Информация к новости
  • Автор: remo
  • Дата: 14 февраль 2013 21:02
14 февраль 2013 21:02
О процессе заражения Trojan Winlock

Категория: Безопасность ПК / Просмотров: 2546 / Комментариев: 1

Всем привет! Среди пользователей интернета, на мой взгляд, уже не осталось таких, кто бы не слышал о винлоке (Trojan Winlock). Кто-то - слыхал об этом от друзей или знакомых, кто-то - читал в новостных лентах и отчетах антивирусных компаний, ну а тем, кому повезло меньше - прочувствовал всю печаль и скорбь на собственной шкуре. Да, продвинутые пользователи скажут, что ничего особо страшного в этом нет, а любой винлок "снимается" за какие-то 5-10 минут... Действительно, для специалистов это так. Но для обычного пользователя, который случайно столкнулся с этой заразой, процесс снятия баннера является чем-то фантастическим, нереально сложным и непонятным.

И его можно понять. Ведь для того, чтобы пользоваться компьютером, не обязательно знать всех тонкостей его архитектуры, иметь инженерное образование и разбираться в информационной безопасности. Зачем?! Пользователю это не надо. Ведь если провести параллель с автомобилистами: какой процент автолюбителей разбирается в автомобилях, и в случае какой-либо поломки может лично ее устранить?! Единичный! Так же и с компьютерами.

Именно на этом и сделали акцент злоумышленники. Ведь в случае вирусного заражения, жертва может воспользоваться антивирусным решением, самостоятельно вылечив систему. А вот в случае с винлоком - преступники сделили пользователя беспомощным. Система не запустится до тех пор, пока злоумышленнику не будет отправлена н-ная денежная сумма. Сама жертва, как правило, ничего сделать не может. Да и многие мои знакомые, которые непосредственно имели дело с этой угрозой, предпочитали заплатить жуликам, нежели ломать голову и думать, чтобы можно сделать. Да, это является более быстрым решением, но вот абсолютно неверным!

Давайте вспомним, с чего же все начиналось. Первые винлоки, кстати сказать, вообще имели функцию самоудаления. Достаточно было оставить компьютер включенным, и спустя некоторое время винлок исчезал. Стоит отметить, что они блокировали не весь рабочий стол, а лишь его часть. Работать при это было невозможно. Некоторые "убивались" даже из диспетчера задач. Это можно считать своего рода экспериментами со стороны преступников. Они присматривались к жертвам: какой процент заплатит до истечения "срока действия", какой нет, и т.д. Прошло время, когда достаточно было поменять дату в биосе на пару лет вперед, и баннер снимался. Все это было. Но постепенно винлоки начали усовершенствоваться, обрастать все новым функционалом, защитой от удаления, анализа и т.п.

И вот мы смотрим на них сейчас, когда прошло уже пару лет с момента экспериментов и наработок, а угроза так и не изжила себя. А все потому - что это очень прибыльный бизнес, который приносил, приносит, да и будет приносить своим владельцам крупную и стабильную прибыль.

Но несмотря на такую эволюцию в развитии, методы распространения остались практически неизменными. Как правило, винлоки распространяют через порно-сайты, нелегальный софт, взломанные ресурсы и т.д. Давайте остановимся на этом попордробней.

К примеру, пользователь ищет что-либо в сети (песню, фильм, доклад). Переходит на один из сайтов, в надежде скачать искомое, как на рабочем столе появляется баннер (содержащий порой изображения порнографического характера), вымогающий у пользователя денежные средства за "разблокировку системы". Легенд может быть великое множество, а вот методы устранения одни: отправить sms на короткий номер, пополнить электронный кошелек через терминал, перевести денежные средства на лицевой счет злоумышленников, и т.д.

О процессе заражения Trojan Winlock

Но не стоит забывать, что многое зависит и от браузера, которым вы пользуетесь. Может сработать защита безопасности в браузере, спросив у пользователя разрешение на запуск подключаемого java-модуля. Правда неопытный пользователь может по незнанию разрешить запуск, но это уже целиком и полностью его вина. Браузер предупреждал.

