Неисправности 

Блокеры-вымогатели "охотятся" за желающими пошпионить в сети. Удаление баннеров вымогателей-блокеров с рабочего стола

" предупреждают о появлении нового троянца-вымогателя Trojan-Ransom.Win32.Vkont.a. СМС-блокер использует нестандартную схему распространения, маскируясь под бесплатную программу, которую скачивают желающие пошпионить в Интернете за друзьями и знакомыми. Попавшиеся на эту приманку расплачиваются за свое любопытство деньгами, не получая взамен ожидаемого результата.

Распространяется зловред через мошеннический сайт, на котором предлагается скачать ПО для взлома учетных записей в социальной сети "ВКонтакте". Очевидно, что посетителями этой страницы движут отнюдь не благородные мотивы. Однако после клика на кнопку загрузки под видом "программы-взломщика" начинается скачивание троянца-вымогателя, при чем о подмене ничего не сообщается.

Фрагмент сайта, с которого загружается программа-блокер

Попав на компьютер, зловред выводит на Рабочий стол окно с предложением отправить СМС-сообщение на короткий номер, чтобы получить программу для доступа к личным данным пользователей сети "ВКонтакте". Одновременно троянец блокирует работу системы до тех пор, пока вымогатели не получат выкуп в виде СМС-ки.


СМС-блокер открывает окно с предложением приобрести программу, с помощью которой можно отслеживать действия пользователей социальной сети "ВКонтакте"

Однако, отправив СМС-сообщение, пользователь оказывается дважды "наказан" злоумышленниками. Троянец скачает архив VK-Hack.zip, в котором находятся программа для подбора паролей к аккаунтам в популярных почтовых сервисах, а также ПО класса ShareWare, за полноценное использование которого необходимо заплатить дополнительно. Таким образом, жертва уловки мошенников не только оплачивает отправку дорогостоящей СМС-ки, но и получает совсем не бесплатные программы сомнительного функционала.

Об СМС-блокерах

Алгоритм работы троянцев-вымогателей прост и заключается в блокировании работы компьютера с целью получения денег злоумышленниками. Для этого пользователю предлагается отправить СМС-сообщение на короткий номер в обмен на пароль для восстановления данных или нормальной работоспособности компьютера. Для России проблема "блокеров" является наиболее актуальной. По данным "Лаборатории Касперского", ежедневно с такими вредоносными программами сталкиваются несколько тысяч российских пользователей. Дополнительную информацию можно найти на сайте:

Если для ПК самыми распространенными и опасными вымогателями считаются шифровальщики (вредоносные программы шифруют данные пользователей и требуют выкуп в обмен на код, который поможет привести файлы в исходный вид), то 99% вымогателей, атакующих мобильные устройства - это блокеры.

Они блокируют доступ либо к браузеру, либо к операционной системе и требуют у жертвы деньги за возврат доступа к этим программам. Как это работает: блокеры подменяют своим интерфейсом окна всех приложений в телефоне, и жертва не может пользоваться устройством до тех пор, пока не заплатит выкуп.

Главные злодеи – Small и Fusob

1 из 2

Оба трояна показывают пользователям фальшивые сообщения, в которых власти якобы обвиняют жертв в правонарушениях. Оба пишут, что, если пользователь откажется платить, против него будет возбуждено уголовное дело.

Эти троянцы предлагают следующие способы оплаты : жертвы Fusob могут отправить выкуп с помощью подарочных карт iTunes, а жертвы Small - с помощью платежной системы Qiwi или же экспресс-ваучеров MoneyPak. Скорее всего, создатели обоих троянов - это русскоговорящие киберпреступники, выбравшие совершенно разную аудиторию.

И если Fusob больше ориентирован на пользователей в Германии, Великобритании и США, то Small в основном атакует Россию, Казахстан и Украину. Троянец показывает пользователям картинку, якобы созданную правоохранительными органами, с соответствующим оформлением. На ней указаны сумма выкупа - от 700 до 3 500 рублей - и инструкции по оплате.

Существуют еще два других варианта Small. Один из них - это шифровальщик, который делает все то же, что и оригинал, но вдобавок еще шифрует файлы на SD-карте. Другой - это универсальный троянец, умеющий воровать деньги и данные и, конечно же, блокировать инфицированное устройство.

В настоящее время пользователям мобильных устройств угрожают два крупных и самых распространённых семейства троянов-вымогателей - Small и Fusob; вместе в 2015–2016 годах эти зловреды завладели 93% криминального рынка.

