Ловим вирусы, исследуем угрозы, спасаем мир
258,86
рейтинг
25 мая 2011 в 16:34

Разное → Блокеры всех времен и народов

Осенью 2007 года на просторах рунета появился новый вид вредоносного ПО – программы-вымогатели. Данный вид мошенничества ходил в сети и раньше, но только в России он получил огромную популярность. Плодотворной почвой стала простота получения денег от своих жертв. Если вначале использовались довольно экзотические формы оплаты (например, ВКонакте, Яндекс Деньги и т.п.), с которыми обычные пользователи были знакомы слабо, то впоследствии мошенники перешли на более простые и понятные способы: отправка SMS-ок на короткие номера и перевод денег на телефонные номера. Две самые популярные формы оплаты хорошо знакомы даже людям, редко имеющим дело с компьютером. Именно этот факт, а также простота и анонимность при регистрации коротких номеров сыграли определяющую роль в той массовости, которую приобрели программы-вымогатели.
image

Техническая сторона вымогателей также не стояла на месте. Если изначально это были очень простые программы, написанные «на коленке», то через несколько лет блокеры представляли очень сложные технологически изделия, в которых присутствовали защита от анализа, защита от детектирования, технологии сетевых червей, шифрование и т.д. и т.п.

Развитию подверглись и технологии, с помощью которых мошенники собирались требовать деньги от пользователей. Если изначально система блокировалась целиком, а пользователь получал информацию о техническом сбое, то впоследствии стали использоваться более продвинутые технологии социальной инженерии.
Вот лишь некоторые из них:
1) Частичная блокировка системы (например, окно, которое располагаются поверх других, в треть экрана) – работать за таким компьютером можно, но очень некомфортно;
2) Демонстрация взрослого контента – рассчитано на детей за папиными компьютерами;
3) Демонстрация контента, содержащего элементы перверсии – рассчитано на взрослых;
и т.д.

Платить мошенникам абсолютно бесполезно: отправка дорогостоящей SMS-ки (или даже нескольких) совершенно не гарантирует, что потерпевший получит обещанный код разблокировки. С пополнением счета через терминал оплаты ситуация не лучше – на чеке просто нет идентификационного номера, на который ссылаются вымогатели. Отправкой денег пользователь спонсирует новые разработки, от которых сам же страдает впоследствии (по нашим данным, в среднем пользователи заражаются больше 1 раза).

В своей работе мы постоянно сталкиваемся с программами-вымогателями и решили составить собственный хит-парад, выделив, на нашему мнению, наиболее интересные из них по следующим номинациям:

Самый труднодоступный
Данный блокер уникален тем, что заражал MBR. Большую популярность он не приобрел. Можно сказать, что он был скорее концептом.
В мае 2011 года появился второй MBR-блокер, приобретающий все большую и большую популярность.

Вердикт: Trojan-Ransom.Boot.Seftad
Дата появления: ноябрь 2010
Дата затухания эпидемии: эпидемии не вызвал


Самый популярный
САМЫЙ МАССОВЫЙ, САМЫЙ ПРИБЫЛЬНЫЙ блокер всех времен и народов. В июне 2010 года новые блокеры данного семейства выходили буквально раз в час. Эпидемия прекратилась лишь после того, как правоохранительными органами были задержаны члены данной преступной группировки.

Вердикт: Trojan-Ransom.Win32.PinkBlocker
Дата появления: ноябрь 2009
Дата затухания эпидемии: август 2010


Самый первый
Первые блокеры на просторах рунета использовали экзотические формы оплаты, мало знакомые домохозяйкам и непритязательный дизайн (никакого обнаженного женского и мужского тела). Но именно с них все начиналось.

