A trójaiak-zsarolók erszénye vagy életaktiválása
Referenciaként: A zsaroló trójai (trójai-Ransom) - egy rosszindulatú program, amely megsérti a integritását felhasználói adatfájlok, rendelkezésre álló egyedi szoftver vagy operációs rendszer, mint egész, és előírja, hogy a felhasználó fizet a helyreállítás a funkcionális vagy sérült fájlokat.
Mi már itt használt a „sokszínű”, de talán ebben az esetben lenne helyes azt mondani, „egységes”: a munka a bűnözők, készülnek folyamatosan egyre több és több káros termékek, mint dolgozik egy futószalagon. Irigylésre méltó rendszeresség (körülbelül kéthetente) „gyári extortionists” készített egy mintát a rosszindulatú program, az azonos típusú nevet, testreszabott mintákat és tagjai ugyanazokat a szavakat, és ugyanazt a rendszert a munka: Banner-box nagy prioritást, amely nem zárható le és nem is felcserélhető, az állítólagosan megsértett licencszerződésről szóló szöveg és a fizetős SMS küldésére vonatkozó követelmény egy speciális számra történő elküldéséhez a feloldási kód megszerzése érdekében.
El kell azonban ismernünk, hogy a rosszindulatú programok működése folyamatosan javult, a verziótól a verzióig kifinomultabbá vált. Ebben a cikkben fogunk beszélni arról, hogy a VirusInfo hírlevelek alapján a rosszindulatú termékek hogyan alakultak ki a "zsarolási gyár" csővezetékből.
1. Get Accelerator (Trojan-Ransom.Win32.Agent.gc)
Az első, a nagyszabású járványt okozó trójai zsarolók első példája rosszindulatú termék volt a "Get Accelerator" néven. A Kaspersky Lab adatbázisában "Trojan-Ransom.Win32.Agent.gc", vírusirtó termékekként szerepel. A web úgynevezett "Trojan.Winlock.366", és a BitDefender heurisztikusan "Gen: Trojan.Heur.Hype.cy4@aSUBebjk" néven definiálta.
1. ábra. Egy adott típusú keresési kérések száma, összesen
A "Get Accelerator" valójában a "zsarolási gyár" termékek egyik primitív képviselője volt. A felhasználó normál alkalmazásablakot mutatott be olyan vezérlések nélkül, amelyeket viszonylag könnyű létrehozni egy vizuális programozási környezetben, néhány fenyegető felirattal és időzítővel; míg a hálózati kapcsolat helyes működése megszakadt, ami megakadályozta a felhasználó számára az internet elérését.
2. ábra. A "Get Accelerator" által sújtott számítógép képernyőképe
A rosszindulatú program két összetevőből állt: a% WinDir% \ dmgr134.sys illesztőprogramból és a gyökérkönyvtárból% system32% \. Dll; mindkét komponens jól látható volt az AVZ rendszer vizsgálatának eredményei között, ezek nevét rögzítették, ami lehetővé tette a szabványos ajánlásokat az eltávolításukhoz:
A Trojan-Ransom.Win32.Agent.gc (Get Accelerator) tipikus képviselőjének eltávolítása normál otthoni vagy irodai számítógépről, az AVZ-ben kell végrehajtania a szkriptet:
Az operációs rendszer újraindul.
A "Get Accelerator" 1-2 hétig volt releváns, majd a támadók új verziót indítottak.
2. "uFast Download Manager" (Trojan-Ransom.Win32.SMSer.qm, Trojan.Win32.Agent.dapb)
A család második képviselője az ún. "UFast Download Manager", megkapta a nevét "Trojan-Ransom.Win32.SMSer.qm" és "Trojan.Win32.Agent.dapb" adatbázisokban "Kaspersky Lab" és a "Trojan.Botnetlog.11" - Besorolás Dr. Web; A BitDefender ismét heurisztikusan azonosította a rosszindulatú programot, ezt "BehavesLike: Trojan.UserStartup" -nek nevezte.
3. ábra. Egy adott típusú keresési kérelmek száma, összesen
A "Get Accelerator" -hoz képest "" uFast Download Manager "egy kicsit bonyolultabb volt az interfész szempontjából, és némileg egyszerűbb a megvalósítás szempontjából. A felhasználó számára megjelenített ablak "áttetsző" megjelenést kapott, és a "Get Accelerator" -ra jellemző ablakkeret eltűnt; A feliratok és követelmények ugyanakkor maradtak. A zsarolás oka sem változott: a program megzavarta a hálózati kapcsolatot. Néha a felhasználók a Feladatkezelő zárolásáról is kaptak üzenetet.
