Категория: Безопасность ПК / Просмотров: 2315 / Комментариев: 1
Всем привет! Среди пользователей интернета, на мой взгляд, уже не осталось таких, кто бы не слышал о винлоке (Trojan Winlock). Кто-то - слыхал об этом от друзей или знакомых, кто-то - читал в новостных лентах и отчетах антивирусных компаний, ну а тем, кому повезло меньше - прочувствовал всю печаль и скорбь на собственной шкуре. Да, продвинутые пользователи скажут, что ничего особо страшного в этом нет, а любой винлок "снимается" за какие-то 5-10 минут... Действительно, для специалистов это так. Но для обычного пользователя, который случайно столкнулся с этой заразой, процесс снятия баннера является чем-то фантастическим, нереально сложным и непонятным.
И его можно понять. Ведь для того, чтобы пользоваться компьютером, не обязательно знать всех тонкостей его архитектуры, иметь инженерное образование и разбираться в информационной безопасности. Зачем?! Пользователю это не надо. Ведь если провести параллель с автомобилистами: какой процент автолюбителей разбирается в автомобилях, и в случае какой-либо поломки может лично ее устранить?! Единичный! Так же и с компьютерами.
Именно на этом и сделали акцент злоумышленники. Ведь в случае вирусного заражения, жертва может воспользоваться антивирусным решением, самостоятельно вылечив систему. А вот в случае с винлоком - преступники сделили пользователя беспомощным. Система не запустится до тех пор, пока злоумышленнику не будет отправлена н-ная денежная сумма. Сама жертва, как правило, ничего сделать не может. Да и многие мои знакомые, которые непосредственно имели дело с этой угрозой, предпочитали заплатить жуликам, нежели ломать голову и думать, чтобы можно сделать. Да, это является более быстрым решением, но вот абсолютно неверным!
Давайте вспомним, с чего же все начиналось. Первые винлоки, кстати сказать, вообще имели функцию самоудаления. Достаточно было оставить компьютер включенным, и спустя некоторое время винлок исчезал. Стоит отметить, что они блокировали не весь рабочий стол, а лишь его часть. Работать при это было невозможно. Некоторые "убивались" даже из диспетчера задач. Это можно считать своего рода экспериментами со стороны преступников. Они присматривались к жертвам: какой процент заплатит до истечения "срока действия", какой нет, и т.д. Прошло время, когда достаточно было поменять дату в биосе на пару лет вперед, и баннер снимался. Все это было. Но постепенно винлоки начали усовершенствоваться, обрастать все новым функционалом, защитой от удаления, анализа и т.п.
И вот мы смотрим на них сейчас, когда прошло уже пару лет с момента экспериментов и наработок, а угроза так и не изжила себя. А все потому - что это очень прибыльный бизнес, который приносил, приносит, да и будет приносить своим владельцам крупную и стабильную прибыль.
Но несмотря на такую эволюцию в развитии, методы распространения остались практически неизменными. Как правило, винлоки распространяют через порно-сайты, нелегальный софт, взломанные ресурсы и т.д. Давайте остановимся на этом попордробней.
К примеру, пользователь ищет что-либо в сети (песню, фильм, доклад). Переходит на один из сайтов, в надежде скачать искомое, как на рабочем столе появляется баннер (содержащий порой изображения порнографического характера), вымогающий у пользователя денежные средства за "разблокировку системы". Легенд может быть великое множество, а вот методы устранения одни: отправить sms на короткий номер, пополнить электронный кошелек через терминал, перевести денежные средства на лицевой счет злоумышленников, и т.д.
Но не стоит забывать, что многое зависит и от браузера, которым вы пользуетесь. Может сработать защита безопасности в браузере, спросив у пользователя разрешение на запуск подключаемого java-модуля. Правда неопытный пользователь может по незнанию разрешить запуск, но это уже целиком и полностью его вина. Браузер предупреждал.
Теперь давайте перейдем к тому, что же на самом деле происходит. Сайт, как я уже сказал, может быть либо изначально мошенническим, либо взломанным. Как только пользователь переходит на такой сайт, его система подвергается атаке. Верней сказать - браузер. Дело в том, что на страничке сожержится iframe, подгружающий эксплоиты. Они-то и проверяют защиту на прочность. Если сказать проще - эти сплоиты ищут "дыру" в браузере или модулях, подключаемых к нему. И в случае, если такая дыра находится - в систему загружается уже Trojan Winlock.
От того, как регулярно вы следите за обновлениями своей операционной системы и стороннего программного обеспечения - и зависит, найдется ли такая дыра или нет.
Как вы видите, браузер Google Chrome спрашивает у пользователя, как ему поступить: запустить на исполнение подключаемй java-модуль, или же остановить выполнение сценария. Еще раз повторюсь, что не все браузеры спрашивают пользователя. А теперь давайте взглянем на эту страничку через средство разработчика в браузере.
Браузер Google Chrome, как вы видите, даже обнаружил подмену кода, так что присутствие вредоносной программы на странице - налицо! Но в случае, если эксплоиты все же нашли дыру (по типу, это сплоиты BlackHole), в систему подгружается винлок, который успешно отрабатывает в системе (если все рубежи сломлены, а антивирус проспал), и на рабочем столе появляется "прекрасный баннер", видя который, пользователь приходит в ужас. В еще большем шоке он оказывается, понимая, что не помогает даже перезагрузка компьютера. И вот тут-то начинается та самая головная боль, о которой я говорил в начале статьи: пользователь в панике обзванивает друзей и знакомых, узнавая что делать. А те, у кого нет времени разбираться в том, "что же произошло и кто виноват", читают информацию на баннере, и просто платят вымогателям, обогащая их. Тем самым, они еще и стимулируют жуликов на "новые подвиги".
Я не призываю всех в срочном порядке учить матчасть и осваивать информационную безопасность. Достаточно просто сохранять самообладание и трезво оценивать ситуацию, понимая, что же вы делаете. А по сути - вы платите преступникам! Было бы не лишним также иметь в своем багаже знаний и пару способов по самостоятельному снятию винлоков. В сети достаточно много информации по этому поводу, но учитывая, что Trojan Winlock достаточно быстро совершенствуется - большинство описываемых способов уже не работает. А те, что работают - слишком сложны для простого пользователя.
К данной статье это уже не относится, но я обязательно напишу о том, как самостоятельно, без особых усилий, навыков и великих знаний, побороть такую страшную вещь, как Trojan Winlock. Следите за новостями портала и оставляйте свои комментарии. Будьте грамотными!