Вердикт: Trojan-Ransom.Win32.BlueScreen
Дата появления: осень 2007
Дата затухания эпидемии: осень 2008


Самый красивый

Вердикт: Trojan-Ransom.Win32.Gimemo
Дата появления: март 2011
Дата затухания эпидемии: эпидемии не вызвал


Анимационный
Блокер, использующий в качестве картинки анимированный gif c mamma (лат.), совершающей колебательные движения. В качестве оплаты блокер просил отправить SMS на один из коротких номеров, среди которых присутствовали как российские, так и украинские, казахстанские, литовские и германские.

Вердикт: Trojan-Ransom.Win32.XBlocker
Дата появления: декабрь 2009
Дата затухания эпидемии: февраль 2010


Первый нероссийский
Данный блокер, вызвавший первую крупную эпидемию блокеров в рунете, пришел с Украины. Изначально в качестве оплаты принимались SMS-ки на украинский номер.
Характерной особенностью блокеров из данного семейства была демонстрация лицензионного соглашения (!!!) при первом запуске блокера, в котором сообщалось о том, что компьютер пользователя будет заблокирован. Но кто читает эти соглашения?
В последующих версиях блокера лицензионное соглашение хотя и демонстрировалось, но довольно быстро закрывалось, и блокер начинал установку вне зависимости от действий пользователя, соглашался он с условиями или нет.

Вердикт: Trojan-Ransom.Win32.Digitala
Дата появления: октябрь 2009
Дата затухания эпидемии: декабрь 2010


Самый безобидный
Данный «блокер» блокером как таковым не является. Мошенники специально создают сайты, выдающие себя за сайты для взрослых, и размещают в них JavaScript код, выводящий в браузере приведенную ниже картинку. После того как сайт создан, он распространяется через банерную систему. Для борьбы с данным видом мошенничества достаточно просто закрыть браузер и не заходить в будущем на данный сайт, но многие пользователи пугаются, считают, что произошло заражение их машины, и спешат заплатить деньги вымогателям.

Вердикт: Trojan-Ransom.JS.Smser
Дата появления: лето 2010
Дата затухания эпидемии: по текущее время


Самый креативный
Первые годы развития блокеров авторы подходили к их созданию с душой. Попадались очень веселые, забавные и трогательные блокеры. И лишь спустя несколько лет блокеры стали клепать как пирожки – побыстрее и побыстрее, чтобы успевать сбивать детекты антивирусных продуктов.

Вердикт: Trojan-Ransom.Win32.ImBlocker
Дата появления: лето 2008
Дата затухания эпидемии: эпидемии не вызвал


Самый жадный
Поскольку на стоимость SMS существовало верхнее ограничение по цене (500-600р.), некоторые блокеры стали просить отправить по 2, а очень жадные – по 3 SMS-ки.

Вердикт: Trojan-Ransom.Win32.PinkBlocker
Дата появления: весна 2010
Дата затухания эпидемии: август 2010


Самый наглый
Особенность данного блокера в громких именах, которыми он прикрывается.

Вердикт: Trojan-Ransom.Win32.ZoBlocker
Дата появления: N/A
Дата затухания эпидемии: N/A


Самый честный
Данный блокер интересен тем, что в отличие от своих коллег честно заявляет, что он блокер.

Вердикт: Trojan-Ransom.Win32.Honest
Дата появления: N/A
Дата затухания эпидемии: эпидемии не вызвал


Самый долгоиграющий
Данный блокер уникален тем, что использует систему подписок для обогащения своих авторов. Вместо того чтобы требовать отправки SMS или перевода денег на счет, данный блокер требует отправить свой номер телефона. На телефон приходит SMS-ка с кодом деактивации.
Все эти безобидные действия преследуют одну цель – зарегистрировать пользователя на так называемой подписке. Вводя в блокер код деактивации, пользователь тем самым соглашается с условиями подписки (которые ему, естественно, никто не показывал). После подписки с телефона пользователя начинают регулярно снимать деньги (например, каждые 3 дня по 150р.). Данный способ работает до тех пор, пока пользователь не откажется от подписки или в течение определенного времени (например, недели) на телефоне не будет средств.

