В январе 2010 года миллионы российских пользователей Сети Интернет пострадали от вредоносных программ, требующих за разблокировку Windows отправить платное SMS-сообщение. Новый вирус семейства Trojan. Winlock действует так: блокирует работу операционной системы Windows, после чего на экране появляется окно с требованием заплатить деньги, отправив СМС-сообщение. После отправки сообщения на мобильник «жертвы» приходит код для разблокировки. На каждом отправленном СМС мошенники зарабатывают 300−600 рублей. Предположительные потери российских пользователей только в январе текущего года составили сотни миллионов рублей.
О новом вирусе и о том, как разблокировать компьютер, не отправляя СМС, «Свободной прессе» рассказали специалисты ведущих разработчиков антивирусов.
— Вымогательства с использованием блокировки появились еще 20 лет назад в США. Тогда как на территории России и стран СНГ всплеск активности программ, блокирующих компьютер и предлагающих отправить платную СМС на определенный номер, случился только в конце прошлого года, — рассказывает Иван Татаринов, вирусный аналитик «Лаборатории Касперского». — Так, за последние 2 месяца одна за другой прошли 3 эпидемии блокеров. Угроза реальна, количество зараженных компьютеров достаточно велико.
«СП»: — Как этот вирус попадает в компьютер?
— Проблема заключается в том, что пользователь устанавливает блокеры своими же руками. К примеру, скачивает файл видеокодеков, электронных книг, аудиофайлов и тому подобное, под видом которых скрывается не детектирующийся exe-файл. Пользователь запускает файл, после чего получает предупреждение об опасности от системы защиты. Однако он уверен, что устанавливает проверенный софт, поэтому игнорирует предупреждение антивируса. Последние несколько месяцев также наблюдается наплыв «псевдолегальных» блокеров: приложения имеют лицензионные соглашения, где прямым текстом описываются возможности блокировки. Однако мало кто из пользователей читает соглашения, и почти все добровольно соглашаются на установку зловредов. Некоторые же блокеры показывают лицензионное соглашение лишь на пару секунд, после чего автоматически устанавливаются.
Валерий Ледовской, аналитик компании «Доктор Веб», отмечает, что меры по противодействию заражению системы блокировщиками Windows вполне стандартные — работа с ограниченной в правах учётной записью пользователя, оценка ресурса, который пользователь собирается посетить, на потенциальную опасность (некоторые типы ресурсов являются потенциально безопасными вне зависимости от кажущейся «чистоты» и качества оформления сайта).
«СП»: — Если отправить СМС и ввести полученный в ответном сообщении код, компьютер действительно разблокируется?
— То, что злоумышленники пришлют подходящий код для разблокировки системы или вообще что-нибудь пришлют — никто не гарантирует. Деньги в любом случае злоумышленники потратят на разработку новых, более технологичных версий Trojan.Winlock. Более того, даже если блокирующее окно после ввода кода исчезнет, это не означает, что система полностью вылечена. После снятия окна блокировки необходимо тщательное исследование системы на предмет оставшихся в ней компонентов вредоносной программы, иначе никто не гарантирует, что через некоторое время это же или другое окно блокировки не отобразится вновь.
«СП»: — Можно ли вычислить преступников, которые этим занимаются?
— Наша компания сейчас разрабатывает комплекс предложений юридического плана для пострадавших пользователей. Используя их, они смогут обращаться в равоохранительные органы по факту заражений Trojan. Winlock и помочь другим образом противодействовать злоумышленникам. Безусловно, требуется вмешательство властей и помощь операторов сотовой связи, которые пока не замечают мошенников, использующих СМС-сервисы. Их помощь в обнаружении людей, регистрирующих номера, на которые злоумышленники требуют отправлять платные SMS-сообщения, могла бы уменьшить число потенциальных жертв. Кроме того, мы призываем операторов сотовой связи блокировать эти номера по первым же жалобам абонентов.
«СП»: — Какие еще угрозы ожидают российских Интернет-пользователей в 2010 году?
— Набирает обороты еще один метод заработка в Интернете преступным путем. Злоумышленники создают вредоносные сайты, на которых расположены лже-антивирусы, которые якобы находят вредоносные файлы на любом компьютере. За лечение системы они требуют деньги, так же путем отправки СМС. Ссылки на такие вредоносные сайты распространяются через спам-сообщения в электронной почте, в системах мгновенного обмена сообщениями и в социальных сетях.
Бесплатные программы, которые помогают избавиться от нового семейства Троянов, предлагаемые ведущими разработчиками антивирусов:
Dr.Web:
http://drweb.com/unlocker — специальный раздел сайта компании «Доктор Веб», на котором расположены генераторы известных кодов разблокировки. Если это не помогает, можно обратиться в техподдержку компании «Доктор Веб» или на официальный форум компании «Доктор Веб» в раздел «Помощь по лечению». Также существует специальный дистрибутив лечащей утилиты Dr. Web CureIt! (http://www.freedrweb.com/cureit/buy/), предназначенной для лечения вредоносных программ данного типа.
Kaspersky:
http://support.kaspersky.ru/viruses/deblocker - бесплатный сервис деактивации вымогателей-блокеров: для получения кода деактивации в специальном поле нужно ввести номер телефона, на который просят отправить СМС. Также на странице support.kaspersky.ru/viruses/solutions?qid=208637133 можно прочитать рекомендации по ручному удалению подобных троянцев. Это может быть полезно пользователям, у которых не было установленного антивирусного ПО.
«Лаборатория Касперского» рекомендует работать в сети, не забывая о простых правилах Интернет-безопасности: www.securelist.com/ru/safeonline/rules.