Про процес зараження Trojan Winlock

admin Новини hardware

Про процес зараження Trojan Winlock.

Всім привіт! Серед користувачів інтернету, на мій погляд, вже не залишилося таких, хто б не чув про вінлок (Trojan Winlock). Хтось чув про це від друзів або знайомих, хтось читав в новинних стрічках і звітах антивірусних компаній, ну а ті, кому пощастило менше, відчули всю печаль і скорботу на власній шкурі. Так, просунуті користувачі скажуть, що нічого особливо страшного в цьому немає, а будь-який вінлок "знімається" за 5-10 хвилин... Дійсно, для фахівців це так. Але для звичайного користувача, який випадково зіткнувся з цією заразою, процес зняття банера є чимось фантастичним, нереально складним і незрозумілим.
 
І його можна зрозуміти. Адже для того, щоб користуватися комп'ютером, не обов'язково знати всі тонкощі його архітектури, мати інженерну освіту і розбиратися в інформаційній безпеці. Навіщо?! Користувачеві не треба. Адже якщо провести паралель з автомобілістами, який відсоток автолюбителів розбирається в автомобілях, і в разі будь-якої поломки може особисто її усунути?! Мізерний! Так само і з комп'ютерами.
 
Саме на цьому і зробили акцент зловмисники. Адже в разі вірусного зараження жертва може скористатися антивірусним рішенням, самостійно вилікувавши систему. А ось у випадку з вінлоком злочинці зробили користувача безпорадним. Система не працюватиме до тих пір, поки зловмиснику не буде відправлена n-на грошова сума. Сама жертва, як правило, нічого зробити не може. Та й багато моїх знайомих, які безпосередньо мали справу з цією загрозою, воліли заплатити шахраям, ніж ламати голову і думати, що можна зробити. Так, це є більш швидким рішенням, але абсолютно невірним!
 
Давайте згадаємо, з чого все починалося. Перші вінлоки, до речі, взагалі мали функцію самознищення. Досить було залишити комп'ютер включеним, і через деякий час вінлок зникав. Варто відзначити, що вони блокували не весь робочий стіл, а лише його частину. Працювати при цьому було неможливо. Деякі вбивались навіть з диспетчера задач. Це можна вважати свого роду експериментами з боку злочинців. Вони придивлялися до жертв: який відсоток заплатить до закінчення "строку дії", який ні тощо. Минув час, коли досить було поміняти дату в біосі на пару років вперед, і банер знімався. Все це було. Але поступово вінлоки почали вдосконалюватися, обростати все новим функціоналом, захистом від видалення, аналізу тощо.
 
І ось ми дивимося на них зараз, коли минуло вже кілька років з моменту експериментів і напрацювань, а загроза так і не зжила себе. А все тому, що це дуже прибутковий бізнес, який приносив, приносить і буде приносити своїм власникам великий і стабільний прибуток.
 
Але незважаючи на таку еволюцію розвитку, методи розповсюдження залишилися практично незмінними. Як правило, вінлоки поширюють через порно-сайти, нелегальний софт, зламані ресурси і т. д. Давайте зупинимося на цьому детальніше.
 
Наприклад, користувач шукає що-небудь в мережі (пісню, фільм, доповідь). Переходить на один із сайтів з надією скачати шукане, аж раптом на робочому столі з'являється банер (деколи може містити зображення порнографічного характеру), що вимагає у користувача грошові кошти за "розблокування системи". Легенд може бути безліч, а от методи усунення схожі: відправити sms на короткий номер, поповнити електронний гаманець через термінал, перевести грошові кошти на особовий рахунок зловмисників тощо.
 

Про процес зараження Trojan Winlock.

 
Але не варто забувати, що багато чого залежить і від браузера, яким ви користуєтеся. Може спрацювати захист безпеки в браузері, запитавши у користувача дозвіл на запуск плагіну java-модуля. Правда, недосвідчений користувач може за незнанням дозволити, але це вже цілком і повністю його вина. Браузер попереджав.
 
Тепер давайте перейдемо до того, що ж насправді відбувається. Сайт, як я вже сказав, може бути або від початку шахрайським, або зламаним. Як тільки користувач переходить на такий сайт, його система піддається атаці. Вірніше сказати - браузер. Справа в тому, що на сторінці міститься iframe, що дозволяє довантажувати експлоїти. Вони-то і перевіряють захист на міцність. Якщо сказати простіше - ці сплоіти шукають "дірку" в браузері або модулях, що підключаються до нього. І в разі, якщо така діра знаходиться, в систему завантажується вже Trojan Winlock.
 
Від того, як регулярно ви слідкуєте за оновленнями операційної системи і стороннього програмного забезпечення, і залежить, чи знайдеться така діра, чи ні.
 

Про процес зараження Trojan Winlock.

Як ви бачите, браузер Google Chrome запитує у користувача, як йому вчинити: запустити на виконання java-модуль, або ж зупинити виконання сценарію. Ще раз повторюся, що не всі браузери запитують користувача. А тепер давайте поглянемо на цю сторінку через засіб розробника у браузері.

Про процес зараження Trojan Winlock.

Про процес зараження Trojan Winlock.

 
Браузер Google Chrome, як ви бачите, навіть виявив підміну коду, так що присутність шкідливої програми на сторінці - у наявності! Але у випадку, якщо експлоїти все ж знайшли дірку (за типом BlackHole) у систему підвантажується вінлок, який успішно відпрацьовує в системі (якщо всі рубежі захисту зламані, а антивірус проспав), і на робочому столі з'являється "прекрасний банер", побачивши який, користувач приходить в жах. У ще більшому шоці він виявляється, розуміючи, що не допомагає навіть перезавантаження комп'ютера. І ось тут-то починається той самий головний біль, про який я говорив на початку статті: користувач в паніці обдзвонює друзів і знайомих, дізнаючись, що робити. А ті, у кого немає часу розбиратися в тому, "що ж сталося і хто винен", читають інформацію на банері і просто платять здирникам, збагачуючи їх. Тим самим вони ще й стимулюють шахраїв на нові "подвиги".
 
Я не закликаю всіх в терміновому порядку вчити матчастину і опановувати інформаційну безпеку. Досить просто зберігати самовладання і тверезо оцінювати ситуацію, розуміючи, що ви робите. А по суті, ви платите злочинцям! Було б не зайвим також мати у своєму багажі знань і пару способів самостійного зняття вінлоків. У мережі досить багато інформації з цього приводу, але враховуючи, що Trojan Winlock досить швидко вдосконалюється, більшість описуваних способів вже не працює. А ті, що працюють, занадто складні для простого користувача.
 

До даної статті це вже не відноситься, але я обов'язково напишу про те, як самостійно, без особливих зусиль, навичок і великих знань, побороти таку страшну річ як Trojan Winlock. Слідкуйте за новинами порталу, залишайте свої коментарі. Будьте грамотними!