KIS-2014: Звонок другу.

Previous Entry Поделиться Next Entry
10 октября, 2013
e_kaspersky
Ах, если бы только найти индивида! Уж я так устрою, что он свои деньги мне сам принесёт, на блюдечке с голубой каёмкой.

Клиента надо приучить к мысли, что ему придётся отдать деньги. Его надо морально разоружить, подавить в нем реакционные собственнические инстинкты.

(с) Остап Сулейман Берта Мария Бендер-Бей

Сомневаюсь, что современные кибер-негодяи учились своим приёмчикам у этого идейного борца за денежные знаки. Однако параллель налицо – так и никак иначе, по формуле «на блюдечке с голубой каёмочкой» потрошат кошельки граждан блокеры - особый и весьма подленький вид компьютерных зловредов. И в новой версии KIS 2014 мы им подготовили особый сюрприз.

Матчасть блокеров достаточно проста.

Всеми доступными способами (например, через уязвимости в приложениях) на компьютер жертвы внедряется вредоносная программа, которая внезапно выводит на экран картинку и блокирует как рабочий стол компьютера, так и окна всех остальных программ. Разблокировка возможна (ну, была возможна – подробности ниже) с помощью специального кода, который можно получить у мошенников. Ага, за деньги – с оплатой как у взрослых мальчиков через premium SMS номера и электронные деньги. А покамест, что бы пользователь не делал (в том числе CTRL+ALT+DEL), какие бы приложения не вызывал (в т.ч. антивирусы) – всё равно он будет видеть примерно вот такую гадость:


ransomware4

Или вот такую:

ransomware6

Или ещё более тысячи других вариантов. Причем не имеет значения, Windows у вас или Мак.

В общем, про технику блокеров уже много написано, читайте, например, здесь.

Несколько лет назад масштаб эпидемии перешёл все пределы приличия, так что их авторов даже начали ловить и сажать компетентные органы. Оптимистично оборот этой отрасли компьютерного зловредства в 2010г. составил аж 100 млн.руб. (пессимистично – 500 млн.руб.), её жертвами стали десятки миллионов пользователей. Порядка 5% владельцев зараженных компьютеров действительно платят вымогателям, что вдохновляет их на новые «подвиги».

На пике эпидемии мы даже выпустили бесплатное приложение, которое по номеру телефона или счёта вымогателя выводило код разблокировки – своего рода «звонок другу». Казалось бы, вот он, момент истины! Вот-вот жить станет лучше и веселее! И правда - судя по количеству обращений к нашему веб-сервису, масштаб катастрофы уменьшился примерно в 10 раз. Но, увы и ах! – проблема не только осталась, она, как говорится, усугубилась.

Во-первых, чисто российский (постсоветский) феномен стал разрастаться глобально, «благо» платные SMS номера и электронные деньги есть везде. При этом российские (постсоветские) кибер-негодяи удачно прятались от зарубежного правосудия за бюрократическими особенностями международного сотрудничества. Во-вторых, раньше блокеры были «честными» и после оплаты действительно снимали баннер с экрана (ага, до следующей команды заблокировать!). Их преемники этим не страдают и держат баннер даже после оплаты. Т.е. вы догадываетесь – в них больше нет кода для разблокировки и деблокер-сервисы больше не работают!

Что делать?

Прежде всего, за редким исключением всё ещё остаётся возможность хирургического вмешательства и ручного удаления блокеров бесплатными утилитами, если вдруг штатный антивирус пропустил атаку. Прочитав много букв по предыдущей ссылке, вы поймёте, что задача это нетривиальная, под силу только спецам. А для обычного пользователя в KIS 2014 мы подготовили одну приятную фичу, способную убрать блокер 4 пальцами, буквально. Или тремя, но несколько раз :) Причём без тех самых редких исключений.