Виктор Чебышев

антивирусный эксперт «Лаборатории Касперского»

Перспективы мобильных вымогателей

В прошлом году «Лаборатория Касперского» зафиксировали в два раза больше программ-вымогателей для мобильных устройств, чем годом ранее. А количество атакованных ими пользователей выросло в пять раз. А в феврале 2016 года зафиксировали пик – более 29 000 пользователей хотя бы один раз были атакованы троянцами-вымогателями.

Число пользователей, столкнувшихся с мобильными программами-вымогателями хотя бы один раз с апреля 2014 г. по март 2016 г.

Не так давно в некоторых семействах троянцев-вымогателей появилась неприятная особенность – использование прав суперпользователя. Сочетание вымогательства с укоренением на устройстве даёт возможность вытянуть произвольные суммы у жертвы. Причем, жертва сама их перечислит преступникам. Кроме того, такого троянца не удалить с помощью отката к заводским настройкам. Поэтому пользователь наверняка заплатит, потому что избавиться от такого зловреда невозможно.

  • Не забывайте регулярно устанавливать обновления для ОС и приложений.
  • Защитите свое устройство надежным антивирусом. Даже если вы соблюдаете все эти правила безопасности, вредоносные программы иногда попадаются и в Google Play, а порой их распространяют с помощью эксплойтов, использующих непропатченные уязвимости. Чтобы не стать жертвой мобильных вымогателей, мы рекомендуем вам установить защиту класса Internet Security.

    • Редакция благодарит экспертов «Лаборатории Касперского» за помощь в подготовке материала.

    Осенью 2007 года на просторах рунета появился новый вид вредоносного ПО – программы-вымогатели. Данный вид мошенничества ходил в сети и раньше, но только в России он получил огромную популярность. Плодотворной почвой стала простота получения денег от своих жертв. Если вначале использовались довольно экзотические формы оплаты (например, ВКонакте, Яндекс Деньги и т.п.), с которыми обычные пользователи были знакомы слабо, то впоследствии мошенники перешли на более простые и понятные способы: отправка SMS-ок на короткие номера и перевод денег на телефонные номера. Две самые популярные формы оплаты хорошо знакомы даже людям, редко имеющим дело с компьютером. Именно этот факт, а также простота и анонимность при регистрации коротких номеров сыграли определяющую роль в той массовости, которую приобрели программы-вымогатели.


    Техническая сторона вымогателей также не стояла на месте. Если изначально это были очень простые программы, написанные «на коленке», то через несколько лет блокеры представляли очень сложные технологически изделия, в которых присутствовали защита от анализа, защита от детектирования, технологии сетевых червей, шифрование и т.д. и т.п.

    Развитию подверглись и технологии, с помощью которых мошенники собирались требовать деньги от пользователей. Если изначально система блокировалась целиком, а пользователь получал информацию о техническом сбое, то впоследствии стали использоваться более продвинутые технологии социальной инженерии.
    Вот лишь некоторые из них:
    1) Частичная блокировка системы (например, окно, которое располагаются поверх других, в треть экрана) – работать за таким компьютером можно, но очень некомфортно;
    2) Демонстрация взрослого контента – рассчитано на детей за папиными компьютерами;
    3) Демонстрация контента, содержащего элементы перверсии – рассчитано на взрослых;
    и т.д.

    Платить мошенникам абсолютно бесполезно: отправка дорогостоящей SMS-ки (или даже нескольких) совершенно не гарантирует, что потерпевший получит обещанный код разблокировки. С пополнением счета через терминал оплаты ситуация не лучше – на чеке просто нет идентификационного номера, на который ссылаются вымогатели. Отправкой денег пользователь спонсирует новые разработки, от которых сам же страдает впоследствии (по нашим данным, в среднем пользователи заражаются больше 1 раза).

    В своей работе мы постоянно сталкиваемся с программами-вымогателями и решили составить собственный хит-парад, выделив, на нашему мнению, наиболее интересные из них по следующим номинациям:

    Самый труднодоступный
    Данный блокер уникален тем, что заражал MBR. Большую популярность он не приобрел. Можно сказать, что он был скорее концептом.
    В мае 2011 года появился второй MBR-блокер, приобретающий все большую и большую популярность.


    Самый популярный
    САМЫЙ МАССОВЫЙ, САМЫЙ ПРИБЫЛЬНЫЙ блокер всех времен и народов. В июне 2010 года новые блокеры данного семейства выходили буквально раз в час. Эпидемия прекратилась лишь после того, как правоохранительными органами были задержаны члены данной преступной группировки.


    Самый первый
    Первые блокеры на просторах рунета использовали экзотические формы оплаты, мало знакомые домохозяйкам и непритязательный дизайн (никакого обнаженного женского и мужского тела). Но именно с них все начиналось.


