном и бесперспективном направлении.
З.Ы. Кстати, после этой злополучной истории пересадил ее на linux.
а мы, в своё время — работали «санитарами леса» в подобной фирме, находили случаи обмана/нарушения и «закладывали» ИССН мошеников.
Обычно это не напрямую чьи-то короткие номера, а всякие партнерки, где регистрация обезличена.
По «стуку» счет того партнера блокируется. с такими мошениками можно бороться.
Операторы стараются боротся с этим, вводят доп. защиты.
Хотя внешне, если позвонить оператору кол-центра — будут всячески открещиваться от проблемы.
Это, конечно, не правильно.
В общем, копаю информацию по этому поводу. Нашел довольно интересное замечание:
Способ оплаты чего-бы то ни было посредством СМС в России незаконен, т.к. операторы сотовой связи не имеют права принимать платежи в пользу третьих лиц. Для осуществления подобной деятельности в нашей стране необходимо получить банковскую лицензию.
То есть максимум, что может сделать оператор мобильной связи — оказать услугу по посылке смс. Никаких денег в пользу третьих лиц ни под каким предлогом он снимать с вашего расчетного счета не может.
Вот и получается — законы опять не догоняют. А догонят, когда уже поздно будет, да и то – так догонят, что лучше уж совсем без законов.
, история рядовая, думаю, мой опыт будет полезен. Да и самому интересно, чем закончится. К такой схеме можно придраться.
Это вы к аудитории хабра с такими призывами обращаетесь? Уверены, что по адресу? Это типа гики запускают бездумно программы неизвестного происхождения?
Вы это лучше в Одноклассниках, Контакте и Моём Мире пишите.
p.s. Знаю сей факт не понаслышке, работаю в смс-биллинге.
Самое главное что DrWEB жил после этого несколько минут… до перезапуска системы