Эволюция бюлокировщиков

Часть 1. Эволюция блокировщиков.

В техническом отношении блокировщики Windows представляют собой весьма простые, зачастую откровенно безграмотно написанные программы, реализованные в одной из распространенных сред программирования на языке высокого уровня (чаще всего Delphi, иногда MS Visual С). Трояны проникают в ОС Windows, прописываются в один из ключей автозагрузки в реестре и блокируют работу системы. Первые представители Trojan.WinLock противодействовали попыткам своего удаления довольно простым способом: все сводилось к постоянной перерисовке блокирующего окна и переустановке на него фокуса ввода. Этого было достаточно, чтобы затруднить остановку троянской программы средствами операционной системы. Однако даже реализация столь простых возможностей вызывала у горе-разработчиков серьезные трудности, и блокировщики зачастую оказывались попросту неработоспособны. При этом не использовалось никаких (кроме разве что самых примитивных) средств противодействия анализу программного кода.

Как правило, код блокировщика был закрыт каким-либо криптором (утилита для упаковки, шифрования и «запутывания» кода готового исполняемого файла с целью предотвратить его анализ и реконструкцию исходного кода) — разумеется, приобретенным на стороне. Крипторы — достаточно сложные программы, требующие совершенно другого уровня технической подготовки, нежели у изготовителей Trojan.Winlock. Такие блокировщики легко сносились даже вручную, без применения антивирусного ПО. Инструкции по их удалению появились на множестве тематических форумов. Анализ сводился к извлечению зашитого в теле программы кода разблокировки и занимал в среднем 10-15 минут. Полученные коды вместе с идентификационными данными троянов (текст, изображение и т.д.) были размещены в соответствующих разделах сайтов ведущих производителей антивирусного ПО, например, сайт Лаборатории Касперского. В ответ авторы Trojan.WinLock принялись усложнять свое творение.

Новые блокировщики «научились» корректно работать с оконной подсистемой Windows. Так, вирусописатели решили проблему с бесконечными циклами, в которых перерисовывалось окно. Некоторые трояны стали препятствовать запуску Windows Task Manager и прочих распространенных программ (например, Far Manager), позволяющих просматривать и корректировать список запущенных процессов. Другие держали в памяти несколько копий своего процесса, восстанавливавших друг друга по мере удаления. Усложнилось использование оконного API, посредством которого осуществлялось взаимодействие с пользователем. Изменились и способы внедрения в систему. Ранние разработки оставляли возможность удаления при загрузке в режиме защиты от сбоев. Следующее поколение троянов использовало для запуска после перезагрузки новые ключи реестра и прочие приемы, обеспечивавшие запуск вне зависимости от режима загрузки ОС.

В дальнейшем блокировщики начали перехватывать все сообщения с устройств ввода (мыши и клавиатуры), увеличивать свое окно. Некоторые вовсе отказывались от использования оконного API, напрямую манипулируя оконными сообщениями Windows и данными в памяти, что делало действительно невозможным удаление процесса трояна вручную. Идея была доведена до абсурда: Trojan.MBRLock.1 блокировал компьютер жертвы непосредственно из загрузочной записи до запуска операционной системы. Впрочем, оставалась возможность загрузки с Boot CD с антивирусом и последующего удаления трояна.

Отдельно стоит упомянуть о способах проверки кода разблокировки. Первые трояны семейства Trojan.Winlock использовали для этого системные функции сравнения строк, что сводило извлечение кода к тривиальному перехвату подобных функций. Новые стали сравнивать строки собственными процедурами, иногда по довольно запутанному алгоритму. Некоторые, впрочем, и вовсе не предусматривали функций разблокировки.

Еще одним новшеством стало использование генераторов пар «реквизиты платежа — код разблокировки». Данные, необходимые для проведения платежа вымогателям, генерировались динамически и отправлялись пользователю, одновременно генерировался код разблокировки. Эквивалентный алгоритм работал на сервере злоумышленников. При получении уведомления о проведенном платеже жертве сообщался код разблокировки, соответствующий реквизитам платежа. При этом работа вирусных аналитиков по извлечению кодов сводилась к анализу (иногда довольно трудоемкому) и реконструкции генераторов таких пар, которые затем размещались на сайтах антивирусных компаний вместе с уже известными кодами разблокировки. Пик распространения таких троянов пришелся на весну-лето 2010 года.