    Самый красивый


    Анимационный
    Блокер, использующий в качестве картинки анимированный gif c mamma (лат.), совершающей колебательные движения. В качестве оплаты блокер просил отправить SMS на один из коротких номеров, среди которых присутствовали как российские, так и украинские, казахстанские, литовские и германские.

    Первый нероссийский
    Данный блокер, вызвавший первую крупную эпидемию блокеров в рунете, пришел с Украины. Изначально в качестве оплаты принимались SMS-ки на украинский номер.
    Характерной особенностью блокеров из данного семейства была демонстрация лицензионного соглашения (!!!) при первом запуске блокера, в котором сообщалось о том, что компьютер пользователя будет заблокирован. Но кто читает эти соглашения?
    В последующих версиях блокера лицензионное соглашение хотя и демонстрировалось, но довольно быстро закрывалось, и блокер начинал установку вне зависимости от действий пользователя, соглашался он с условиями или нет.


    Самый безобидный
    Данный «блокер» блокером как таковым не является. Мошенники специально создают сайты, выдающие себя за сайты для взрослых, и размещают в них JavaScript код, выводящий в браузере приведенную ниже картинку. После того как сайт создан, он распространяется через банерную систему. Для борьбы с данным видом мошенничества достаточно просто закрыть браузер и не заходить в будущем на данный сайт, но многие пользователи пугаются, считают, что произошло заражение их машины, и спешат заплатить деньги вымогателям.


    Самый креативный
    Первые годы развития блокеров авторы подходили к их созданию с душой. Попадались очень веселые, забавные и трогательные блокеры. И лишь спустя несколько лет блокеры стали клепать как пирожки – побыстрее и побыстрее, чтобы успевать сбивать детекты антивирусных продуктов.

    Самый жадный
    Поскольку на стоимость SMS существовало верхнее ограничение по цене (500-600р.), некоторые блокеры стали просить отправить по 2, а очень жадные – по 3 SMS-ки.


    Самый наглый
    Особенность данного блокера в громких именах, которыми он прикрывается.

    Самый честный
    Данный блокер интересен тем, что в отличие от своих коллег честно заявляет, что он блокер.


    Самый долгоиграющий
    Данный блокер уникален тем, что использует систему подписок для обогащения своих авторов. Вместо того чтобы требовать отправки SMS или перевода денег на счет, данный блокер требует отправить свой номер телефона. На телефон приходит SMS-ка с кодом деактивации.
    Все эти безобидные действия преследуют одну цель – зарегистрировать пользователя на так называемой подписке. Вводя в блокер код деактивации, пользователь тем самым соглашается с условиями подписки (которые ему, естественно, никто не показывал). После подписки с телефона пользователя начинают регулярно снимать деньги (например, каждые 3 дня по 150р.). Данный способ работает до тех пор, пока пользователь не откажется от подписки или в течение определенного времени (например, недели) на телефоне не будет средств.


    Самый брутальный
    Данный блокер характеризуется отображением гомосексуалистов.
    Второй его «замечательной» особенностью являются коды деактивации – это не бессмысленный набор символов, а коды из игры (например, IDDQD), персонажи игр (KERRIGAN IS SO SEXY), авторы любимых произведений (FRANK HERBERT) и т.п.


    Самый подробный («блондиночный»)
    Данный блокер можно назвать самым подробным в области инструкции по своей деактивации. Поскольку данная программа в качестве формы оплаты использует не SMS, а более экзотическую схему «В контакте», с которой знакомо относительно малое количествово пользователей, то она предоставила зараженным пользователям очень подробную пошаговую инструкцию как все-таки перевести деньги мошенникам.


    Самый «касперский»
    Данный блокер выдает себя за некий, реально не существующий продукт «Лаборатории Касперского», Kaspersky Lab Antivirus Online. В свое время он был очень популярным и вызвал буквально шквал писем в компанию с текстом «Разве вы мало получаете денег, зачем же вам еще и эта программа». В общем, данный блокер попортил много крови как сменным аналитикам так и PR-отделу.


    Итого:
    В тренде, как вы могли заметить, развитие приемов социальной инженерии, но и техническая мысль не стоит на месте. В любом случае, мы решили, что надежнее будет предотвращать блокирование, нежели лечить уже зараженный компьютер. И если до настоящего момента мы могли предложить вам только бесплатную утилиту

    Интерне т - это одна из сфер нашей жизни, площадка для общения. Загнать совсем его в прокрустово ложе и невозможно технически, и неправильно морально!

