Блокеры: где, кто, когда?

Знакомое окошко?

Троянцы-блокеры, которые по классификации ЛК относятся к классу Trojan-Ransom, можно разделить на две категории: интернет-блокеры и исполняемые файлы с функнционалом блокеров.

Интернет-блокеры открывают окно в браузере с сообщением о том, что компьютер заблокирован. К счастью, справиться с ними довольно легко — как правило, для этого достаточно просто закрыть окно браузера. Распространяются такие программы преимущественно на порно-сайтах.

Блокеры, которые представляют собой исполняемые файлы, побороть труднее. «Лаборатория Касперского» создала специальный сервис — «Деблокер» — позволяющий генерировать коды, подходящие к блокерам, на основе введённого короткого номера и текста короткого сообщения. По статистике KSN, на долю таких программ приходится 82% всех блокеров, и речь далее пойдет именно о них.

Где можно подцепить эту заразу? В подавляющем большинстве случаев на порносайтах или сайтах, предлагающих пиратское ПО, а попросту говоря, халяву. Например, в течение недели с 18 по 24 апреля, по данным KSN, 25,8% блокеров попали на компьютер пользователя с порносайтов и 26% — с сайтов с пиратским ПО. Оставшиеся 48% сайтов, распространявших блокеры, на момент исследования были уже закрыты злоумышленниками, однако название закрытых ресурсов дают достаточно веские основания, чтобы и их отнести к этим двум категориям.

Попадают пользователи на такие веб-ресурсы, в основном, кликнув на баннер на каком-нибудь сомнительном сайте. Далее все происходит стандартным для сайтов с халявой и порноресурсов образом: посетители сами скачивают и запускают программу. Разница лишь в том, что в результате вместо порноролика пользователь видит сообщение о блокировании системы. Никаких drive-by атак, где загрузка и запуск происходят автоматически! В подавляющем большинстве случаев загрузка и запуск блокера — личная заслуга пострадавшего.

Это подтверждает и статистика KSN по приложениям, обратившимся к блокерам.

По тому, какой процесс обращался к блокеру, зачастую можно понять, был ли блокер загружен и запущен с помощью эксплойта. Например, процессы JAVA.exe и JAVAW.exe представляют собой виртуальную машину Java. С большой вероятностью можно сказать, что загрузка и запуск блокера произошли в результате эксплуатации уязвимости Java-эксплойтом. Аналогичная ситуация с PDF-файлами, которые открываются Adobe Reader, выполненного в виде процесса ACRORD32.exe. На виртуальную машину Java, как и на Adode Reader, в сумме приходится меньше процента. Так что что drive-by атаки для распространения блокеров применяются нечасто.

Кто чаще всего становится жертвой вымогателей? На портале DeBlocker есть кнопка «нравится». Мы получили статистические данные о пользователях FaceBook, нажавших на эту кнопку. Конечно, не только пользователи этой социальной сети являются жертвами вымогателей. И мы не можем утверждать, что компьютеры всех пользователей, нажавших на кнопку, были в действительности заражены. Однако, используя эти данные, мы можем хотя бы в некотором приближении оценить возраст и пол пострадавших.

Пол и возраст пользователей, нажавших на кнопку «нравится»

3/4 пользователей, нажавших на кнопку «нравится», — представители сильной половины человечества. Возраст большинства (обоих полов) составляет от 18 до 34 лет.

Когда чаще всего заражаются компьютеры? Чтобы ответить на этот вопрос, посмотрим на динамику числа уникальных пользователей, у которых на компьютере был обнаружен блокер за неделю с 18 по 24 апреля.

Динамика количества уникальных пользователей, на компьютерах которых был
обнаружен представитель класса Trojan-Ransom

Сравним этот график с динамикой числа запросов к сервису «DeBlocker» в течение той же недели:

Количество запросов к сервису «DeBlocker» в течение недели

Отметим, что две эти диаграммы построены на разных выборках. На первой диаграмме отражено количество пользователей, на компьютерах которых троянец был заблокирован нашим антивирусом. На второй — число пользователей, машины которых заражены. Тем не менее, могу предположить, что время, в которое пользователь обычно посещает те или иные сайты, не зависит от того, какой антивирус установлен на его компьютере (и установлен ли вообще). Так что я счел возможным сравнить полученные данные.

Из этих графиков вырисовывается интересная картина — наибольшее количество обнаружений блокеров пришлось на начало недели, а обращений к сервису разблокировки — в конце. Что из этого следует?

1. Часть пострадавших откладывает «лечение» зараженной блокером машины до конца недели.
2. Вероятно, заражаются чаще всего домашние компьютеры — рабочие машины вряд ли бы оставили заблокированными до выходных.
3. Отложенное «лечение» может означать, что большинство жертв считает избавление от блокера нетривиальной задачей.

Подведем итоги. Как это ни прискорбно, как правило, пользователи сами скачивают и запускают блокеры на своих компьютерах. Ни о каких супертехнологиях вирусописателей и хакеров в данном случае речь не идет. Чаще всего жертвами вымогателей становятся мужчины от 18 до 35 лет, в большинстве своем — любители пиратского ПО и порно. Максимальное число заражений компьютеров приходится на начало недели, а «лечат» пользователи свои заблокированные машины по выходным.