Вердикт: Trojan-Ransom.Win32.Holotron
Дата появления: февраль 2011
Дата затухания эпидемии: эпидемии не вызвал


Самый брутальный
Данный блокер характеризуется отображением гомосексуалистов.
Второй его «замечательной» особенностью являются коды деактивации – это не бессмысленный набор символов, а коды из игры (например, IDDQD), персонажи игр (KERRIGAN IS SO SEXY), авторы любимых произведений (FRANK HERBERT) и т.п.

Вердикт: Trojan-Ransom.Win32.HmBlocker
Дата появления: ноябрь 2010
Дата затухания эпидемии: март 2011


Самый подробный («блондиночный»)
Данный блокер можно назвать самым подробным в области инструкции по своей деактивации. Поскольку данная программа в качестве формы оплаты использует не SMS, а более экзотическую схему «В контакте», с которой знакомо относительно малое количествово пользователей, то она предоставила зараженным пользователям очень подробную пошаговую инструкцию как все-таки перевести деньги мошенникам.

Вердикт: Trojan-Ransom.Win32.GiviBlocker
Дата появления: ноябрь 2010
Дата затухания эпидемии: эпидемии не вызвал


Самый «касперский»
Данный блокер выдает себя за некий, реально не существующий продукт «Лаборатории Касперского», Kaspersky Lab Antivirus Online. В свое время он был очень популярным и вызвал буквально шквал писем в компанию с текстом «Разве вы мало получаете денег, зачем же вам еще и эта программа». В общем, данный блокер попортил много крови как сменным аналитикам так и PR-отделу.

Вердикт: Trojan-Ransom.Win32.Chameleon
Дата появления: N/A
Дата затухания эпидемии: N/A


Итого:
В тренде, как вы могли заметить, развитие приемов социальной инженерии, но и техническая мысль не стоит на месте. В любом случае, мы решили, что надежнее будет предотвращать блокирование, нежели лечить уже зараженный компьютер. И если до настоящего момента мы могли предложить вам только бесплатную утилиту support.kaspersky.ru/viruses/deblocker, то сейчас завершаем работу над новым инструментом, который представим в одном из следующих постов.

Иван Татаринов, старший вирусный аналитик «Лаборатории Касперского»
Автор: @Kaspersky_Lab
Ловим вирусы, исследуем угрозы, спасаем мир

Комментарии (82)

  • +4
    Самый «красивый» еще и самый безграмотный, брр.
  • 0
    Сталкивался с одним таким у знакомой недавно :)
    Правда его делали школьники наверно, потому что WIN+D сработало прекрасно, и я его благополучно закрыл нафиг и вылечил комп после этого :)
  • +12
    А по какому принципу вы придумываете названия для малвари? )
    • +1
      Придумываем сами, в основном – произвольно. Иногда – используя строки внутри файла.
  • +3

    Ответ очевиден :-)
    • +1
      Это был ответ для Lifelover, отвалился.
  • 0
    Спасибо, занятная статья.
    Интересно.
    Мне хотелось бы узнать, сколько зарабатывают мошенники на таком «бизнесе»?
    Думаю, что цифры там не маленькие.
    И различаются ли цифры в разных странах?
    Хотя, вряд ли уровень компьютерной грамотности сильно зависит от страны.
    • +4
      Есть такой пример:
      В конце августа в Москве были арестованы 10 человек, обвиняемых в создании SMS-блокеров. По данным МВД РФ, доход, полученный этой группой незаконным путем, оценивается в 500 млн. рублей.
      Чуть больше здесь.
      • 0
        Просто не хотели поделиться, вот и арестованы.