    Рейтинг: / 3

    ПлохоОтлично

    Если при работе с компьютером на экране появился баннер с требованием отправить смс на указанный в сообщении номер, это значит, что вы стали жертвой вымогателя-блокера . Целью действий программ-вымогателей является блокирование доступа пользователя к данным или ограничение возможностей работы на компьютере и требование выкупа за возврат к исходному состоянию системы. Отличие вредоносных программ заключается в их изначальной коммерческой направленности. Каждая программа этого поведения является инструментом для получения денег киберпреступниками. При этом отправка смс на указанный номер не означает, что вам пришлют код разблокировки и вы избавитесь от баннера .

    1. Как удалить баннер с требованием пополнить телефонный счет мошенников?

    Также мошенники в сообщении баннера могут потребовать за получение кода разблокировки пополнить телефонный счет абонента Билайн, Мегафон или МТС. Примеры телефонных номеров, указанные на баннерах:

    C Рабочего стола баннер, выполните следующие действия:

    Deblocker (деблокер) http://sms.kaspersky.ru/

    Некоторые троянские программы могут блокировать доступ в Интернет, к сайтам Лаборатории Касперского , к сервису Deblocker . В этом случае для доступа к сервису Deblocker рекомендуем вам воспользоваться вторым компьютером, на котором есть Интернет.

    http://sms.kaspersky.ru/m

    2. введите в поле "Номер телефона " номер телефона (например, 89653934816 )
    3. нажмите на кнопку

    5. в результате нажатия кнопки отобразится поле Изображение и поле Коды разблокировки

    7. скриншот в поле Изображение Коды разблокировки

    9. в некоторых случаях мошенники после ввода одного кода могут потребовать пополнить другой телефонный счет для удаления баннера. Поэтому в поле Коды разблокировки

    2. Как удалить баннер с требованием отправки денег через терминал экспресс-оплаты

    Некоторые пользователи сталкиваются с требованиями отправки денег через терминал экспресс-оплаты на счета:

    9636256259 (qiwi Kошелек)
    503741004412
    004287-623965 (004287623965)
    004287-274359 (004287274359)
    004245-166259 (004245166259)
    004245-166629 (004245166629)
    004305-222091 (004305222091)
    004287-924675 (004287924675)
    004245-166521 (004245166521)
    004305-214814 (004305214814)
    004245-167743 (004245167743)

    Чтобы удалить с Рабочего стола баннер (Porno Media Module ) с требованием перевода денег на счет мошенников через терминал экспресс-оплаты, выполните следующие действия:

    1. откройте в браузере страницу сервиса Deblocker (деблокер) http://sms.kaspersky.ru/
    2. введите в поле "Номер телефона " номер счета, указанного мошенниками в сообщении баннера (например, 004287-623965 )

    4. нажмите на кнопку

    Изображение и поле Коды разблокировки с самыми новыми кодами разблокировки

    10. вводите в поле баннера коды по очереди, пока баннер не будет удален с Рабочего стола.

    3. Как удалить баннер с требованием отправки платного SMS-сообщения на короткий номер?

    В настоящее время наиболее распространены следующие номера , на которые мошенники предлагают отправлять смс:

    4016
    5581
    5537
    3121
    7015
    6666

    Чтобы получить код разблокировки и убрать c Рабочего стола баннер, выполните следующие действия:

    1. откройте в браузере страницу сервиса Deblocker (деблокер) http://sms.kaspersky.ru/

    Некоторые троянские программы могут блокировать доступ в Интернет, к сайтам Лаборатории Касперского, к сервису Deblocker. В этом случае для доступа к сервису Deblocker рекомендуем вам воспользоваться вторым компьютером, на котором есть Интернет.

    Также есть возможность использовать мобильный телефон с выходом в Интернет для доступа к сервису Deblocker, достаточно воспользоваться ссылкой: http://support.kaspersky.ru/sms

    2. введите в поле "Номер телефона" номер телефона (например, 5121 )

    4. В поле "Текст смс" введите текст сообщения или код, который вымогатели требуют указать в смс или теме электронного сообщения.

    Если вы оставите поле "Текст смс" пустым, то в результате вы получите все возможные варианты кодов для удаления баннера (рекламного модуля

    6. нажмите на кнопку

    в результате нажатия кнопки отобразится поле Изображение и поле Коды разблокировки с самыми новыми кодами разблокировки. Для просмотра всех кодов разблокировки для этого номера телефона вымогателей нажмите ссылку Просмотреть все найденные коды.


