Знакомое окошко?
Троянцы-блокеры, которые по классификации ЛК относятся к классу Trojan-Ransom, можно разделить на две категории: интернет-блокеры и исполняемые файлы с функнционалом блокеров.
Интернет-блокеры открывают окно в браузере с сообщением о том, что компьютер заблокирован. К счастью, справиться с ними довольно легко — как правило, для этого достаточно просто закрыть окно браузера. Распространяются такие программы преимущественно на порно-сайтах.
Блокеры, которые представляют собой исполняемые файлы, побороть труднее. «Лаборатория Касперского» создала специальный сервис — «Деблокер» — позволяющий генерировать коды, подходящие к блокерам, на основе введённого короткого номера и текста короткого сообщения. По статистике KSN, на долю таких программ приходится 82% всех блокеров, и речь далее пойдет именно о них.
Где можно подцепить эту заразу? В подавляющем большинстве случаев на порносайтах или сайтах, предлагающих пиратское ПО, а попросту говоря, халяву. Например, в течение недели с 18 по 24 апреля, по данным KSN, 25,8% блокеров попали на компьютер пользователя с порносайтов и 26% — с сайтов с пиратским ПО. Оставшиеся 48% сайтов, распространявших блокеры, на момент исследования были уже закрыты злоумышленниками, однако название закрытых ресурсов дают достаточно веские основания, чтобы и их отнести к этим двум категориям.
Попадают пользователи на такие веб-ресурсы, в основном, кликнув на баннер на каком-нибудь сомнительном сайте. Далее все происходит стандартным для сайтов с халявой и порноресурсов образом: посетители сами скачивают и запускают программу. Разница лишь в том, что в результате вместо порноролика пользователь видит сообщение о блокировании системы. Никаких drive-by атак, где загрузка и запуск происходят автоматически! В подавляющем большинстве случаев загрузка и запуск блокера — личная заслуга пострадавшего.
Это подтверждает и статистика KSN по приложениям, обратившимся к блокерам.
По тому, какой процесс обращался к блокеру, зачастую можно понять, был ли блокер загружен и запущен с помощью эксплойта. Например, процессы JAVA.exe и JAVAW.exe представляют собой виртуальную машину Java. С большой вероятностью можно сказать, что загрузка и запуск блокера произошли в результате эксплуатации уязвимости Java-эксплойтом. Аналогичная ситуация с PDF-файлами, которые открываются Adobe Reader, выполненного в виде процесса ACRORD32.exe. На виртуальную машину Java, как и на Adode Reader, в сумме приходится меньше процента. Так что что drive-by атаки для распространения блокеров применяются нечасто.
Кто чаще всего становится жертвой вымогателей? На портале DeBlocker есть кнопка «нравится». Мы получили статистические данные о пользователях FaceBook, нажавших на эту кнопку. Конечно, не только пользователи этой социальной сети являются жертвами вымогателей. И мы не можем утверждать, что компьютеры всех пользователей, нажавших на кнопку, были в действительности заражены. Однако, используя эти данные, мы можем хотя бы в некотором приближении оценить возраст и пол пострадавших.
Пол и возраст пользователей, нажавших на кнопку «нравится»
3/4 пользователей, нажавших на кнопку «нравится», — представители сильной половины человечества. Возраст большинства (обоих полов) составляет от 18 до 34 лет.
Когда чаще всего заражаются компьютеры? Чтобы ответить на этот вопрос, посмотрим на динамику числа уникальных пользователей, у которых на компьютере был обнаружен блокер за неделю с 18 по 24 апреля.
Динамика количества уникальных пользователей, на компьютерах которых был
обнаружен представитель класса Trojan-Ransom
Сравним этот график с динамикой числа запросов к сервису «DeBlocker» в течение той же недели:
Количество запросов к сервису «DeBlocker» в течение недели
Отметим, что две эти диаграммы построены на разных выборках. На первой диаграмме отражено количество пользователей, на компьютерах которых троянец был заблокирован нашим антивирусом. На второй — число пользователей, машины которых заражены. Тем не менее, могу предположить, что время, в которое пользователь обычно посещает те или иные сайты, не зависит от того, какой антивирус установлен на его компьютере (и установлен ли вообще). Так что я счел возможным сравнить полученные данные.
Из этих графиков вырисовывается интересная картина — наибольшее количество обнаружений блокеров пришлось на начало недели, а обращений к сервису разблокировки — в конце. Что из этого следует?
- Часть пострадавших откладывает «лечение» зараженной блокером машины до конца недели.
- Вероятно, заражаются чаще всего домашние компьютеры — рабочие машины вряд ли бы оставили заблокированными до выходных.
- Отложенное «лечение» может означать, что большинство жертв считает избавление от блокера нетривиальной задачей.
Подведем итоги. Как это ни прискорбно, как правило, пользователи сами скачивают и запускают блокеры на своих компьютерах. Ни о каких супертехнологиях вирусописателей и хакеров в данном случае речь не идет. Чаще всего жертвами вымогателей становятся мужчины от 18 до 35 лет, в большинстве своем — любители пиратского ПО и порно. Максимальное число заражений компьютеров приходится на начало недели, а «лечат» пользователи свои заблокированные машины по выходным.
Блокеры: где, кто, когда?