        Кстати, сведений о судебных решениях нет, может и вынудили поделиться всё-таки.
      • 0
        Расскажите поподробнее, осуществляет ли ЛК взаимодействие с правоохранительными органами, будь то российские или зарубежные? Например, по результатам анализа образцов той или иной малвари и территории её распространения. Наверняка ведь есть немало признаков, более-менее определяющих местоположение автора и различных сообщников.
        Если да, то каких существенных успехов на этой почве удалось добиться за последние годы?
        • 0
          Осуществляется, как и любой другой компанией на территории Российской Федерации, по официальному запросу от правоохранительных органов, на который мы обязаны ответить и исправно отвечаем.
  • +3
    «Самый креативный» крут.
    Если он работал так, как указано — это не блокер.
    Это панацея, дарящая охренительно много времени на полезные дела.

    ЗЫ

    Хотя блокер с МВД «Информационная безоБасность» тоже ничего.
    • 0
      Это же мем Упячки!
      Может быть этот блокер создал её поклонник?
      Веселый баннер получился :-)
  • 0
    Не понял, к чему картинка-кадр из «Монти Пайтон: в поисках священного грааля». Там вроде рыцари пропустили короля, не задержали.)))))
  • 0
    Вирус временно заблокирован, но его алгоритм шифрования постоянно меняется, и остановить на данный момент без этой программы не представляется возможным.

    Песня)
  • +4
    Прилетело НЛО и заблокировало ваш компьютер. Чтобы возобновить доступ к Хабру отправьте прожектором в небо код «needhabraccess», используя азбуку Морзе.
  • +3
    Зачем вы картинки поразмывали? :)
    • 0
      Ага, в новости про oboobs не размывали, а тут на тебе :-)
      • 0
        Главное, чтобы самый брутальный не «размазали»)))
  • +1
    «Самый первый» так похож на BSOD по цветовой гамме, что аж передёрнуло :)
  • +2
    Что можете сказать о методах проактивного детекта подобной малвари? Применяются ли в продуктах ЛК шаблоны для проактивки, заточенные именно под блокеры?
    • 0
      Да, такие методы применяются. У блокеров довольно специфическое поведение, связанное с блокировкой компьютера, которое можно отслеживать и пресекать.
    • 0
      Последний сервис пак + апдейты + хром + инструкция «скачал? проверь вирустоталом». Вполне надёжный метод :-)
      • 0
        Отсутствие постоянных админских привелегий у недоюзеров помогает во много раз эффективнее, даже без свежих апдейтов.
        Впрочем, ещё эффективнее во всех отношениях помогает компьютерная грамотность.
      • 0
        Linux + инструкция «скачал? молодец!» ещё надёжнее =)
  • –14
    Ух. Как мне надоели уже товарищи на венде :) Меня уже столько раз тюкали с вопросами на счет них. Как же хорошо на лине то :)
    • +5
      Хорошо на лине, но не все могут на ней работать.
      Например, игроманы.
      Или простые пользователи, для которых совсем не важно, на какой ОС сидеть в интернете.
      А от дурака даже линукс не защитит. Всё равно фишинг будет.
      • +1
        Давеча поставил XP ради Diablo: The Hell и еще кой-чего специфического.
        Политика защиты от угроз такова — под Linux сижу в нете через wifi-роутер, под XP даже дрова не поставил на wi-fi :) В случае необходимости порубать по вай-файке с другами, сначала отрублю UPnP на роутере — по идее, этого достаточно в качестве пассивной меры безопасности.

        Ну и понятное дело, под XP набор софта очень ограничен. По сути, 2-3 программы, ради которых ставилась ось, а любая сетевая активность строго под linux. Взял себе сие за правило, почитав про технологии работы современных вирусов и поняв (для себя), что антивирусы в наше время — голый маркетинг, от zero-day угроз они не спасают.
        • 0
          забыл упомянуть то, что вся эта паранойя была приурочена к заведению дебетной карты «Альфы». Следуя логике, что:
          защиты от zero-day угрозы антивирусы не дают
          AND
          новые угрозы в наше время создаются высокопрофессиональными в этой области спецами с коммерческой целью
          Вывод — полная беззащитность перед людьми, которые рано или поздно поимеют тебя вместе с твоей картой
          • 0
            новые угрозы в наше время создаются высокопрофессиональными в этой области спецами