А именно:

уже пару лет как в наших домашних продуктах есть функция «безопасная клавиатура». Это драйвер операционной системы, который защищает от клавиатурных перехватчиков (кейлоггеров). Т.е. даже если компьютер заражен неким супер-пупер троянцем, то его попытки перехватить, например, вводимые с клавиатуры пароли тщетны. Тем же способом мы боремся с блокерами – безопасная клавиатура не даёт зловреду монопольно завладеть «кнопками» и если пользователь нажимает комбинацию СTRL+ALT+SHIFT+F4 (или CTRL+ALT+DEL несколько раз подряд), то KIS запускает процедуру деактивации блокера. Точнее, различными антивирусными компонентами (сигнатурами и эвристиками) мы детектируем заражение и проводим зачистку активных процессов, системного реестра и разблокируем экран. Затем удаляем остатки блокера стандартными средствами антивируса, перезапускаем Проводник (explorer.exe) для восстановления кнопки «Пуск» и оригинального рабочего стола, а также восстанавливаем изменённые ключи реестра. Кстати, описанный сценарий деактивации блокера включен в состав патентной заявки и сейчас проходит экспертизу.

И напоследок – из серии «я плакал».

Летом этого года жертвой блокера стал 21-летний американец. Точнее – он обнаружил на своём экране примерно вот такую картинку:

ransomware5

Если вчитаться в текст предупреждения, то владелец заблокированного компьютера от имени ФБР обвиняется в просмотре детской порнографии и ряде других федеральных преступлений. Искупить сей грех предлагается оплатой штрафа в размере $200 в течение 72 часов.

Дальнейшие метания жертвы логически труднообъяснимы. Неясно сколько времени парень боролся с угрызениями совести, но, в конце концов, он пришел с повинной в полицию. На его компьютере действительно были обнаружены перечисленные материалы. Как говорится – нашла коса на камень!


Previous Entry Поделиться Next Entry
Да эти блокираторы досмерти запарили)) На работе раз 10 вылазило на ровном месте, и каждый раз как-то выковыривать заново приходилось... замучало..

Ну и по этому поводу.

В ходе разбирательства в рамках уголовного дела по факту распространения вредоносных программ к нам (в управление "К" МВД Беларуси) обратился гражданин с квитанцией об оплате подобного штрафа, клятвенными заверениями, что он больше так не будет и просьбой разблокировать его компьютер.

Так что за примерами так далеко ходить не надо. :)

И да. Автор-исполнитель вредоносной программы типа блокера был установлен и привлечен к уголовной ответственности.

Номера заботливо замазаны. Прикрываете партнёров? :-)

Кто-нибудь отправит туда деньги, а потом скажет, что Касперский посоветовал в своем блоге

Edited at 2013-10-10 12:12 (UTC)

Тащемта, хватает обычной загрузки с любого лайв-СД или элементарного DOS.

ПыСы: Из личных наблюдений - на блокеры чаще всего попадаются клиенты "Дом.ру", забавная корреляция)))

эт вы марье сергеевне с 40-летним бухгалтерским стажем расскажите про "загрузку с лайв-сиди" :)

Ви так говог'ите, будто в маг'ье сег'геевне есть что-то плохое %)

Евгений!
Уважаю и люблю KIS, но поставил новую версию, которую вы прорекламировали, на ноутбук - и он стал как черепаха. Посидел пару недель с ним, надоело ждать по 5 минут ответа на каждое действие - и удалил. Intel T4300 Dual Core 2,10GHz, 3 Гб ОЗУ. Ну не покупать же мне новый комп под новый антивирус?

Бывают случаи и интереснее. Доступ не блокируется, но, несмотря на включенного Каспера и антибаннер, показываются рекламные банеры и иногда по клику вместо нужной ссылки открывается страница, нужная видимо этому недолокеру. Доступ к странице Касперского блокирован, хотя другие антивирусы видимо не ценятся - заходи к кому хочешь. Но и AVZ, и другие утилиты ничего не видят.
Видимо какой-то троянец оказался умнее антивируса. Что можно сделать кроме переустановки ОС я не понял

(Удалённый комментарий)
(Удалённый комментарий)
Никогда не видел такой гадости под Убунту. Что я делаю не так?)

?

Log in

No account? Create an account