28 марта, 2024
WinLock (Блокиратор Windows)

Как избавится от смс троянцев WinLock (Блокиратор Windows)

[hide] Кошелек или жизнь

Эволюция «фабрики вымогателей», последний квартал 2009 года

Наступил Новый, 2010 год. Во всем мире праздничное затишье: офисы и магазины закрыты, на улицах почти никого. Все отдыхают после главного праздника и готовятся отмечать новые. Но не везде ситуация так спокойна и благополучна: русский сектор Интернета все еще лихорадит после масштабной эпидемии, которую устроили в конце уходящего года многообразные троянские вымогатели.

Для справки: троянский вымогатель (Trojan-Ransom) — вредоносная программа, нарушающая целостность пользовательских файлов, работоспособность отдельного программного обеспечения или операционной системы в целом, и требующая от пользователя заплатить за восстановление нарушенного функционала или поврежденных файлов.

Мы употребили здесь слово «многообразные», но, пожалуй, в этом случае было бы правильнее сказать «однообразные»: работа злоумышленников, постоянно изготавливавших все новые и новые вредоносные продукты, напоминала работу на конвейере. С завидной периодичностью (примерно раз в две недели) «фабрика вымогателей» выпускала очередной образец вредоносной программы, с однотипным названием, скроенным по одному лекалу и составленным из одних и тех же слов, и с одной и той же схемой работы: баннер-окно высокого приоритета, которое нельзя ни закрыть, ни свернуть, с текстом о якобы нарушенном лицензионном соглашении и требованием отправить платное SMS-сообщение на особый номер, чтобы получить код разблокирования.

Надо, однако, признать, что функционал вредоносных программ все время совершенствовался, от версии к версии становясь все более изощренным. В этой статье мы и поговорим о том, как развивались вредоносные продукты, сходившие с конвейера «фабрики вымогателей», на основе сведений из информационных бюллетеней VirusInfo (см. раздел Инфекция дня).

1. «Get Accelerator» (Trojan-Ransom.Win32.Agent.gc)

Первым образцом троянских вымогателей, вызвавших масштабную эпидемию, был вредоносный продукт под самоназванием «Get Accelerator». Он был занесен в базу данных «Лаборатории Касперского» как «Trojan-Ransom.Win32.Agent.gc», антивирусные продукты Dr. Web называют его «Trojan.Winlock.366», а BitDefender эвристически определил его как «Gen:Trojan.Heur.Hype.cy4@aSUBebjk».

Первые случаи заражения этой программой мы увидели примерно в середине октября минувшего года. К началу третьей декады произошел резкий всплеск инфекции, который, к слову сказать, повторился ближе к концу года; эпидемические всплески отчетливо видны на суммарном графике поисковых запросов, составленном по данным аналитического сервиса LiveInternet.
14875d0bbe0ffeb30aa8f43da69

Рис.1. Количество поисковых запросов определенного типа, суммарное
«Get Accelerator» был, в сущности, одним из примитивных представителей продукции «фабрики вымогателей». Пользователю отображалось обычное окно приложения без элементов управления, какое относительно просто изготовить в визуальной среде программирования, с парой угрожающих надписей и таймером; при этом нарушалась корректная работа сетевого подключения, что не позволяло пользователю выходить в сеть Интернет.
83d74ffeaee4743e153baf8c02d

Рис.2. Снимок экрана компьютера, пораженного «Get Accelerator»
Вредоносная программа состояла из двух компонентов — драйвера %WinDir%\dmgr134.sys и внедряемой динамической библиотеки %system32%\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll; оба компонента были отчетливо видны в результатах исследования системы AVZ, имена их были фиксированными, что позволяло составить стандартные рекомендации по их удалению:

Читать также:  Отключение камер безопасности в любой Wi-Fi сети с помощью Aireplay-Ng

***
Для удаления типичного представителя Trojan-Ransom.Win32.Agent.gc (Get Accelerator) с обычного домашнего или офисного ПК необходимо выполнить скрипт в AVZ:

<div style=»margin:20px; margin-top:5px»>
<div class=»smallfont» style=»margin-bottom:2px»>Код:
<pre class=»alt2″ dir=»ltr» style=»
margin: 0px;
padding: 6px;
border: 1px inset;
width: 640px;
height: 210px;
text-align: left;
overflow: auto»>begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile(‘%WinDir%\dmgr134.sys’,»);
QuarantineFile(‘%System32%\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll’,»);
DeleteFile(‘%System32%\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll’);
DeleteFile(‘%WinDir%\dmgr134.sys’);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.</pre>
Операционная система перезагрузится.

***
«Get Accelerator» был актуален в течение 1-2 недель, после чего злоумышленники запустили в производство новую версию.