            Ах, если бы… Почитайте «хакерские» форумы — поймёте средний уровень. Никто особенно не заморачивается.
      • 0
        ну венда по соседству тоже лежит :) Если захочеться поиграть или потребуется чертить что либо
    • 0
      Поверьте, на маке ещё лучше.
      • 0
        Оп согласен)) статьи про вирусы читаю мельком по диагонали
      • 0
        Не верю!
        Все зависит от характера и навыков. Настроить Мак как Линукс у меня не получается. А вирусов (ПОКА) нет ни там ни там.
        • 0
          Настроить мак как линукс? Это как? Какой-то красноглазый WM что ли поставить? А смысл?
          Проблем с софтом под мак нету. Как десктоп его использовать гораздо приятней и проще.
          • +1
            У Вас просто сформировалась своя экосистема программ в которой Вы работаете в Маке.
            Если экосистема другая то и выбор ОС будет другой.
            ИМХО Мне i-Маки нравятся только монитором, а мак-буки и мак-мини не прельщают вообще. И вклад OC здесь имеется.

            Но холивар МАК/ЛИН/ВИН предлагаю закрыть (как офтопик).
  • +16
    напишите статью как вы из них коды разблокировки вытаскиваете для своего генератора на сайте.
    • +2
      Плюсую, было бы очень интересно почитать.
    • +1
      Ох, как согласен! Побольше технических деталей и хрнологию разворачивания кода малвари )
    • +6
      Устанавливают, посылают SMS…
    • 0
      Обратная инженерия исполняемого кода с целью восстановления алгоритма генерации и проверки. Впрочем, ответные коды не всегда они имеют привязку к конкретному компьютеру, поэтому один и тот же может подойти для всех.
    • 0
      Приняли к сведению!
  • +1
    не хватает самого «технологичного». Встречал я как-то блокер который заявлял что работает и при выключенном компьютере и т.д.
    • +1
      работает и при выключенном компьютере

      Простите, что!? У него отдельное питание подведено или что?
      • 0
        Батарейку биоса фигачит.
      • +9
        Что — «что»? Даже при выключенном компьютере он заблокирован и работать на нем нельзя, что непонятного? ;)
      • 0
        который заявлял что работает и при выключенном компьютере и удалит все данные если не оплатить…
    • +4
      блокер Шредингера?
  • +1
    Самый труднодоступный напомнил популярный когда-то OneHalf :)
    • НЛО прилетело и опубликовало эту надпись здесь
      • 0
        Did you leave the room?
  • 0
    Очень правильный скриншот в начале статьи. Очень хорошо отражает смысл блокеров.
  • 0
    В мае 2011 года появился второй MBR-блокер, приобретающий все большую и большую популярность.

    А можно чуточку по-подробнее? Насколько сильная волна прогнозируется, какие меры предосторожности можно посоветовать?
    • 0
      Меры предосторожности: сделать live cd/usb через который можно восстановить MBR.
      • 0
        live usb — это меры борьбы. Навернякак же есть не очень большое количество вариаций такого червя и можно выделить общие симптомы (расположение изначальных файлов, имена)
      • 0
        Какие подробности интересуют? Насколько сильная будет волна пока, еще непонятно. У этого метода есть как свои плюсы, так и минусы. Из мер предосторожности – не сидеть под «админом», тогда у блокера не хватит прав записаться в MBR; либо использовать антивирус.
  • 0
    А что такой старый обзор? Сейчас на сколько знаю достаточно распространен локер с 4 телефонными номерами и платой в 400р, в коде которого вообще отсутствует ключ активации. Вот такая вот злая шутка
    • 0
      Это (я имею ввиду локеры без кода) уже довольно-таки давно практикуется, если вы не знали. Главное — получить профит, а что там дальше будет делать пользователь — наплевать.
      • 0
        Забавно что в таком случае кроме статьи «вымогательство» добавляется ещё и статья «мошенничество».
  • +12
    Дорогие создатели WINLоCK-ов спасибо вам, благодаря вашему сомнительному софту я выебал всех однокурсниц! (с) башорг
  • +1
    Именно этот факт, а также простота и анонимность при регистрации коротких номеров сыграли определяющую роль в той массовости, которую приобрели программы-вымогатели.