    10. скриншот в поле Изображение поможет определить, какой именно блокер у вас на компьютере и какой код из поля Коды разблокировки необходимо ввести для удаления баннера. Для увеличения картинки щелкните левой кнопкой мыши по изображению. Для возврата изображения к прежнему размеру щелкните мышкой по изображению еще раз

    12. в некоторых случаях мошенники после ввода одного кода могут потребовать отправить новое смс для удаления баннера. Поэтому в поле Коды разблокировки могут быть представлены несколько кодов

    13. вводите в поле баннера коды по очереди, пока баннер не будет удален с Рабочего стола.

    4. Как удалить баннер с требованием пополнить счет учетной записи Вконтакте?

    Кроме коротких номеров, мошенники также используют учетные записи социальной сети Вконтакте , предлагая пополнить их счет. Вот наиболее распространенные учетные записи:

    id92860484
    id92959841
    id93120709
    id93120017
    id92960394
    id93120395
    id93120982
    id91868792
    id91866260

    Чтобы получить код разблокировки и убрать c Рабочего стола баннер , выполните следующие действия:

    http://sms.kaspersky.ru/

    Некоторые троянские программы могут блокировать доступ в Интернет, к сайтам Лаборатории Касперского, к сервису Deblocker. В этом случае для доступа к сервису Deblocker рекомендуем вам воспользоваться вторым компьютером, на котором есть Интернет.

    Также есть возможность использовать мобильный телефон с выходом в Интернет для доступа к сервису Deblocker, достаточно воспользоваться ссылкой: http://support.kaspersky.ru/sms

    2. введите в поле "Номер телефона" номер учетной записи Вконтакте, на которую предлагают перевести деньги (например, id92860484 )

    4. нажмите на кнопку

    6. в результате нажатия кнопки отобразится поле Изображение и поле Коды разблокировки с самыми новыми кодами разблокировки.

    8. скриншот в поле Изображение поможет определить, какой именно блокер у вас на компьютере и какой код из поля Коды разблокировки необходимо ввести для удаления баннера. Для увеличения картинки щелкните левой кнопкой мыши по изображению. Для возврата изображения к прежнему размеру щелкните мышкой по изображению еще раз

    10. вводите в поле баннера коды по очереди, пока баннер не будет удален с Рабочего стола.

    Как восстановить зашифрованные вирусом файлы?

    Для восстановления зашифрованных файлов вы можете использовать код разблокировки или утилиту расшифровки.

    Для получения кода разблокировки выполните следующие действия:

    1. откройте в браузере страницу сервиса Deblocker (деблокер) http://sms.kaspersky.ru/
    2. в поле "Текст смс " введите номер ID в формате ХХХ-ХХХ-ХХХ , который вымогатели требуют указать в теме письма

    4. нажмите на кнопку

    6. полученный код разблокировки введите в программу расшифровки файлов, указанную мошенниками.

    Еще одним способом расшифровки файлов является использование утилиты расшифровки. Чтобы получить утилиту расшифровки, выполните следующие действия:

    1. на странице сервиса Deblocker (деблокер) http://sms.kaspersky.ru/ в поле "Номер телефона " введите расширение созданного вымогателем файла. Это может быть одно из следующих расширений: .encrypted, .korrektor, .bloc, .gggg, .cool, .ехе, .mmm, .vhd, .vscrypt, .infected, .kis, .popadalovo, .mis, .web , или какое-то другое.

    3. нажмите на кнопку

    5. в результате поиска вы найдете название вымогателя-криптора (например, Trojan-Ransom.Win32.Rector) и ссылку на утилиту для расшифровки файлов.

    7. сохраните архив с утилитой на компьютер
    8. распакуйте утилиту с помощью программы-архиватора, например с помощью WinZip
    9. запустите утилиту. Если вы не уверены, как правильно пользоваться утилитой, вы можете найти более подробную 10. информацию о ней на странице утилит http://support.kaspersky.ru/viruses/utility .

    Если код или утилита, полученные через сервис деактивации вымогателей-блокеров , не помогли, для решения проблемы посетите ветку официального форума Лаборатории Касперского"Борьба с SMS вымогателями-блокерами".

    6. Что делать после удаления баннера?

    После удаления баннера блокера-вымогателя настоятельно рекомендуется проверить компьютер на вирусы, например с помощью утилиты Kaspersky Virus Removal Tool .

    Для предотвращения повторного проникновения на компьютер блокера-вымогателя рекомендуется установить постоянную защиту, например один из продуктов Лаборатории Касперского .

    Если вы не являетесь пользователем продуктов Лаборатории Касперского, вы можете установить пробную версию одного из продуктов со сроком действия 30 дней.



    Есть вопросы?

    Сообщить об опечатке

    Текст, который будет отправлен нашим редакторам:

    Отправить