2. «uFast Download Manager» (Trojan-Ransom.Win32.SMSer.qm, Trojan.Win32.Agent.dapb)

Вторым представителем семейства стал т.н. «uFast Download Manager», получивший наименования «Trojan-Ransom.Win32.SMSer.qm» и «Trojan.Win32.Agent.dapb» в базах данных «Лаборатории Касперского» и «Trojan.Botnetlog.11» — по классификации Dr. Web; BitDefender вновь определил вредоносную программу эвристически, назвав ее «BehavesLike:Trojan.UserStartup».

Атака этой вредоносной программы пришлась на начало ноября, когда первая волна «Get Accelerator» была уже погашена. На графике поисковых запросов вновь отчетливо виден эпидемический всплеск, хотя он был и не таким мощным, как у предыдущего образца.

8bd57982b8c3aab5a8d96fa0660

Рис.3. Количество поисковых запросов определенного типа, суммарное

В сравнении с «Get Accelerator» «uFast Download Manager» был устроен немного сложнее с точки зрения интерфейса и несколько проще в том, что касается реализации. Окно, отображавшееся пользователю, приобрело «полупрозрачный» вид, исчезла и рамка окна, характерная для «Get Accelerator»; надписи и требования, однако, остались все теми же. Основание для вымогательства также не изменилось: программа нарушала работу сетевого подключения. Иногда от пользователей поступали сообщения и о блокировке Диспетчера задач.
7a165d7eb92af26d3f6f8ef5fe9

Рис.4. Снимок экрана компьютера, пораженного «uFast Download Manager»

Вредоносный продукт на этот раз пытался имитировать «настоящий» менеджер загрузок — создавал свою папку в каталоге %UserProfile%\Application Data. Основной компонент на сей раз был один — исполняемый файл с опять же фиксированным именем типа %UserProfile%\APPLIC~1\UFASTD~1\PropetyuFastManage r.exe; он по-прежнему был отчетливо виден в протоколах AVZ и мог быть удален вместе с иногда застревавшим в системе дроппером при помощи стандартных рекомендаций:

***
Для удаления типичного представителя uFast Download Manager (Trojan-Ransom.Win32.SMSer.qm, Trojan.Win32.Agent.dapb) с обычного домашнего или офисного ПК необходимо выполнить скрипт в AVZ:

<div style=»margin:20px; margin-top:5px»>
<div class=»smallfont» style=»margin-bottom:2px»>Код:
<pre class=»alt2″ dir=»ltr» style=»
margin: 0px;
padding: 6px;
border: 1px inset;
width: 640px;
height: 274px;
text-align: left;
overflow: auto»>var
SP: string;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SP:=RegKeyStrParamRead(‘HKEY_CURRENT_USER’,’Softwa re\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders’,’Startup’);
QuarantineFile(SP+’\zavupd32.exe’,»);
QuarantineFile(‘%UserProfile%\applic~1\ufastd~1\pr opet~1.exe’,»);
DeleteFile(‘%UserProfile%\applic~1\ufastd~1\propet ~1.exe’);
DeleteFile(SP+’\zavupd32.exe’);
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.</pre>
Операционная система перезагрузится.

Если после этих действий у Вас возникнет проблема соединения с сетью, сделайте следующее:
1. В диспетчере устройств Windows удалите сетевой адаптер
2. Обновите конфигурацию оборудования. Старое соединение исчезнет и появится новое, которое можно переименовать в привычный вид.

Читать также:  Тестирование компьютерной безопасности

***
Просуществовав несколько недель, «uFast Download Manager» был вскоре сменен обновленной версией «Get Accelerator».

3. «Get Accelerator» — 2

После падения «uFast Download Manager» злоумышленники вернулись к «брэнду» «Get Accelerator». Под старым именем вышла новая модификация вредоносной программы, остававшаяся актуальной почти месяц.

В сравнении с предыдущими версиями авторы «продукта» сделали шаг вперед: предприняли попытку защитить свое творение от антивирусных консультантов и их инструментов. Во-первых, появилось случайное имя вредоносного драйвера, а, во-вторых, этот же драйвер занялся маскировкой внедряемой библиотеки aekgoprn.dll, подставляя вместо пути набор цифр. Впоследствии авторы вообще отказались от особого драйвера и вместо этого стали модифицировать системные драйвера, усложняя тем самым процедуру лечения. С этого момента «фабрика вымогателей» уже не выпускала образцов, для которых можно было бы предложить стандартный скрипт AVZ.

Однако, как выяснилось, все это были еще цветочки. Гром грянул позже, в начале декабря.

4. «iMax Download Manager» (Packed.Win32.Krap.w)

Удар, нанесенный этим вредоносным продуктом, пришелся на 8-9 декабря. «iMax Download Manager» в разы превзошел всех своих предшественников как по масштабам эпидемии, так и по вредоносному функционалу. На момент атаки определить его были способны только продукты «Лаборатории Касперского», да и то эвристически — по подозрительному упаковщику файла.