Теперь давайте перейдем к тому, что же на самом деле происходит. Сайт, как я уже сказал, может быть либо изначально мошенническим, либо взломанным. Как только пользователь переходит на такой сайт, его система подвергается атаке. Верней сказать - браузер. Дело в том, что на страничке сожержится iframe, подгружающий эксплоиты. Они-то и проверяют защиту на прочность. Если сказать проще - эти сплоиты ищут "дыру" в браузере или модулях, подключаемых к нему. И в случае, если такая дыра находится - в систему загружается уже Trojan Winlock.

От того, как регулярно вы следите за обновлениями своей операционной системы и стороннего программного обеспечения - и зависит, найдется ли такая дыра или нет. 

О процессе заражения Trojan Winlock

Как вы видите, браузер Google Chrome спрашивает у пользователя, как ему поступить: запустить на исполнение подключаемй java-модуль, или же остановить выполнение сценария. Еще раз повторюсь, что не все браузеры спрашивают пользователя. А теперь давайте взглянем на эту страничку через средство разработчика в браузере. 

О процессе заражения Trojan Winlock

О процессе заражения Trojan Winlock

Браузер Google Chrome, как вы видите, даже обнаружил подмену кода, так что присутствие вредоносной программы на странице - налицо! Но в случае, если эксплоиты все же нашли дыру (по типу, это сплоиты BlackHole), в систему подгружается винлок, который успешно отрабатывает в системе (если все рубежи сломлены, а антивирус проспал), и на рабочем столе появляется "прекрасный баннер", видя который, пользователь приходит в ужас. В еще большем шоке он оказывается, понимая, что не помогает даже перезагрузка компьютера. И вот тут-то начинается та самая головная боль, о которой я говорил в начале статьи: пользователь в панике обзванивает друзей и знакомых, узнавая что делать. А те, у кого нет времени разбираться в том, "что же произошло и кто виноват", читают информацию на баннере, и просто платят вымогателям, обогащая их. Тем самым, они еще и стимулируют жуликов на "новые подвиги". 

Я не призываю всех в срочном порядке учить матчасть и осваивать информационную безопасность. Достаточно просто сохранять самообладание и трезво оценивать ситуацию, понимая, что же вы делаете. А по сути - вы платите преступникам! Было бы не лишним также иметь в своем багаже знаний и пару способов по самостоятельному снятию винлоков. В сети достаточно много информации по этому поводу, но учитывая, что Trojan Winlock достаточно быстро совершенствуется - большинство описываемых способов уже не работает. А те, что работают - слишком сложны для простого пользователя. 

К данной статье это уже не относится, но я обязательно напишу о том, как самостоятельно, без особых усилий, навыков и великих знаний, побороть такую страшную вещь, как Trojan Winlock. Следите за новостями портала и оставляйте свои комментарии. Будьте грамотными!

источник


Нашли ошибку в тексте? Выделите фрагмент текста и отправьте нажатием Ctrl + Enter
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.
<
Александр

15 февраля 2013 11:10

0 комментариев

0 публикаций

Защитить Windows от блокировщиков и баннеров, а также разблокировать компьютер хорошо помогает программа AntiWinLocker.

Добавление комментария

Имя:*
E-Mail:*
Комментарий:
b
i
u
s
|
left
center
right
|
emo
url
leech
color
|
hide
quote
translit
Вопрос:
Допишите недостающие буквы в слове: Белар_сь (слово в ответе писать целиком)
Ответ:*
Введите код: *
2011-2014 WikiWin.info
Microsoft Windows © и логотип Windows © являются зарегистрированными товарными знаками компании Microsoft Corporation © в США а так же в других странах.
Администрация сайта не несет ответственность за содержание и достоверность информации.
В случае, если Вы обнаружили свою статью, и считаете что Ваши авторские права нарушены ее размещением - немедленно свяжитесь с нами,
администрация сайта обязуется удалить материалы при первом требовании!
Для связи з администрацией (melkor@ukrpost.net)