    А я считаю, что именно распространённость Microsft Reshetough XP, Vista и 7 сыграло ключевую роль в массовости, которую приобрели программы-вымогатели.
    • 0
      Кто о чем, а amarao все о зловредной венде. :)

      Пепел Клааса стучит в его сердце ;)
  • 0
    Создавали бы локеры — головоломки.
    Было бы не прибыльно, но зато интересно.
    Например, поставить такой знакомым. Но что бы не слишком сложно было, и в гугл нельзя было залезть.
    • 0
      Trojan-Ransom.Win32.Sphinx
      • 0
        Точнее Sphinxter:)
    • 0
      Ага, заходишь на сайт, а там целый Portal на HTML 5:) И пока не пройдешь — не разблочит.
      • 0
        (Trojan-Ransom.Win32.Portal:))
  • 0
    > Эпидемия прекратилась лишь после того, как правоохранительными органами были задержаны члены данной преступной группировки.

    Скорее она прекратилась потому что школота напугалась возможных последствий — вроде как на пирожки в столовой зарабатывали, а тут хоп! — и закрыли кого-то. Опасно.
    • 0
      500 млн на пирожки? тут не школота действовала.
  • 0
    Оффтоп: не скажите из какого фильма кадр?
    • 0
      Помню этот отрывок. Старенькая комедия. Название жалко забыл :(
    • +1
      монти пайтон: в поисках священного грааля, выше упоминалось
  • 0
    Анимационный интригует больше всего. что-то подсказывает, что его и убивать-то не очень хочется :)
  • +2
    Господа антивирусники, почему малварописателей ловят и сажают так редко и так скромно? Ведь подавляющее большинство из них находится на территории РФ или на худой конец Украины. Вполне себе известные и публичные форумы пестрят предложениями о сделках (эксплойты, криптование, хостинг под грязь, траффик/загрузки, серый SMS биллинг и т.д.) и сотрудничестве.
    Воз и ныне там. Обе стороны (злоумышленники и безопасники) бесконечно наращивают обороты, хорошенько рубят бабло, но в лучшую сторону ситуация нисколько не изменяется.
    • 0
      > Эпидемия прекратилась лишь после того, как правоохранительными органами были задержаны члены данной преступной группировки.

      Более того, интересно узнать, почему об их поимке я узнал только сейчас? Если бы СМИ оповестили, то остальные бы застремались писать новые локеры.

      > Обе стороны (злоумышленники и безопасники) бесконечно наращивают обороты, хорошенько рубят бабло, но в лучшую сторону ситуация нисколько не изменяется.

      А уж сколько получают с этого телефонные компании… Выходит, это бизнес для всех — он всем выгоден.
  • +3
    Самое главное хотелось бы спросить операторов и службы приема платежей: почему данные номера продолжают работать и использоваться злоумышленниками, и куда деваются средства, перечисленные на эти номера после их обнаружения и ареста?
  • 0
    Спасибо, интересная статья
  • 0
    Сегодня девочка в офисе пришла, включила компьютер, а там «Отправьте денег, пожалуйста» :) Я думал действительно уже прекратилась эпидемия.
  • 0
    Эй! А как же забылся Digital Access, во многом похожий на Zero Access? Заражать системный дров и дропаться только по команде с сети (в итого — все дропперы, активные на начало 2010 года, сейчас абсолютно нерабочие) — на мой взгляд, это повод на звание самого технологичного!
  • 0
    хм

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разное