В том, что касается масштабов эпидемии, достаточно привести несколько цифр:

— 9 декабря на лечебном сервисе VirusInfo были побиты рекорд одновременного присутствия (без малого 1 000 человек онлайн одновременно) и рекорд суточной посещаемости (впервые в истории портала он превысил 20 000 уникальных посетителей в сутки),
— информационный бюллетень о вредоносной программе «iMax Download Manager» за два дня был просмотрен порядка 10 000 раз,
— суммарное количество поисковых запросов (на графике) превысило 10 000 — в 2 раза больше, чем предел для «Get Accelerator», и в 4 раза больше, чем для «uFast Download Manager».

В области вредоносного функционала авторы также продемонстрировали большой «прогресс». «iMax Download Manager», помимо традиционного вымогательства, оказался способен:

— мешать запуску и работе антивирусных инструментов и сканирующих утилит,
— блокировать Диспетчер задач и Редактор реестра,
— препятствовать загрузке Windows в безопасном режиме,
— выключать Восстановление системы Windows.

Само собой, что о стандартных скриптах для антивирусных инструментов речь здесь уже не шла. Усилия антивирусных консультантов сосредоточились на двух способах решения проблемы — загрузке в обход операционной системы или поиску способов подбора т.н. «кода активации».

Не успела погаснуть волна этого вредоносного ПО, как последовала еще одна — более слабая, сопоставимая с масштабами волны «uFast Download Manager».

4. «iLite Net Accelerator» (Packed.Win32.Krap.w)

Вредоносный продукт под названием «iLite Net Accelerator» — это в сущности тот же «iMax Download Manager», выпущенный под другим именем. Для него даже не потребовался отдельный бюллетень в разделе «Инфекция дня». Отличия его от «старшего брата» незначительны и состоят скорее в типе цифрового кода для отправки в SMS-сообщении и собственно номере для отправки. Волна инфекции, однако, вышла вполне ощутимой.

Читать также:  Как настроить и использовать VPN

Для «iMax Download Manager» и «iLite Net Accelerator» в настоящее время существуют, как было уже сказано, два основных типа лечения. Первый разработан специалистами VirusInfo и состоит в использовании загрузочного диска, содержащего антивирусную сканирующую утилиту:

***
1) Загрузить и сохранить на диск установочный пакет антивирусной лечащей утилиты AVPTool от Лаборатории Касперского (описание см. здесь: support.kaspersky.ru/viruse…, ссылка для загрузки );
2) Подготовить загрузочный компакт-диск, позволяющий загружать ПК с обход ОС Windows и запускать лечащие утилиты (подробнее о создании и использовании LiveCD см. здесь: virusinfo.info/showthread.p… ), или попытаться войти в пораженную ОС при помощи другой учетной записи;
3) Запустить утилиту AVPTool и провести полное сканирование ПК;
4) Перезагрузить компьютер.

Обращаем ваше внимание на то, что уничтожение вредоносных DLL при помощи AVPTool не позволяет полностью излечить пораженную ОС. После сканирования и перезагрузки мы настоятельно рекомендуем вам пройти остаточное лечение на VirusInfo, подготовив протоколы исследования системы в соответствии с Правилами оформления запроса.

***
Однако данный способ требует от пользователя определенных навыков и к тому же не всегда применим (в частности, нередко вредоносный продукт поражает нетбуки, которые не снабжены CD-приводом). Если первый способ не подходит, остается другой — подбор «кода разблокировки» вместо отправки SMS-сообщения. Получить код вы можете одним из двух вариантов:

1) Использовать сервис разблокировки, любезно предоставленный нам «Лабораторией Касперского»:

>>> virusinfo.info/deblocker/

2) Обратиться в службу поддержки поставщика, обслуживающего указанный на баннере вредоносного ПО короткий номер, с просьбой выдать вам код разблокирования. Согласно данным компании МТС, наиболее часто используемый мошенниками номер 3649 принадлежит поставщику «Контент-провайдер Первый Альтернативный, ЗАО»; по сведениям, имеющимся в распоряжении VirusInfo, техническая поддержка указанного поставщика достаточно оперативно отвечает на запросы пользователей и с готовностью выдает им соответствующие коды разблокирования.

Следует, однако, помнить, что каким бы вымогателем ни был поражен ваш ПК, ни в коем случае нельзя делать двух вещей:

а) выполнять требования злоумышленников и выплачивать им «выкуп»,
б) заниматься самолечением или следовать советам шарлатанов от компьютерной медицины (например, «удали все файлы из папки system32» — гарантированный способ умертвить Windows).

Помимо перечисленных нами образцов, существует еще некоторое количество более мелких представителей этой группы — «File Downloader», «Toget Access» и им подобные.

P.S. Статья не моя, но на форуме нету общей темы по Блокираторам, сорри за копи-паст, но думаю статья пригодиться.
[/hide]

Добавить комментарий