4. ábra. Az "uFast Download Manager" által érintett számítógép képernyőképe
A malware termék ezúttal igyekezett szimulálni egy "valós" letöltéskezelőt - létrehozta a mappát a% UserProfile% \ Application Data könyvtárban. A fő összetevő ezúttal egy volt - egy végrehajtható fájl, amellyel ismét egy rögzített név, mint a% UserProfile% \ APPLIC
1 \ PropetyuFastManage r.exe; még mindig jól látható volt az AVZ protokollokban, és eltávolítható lenne, és néha elakadhattak a rendszerben szabványos ajánlások segítségével:
Az uFast Download Manager (Trojan-Ransom.Win32.SMSer.qm, Trojan.Win32.Agent.dapb) tipikus képviselőjének eltávolítása normál otthoni vagy irodai számítógépről, az AVZ-ben kell végrehajtania a szkriptet:
Az operációs rendszer újraindul.
Ha a fenti műveletek után probléma van a hálózathoz való csatlakozással, tegye a következőket:
- A Windows Eszközkezelőben távolítsa el a hálózati adaptert
- Frissítse a hardverkonfigurációt. A régi kapcsolat eltűnik, és megjelenik egy új, amely átnevezhető a megszokott formára.
Miután több hétig létezett, az "uFast Download Manager" -et hamarosan a "Get Accelerator" frissített változata váltotta fel.
3. "Get Accelerator" - 2
Az "uFast Download Manager" bukása után a támadók visszatértek a "Get Accelerator" márkához. A régi név szerint a rosszindulatú program új változata jött létre, amely csaknem egy hónapig maradt releváns.
4. "iMax Download Manager" (Packed.Win32.Krap.w)
A járvány terjedelmét tekintve elegendő néhány számot adni:
5. ábra. Egy adott típusú keresési kérelmek száma, összesen
6. ábra. Az iMax Download Manager által megtalált számítógép képernyőképe
Magától értetődik, hogy a szabványos szkripteket a vírusirtó eszközökre itt nem tárgyalják. A vírusvédelmi tanácsadók erőfeszítései a probléma megoldásának két módjára összpontosultak - az operációs rendszer megkerülése vagy az ún. "aktiváló kód".
Mihelyt a rosszindulatú program hulláma elkezdődött, amint ezt egy másik - egy gyengébb, hasonlóan a hullám skálahoz hasonlóan - uFast Download Manager.
5. "iLite Net Accelerator" (Packed.Win32.Krap.w)
Az iLite Net Accelerator nevű rosszindulatú termék lényegében ugyanaz a "iMax Download Manager", más néven. Még egy külön értesítőre sem volt szüksége a "Fertőzés a Napban" fejezetben. A "nagy testvér" -től való eltérései elhanyagolhatók, és a digitális kódok típusát tartalmazzák SMS üzenet küldésére és a küldés tényleges számára. A fertőzés hulláma azonban nagyon tapinthatóvá vált.
7. ábra. Egy adott típusú keresési kérések száma, összesen
Az "iMax Download Manager" és az "iLite Net Accelerator" jelenleg - mint már említettük - jelenleg két fő kezelési mód létezik. Az elsőt a VirusInfo szakemberei fejlesztették ki, és egy víruskeresõ segédprogramot tartalmazó indítólemez használatával áll össze:
Azonban ez a módszer bizonyos képességeket igényel a felhasználótól, és nem mindig alkalmazható (különösen gyakran rosszindulatú termék érinti azokat a netbookokat, amelyek nem rendelkeznek CD-meghajtóval). Ha az első módszer nem működik, akkor is marad egy másik - a "feloldókód" kiválasztása helyett SMS üzenet küldése. A kódot kétféle módon kaphatja meg:
Nem szabad elfelejteni azonban, hogy bármennyire is meggyógyult a számítógéped, két dolgot sem szabad tenni:
- betartsák a behatolók igényeit, és fizessenek nekik egy "váltságdíjat"
- öngyógyíthat vagy követheti a számítógépes orvostudomány tanácsait (például "a fájlok eltávolítása a rendszer32 mappájából").
A felsorolt mintákon kívül még számos kisebb képviselője van a csoportnak - "File Downloader", "Toget Access" és hasonlók.
Cikkünk végén pedig a különös ütemezést fogjuk elérni - a zsarolásra vonatkozó járványos adatokkal kapcsolatos beépített adatok:
8. ábra. Általános adatok a zsarolók tevékenységéről
A járvány folytatódik. Következtetések az Ön számára.
Trojans-extortionisták deaktiválásával kapcsolatos szolgáltatások
A "Doctor Web" és a "Kaspersky Lab" szakemberei ingyenes szolgáltatást állítottak fel a számítógépet zároló programok leküzdésére. A cég honlapján található speciális formákban megadhatja az állítólagos sms üzenet szövegét, és megkaphatja a feloldókódot.
- Trojans-extortioners szolgáltatás kikapcsolása a "Doctor Web" cégtől
- Trojans-extortioners szolgáltatás kikapcsolása a Kaspersky Lab-ból