Часть 2. Социальная политика.

Сообщения, выводимые на блокирующих окнах Trojan.Winlock, заслуживают отдельного внимания и о многом говорят. Трояны используют крайне примитивные методы социальной инженерии, рассчитанные на совершенно неподготовленного, дремучего пользователя. Например, его пытаются убедить в необходимости платной активации какого-либо программного обеспечения (операционной системы или антивируса). Чаще трояны пытаются уличить жертву в использовании пиратского ПО, в пристрастии к порнографии, в нетрадиционной сексуальной ориентации вплоть до педофилии и т.п. Как правило, текст сопровождается красочными иллюстрациями. Особенно удручающее впечатление производит громадное количество грубейших орфографических ошибок.

Расчет злоумышленников очевиден: они предполагают, что неосведомленный человек, увидев такое блокирущее окно, к специалистам не пойдет. Впервые столкнувшийся с блокировщиком пользователь предпочтет заплатить злоумышленникам, вместо того чтобы объяснять посторонним людям пути проникновения трояна на его компьютер. Встречались и иные методы «убеждения» жертв. Например, зафиксировано немногочисленное семейство блокировщиков, которые извлекали данные с электронных досок объявлений, содержавших просьбы о финансовой поддержке нуждающихся в медицинской или иной помощи. При этом текст объявления копировался с сайта без изменений, но подставлялись платежные реквизиты злоумышленников.

Часть 3. Как злоумышленники делают деньги.

Первые блокировщики Windows почти всегда требовали отправить платное SMS на указанный мобильный номер. Не приходится удивляться тому, что стоимость подобного сообщения оказывалась в десятки раз выше заявленной. Как правило, использовался какой-либо короткий номер телефона, взятый в аренду у оператора сотовой связи. Такая схема получения прибыли стимулировалась не только простотой проведения платежа, но и отсутствием юридической возможности противостоять действиям агрегаторов.

Фальшивое уведомление о необходимости активации

Со временем — фактически благодаря усилиям разработчиков Trojan.Winlock — была создана правовая база, регулирующая денежные отношения в данной сфере и определяющая степень контроля со стороны правоохранительных органов. В настоящее время блокировщики, использующие платные SMS, почти не встречаются.

Такие сообщения появляются после посещения сомнительных ресурсов

Использование имени известного ресурса

Вместо этого трояны предлагают зачислить некоторую денежную сумму (как правило, не сколько сотен рублей) на счет мобильного номера злоумышленников через терминалы экспресс-оплаты. При этом сообщается, что код разблокировки будет выведен на чеке, выданном терминалом. Однако до сих пор не предъявлено ни одного подобного чека…

Часть 4. Способы распространения Trojan.Winlock.

Рассылка троянов семейства Trojan.Winlock происходит по каналам, традиционным для всякого вредоносного ПО. Речь, прежде всего, идет о сайтах — взломанных или специально созданных. Многие трояны распространяются под видом пиратского программного обеспечения. Значительная часть Trojan.Winlock 2010 года маскировалась под флэш- и медиапроигрыватели — таким образом, неопытный пользователь по собственной воле инсталлировал вредоносную программу на свой компьютер.

Одним из новых каналов проникновения являются социальные сети. В конце января 2011 года было зафиксировано распространение Trojan.WinLock через популярный сервис ЖЖ (LiveJournal). Пользователь сервиса получал комментарий с темой «Немного о насущном в оффтоп» с незначительными вариациями. Комментарии содержали изображение со ссылкой на сайт фотохостинга, откуда пользователя перенаправляли на ресурс с порнографическим содержанием. А затем предлагалось скачать ЕХЕ-файл, содержавший Trojan.Winlock.

Часть 5. Заключение

Несмотря на актуальность угрозы, Trojan.Winlock является очень примитивной программой. Главные причины ее широкого распространения — недостаточная защищенность ОС Windows (основного ареала обитания трояна) и невнимательность либо некомпетентность пользователей, оказывающихся жертвами вымогателей. Применение лицензионного антивирусного ПО, регулярное обновление операционной системы и элементарная осторожность позволяют избежать этой и многих других угроз.