Trojan.Winlock
| Trojan.Winlock | |
| [[Файл:|thumb|250px|]] | |
| Полное название (Касперский) | Trojan-Ransom |
|---|---|
| Тип | троянская программа |
| Год появления | 2007 |
| Используемое ПО | EXE, загрузочный |
| Описание Symantec | |
| Описание Securelist | |
Trojan.Winlock, или Винлокер, — семейство вредоносных программ, блокирующих или затрудняющих работу с операционной системой и требующих перечисление денег злоумышленникам за восстановление работоспособности компьютера, частный случай Ransomware (программ-вымогателей). Впервые появились в конце 2007 года. Широкое распространение трояны и вирусы-вымогатели получили зимой 2009—2010 годов, по некоторым данным оказались заражены миллионы компьютеров, преимущественно среди пользователей русскоязычного Интернета. Второй всплеск активности такого вредоносного ПО пришёлся на май 2010 года. В 2013 году, Winlocker получил новую вспышку популярности. Преимущественно в России у многих пользователей Интернета появлялся этот «баннер». Пользователям Windows XP было очень легко получить данный троян. В нынешние время «Trojan.Winlocker» почти прекратил активность.
Классификация различных вендоров[править]
- Trojan.Winlock — по классификации компаний Доктор Веб и Avast.
- Trojan-Ransom — по классификации компании Лаборатория Касперского.
- Trojan.LockScreen — по классификации компании ESET.
Предыстория[править]
Первая программа-вымогатель появилась в декабре 1989 года. Пользователи получили по почте дискетки с программой, предоставляющей информацию о СПИДе. После установки система приводилась в неработоспособное состояние, и за её восстановление с пользователей требовали денег. Первый SMS-блокер был зарегистрирован 25 октября 2007 года. Вымогатель инсценировал сбой системы (синий экран смерти), практически полностью блокировал управление системой.
Описание[править]
На момент 2007—2008 года[нет источника] сотрудниками различных антивирусных компаний зафиксировано несколько тысяч различных видов подобных троянов. Наиболее ранние типы требовали за разблокировку не более 10 рублей, а если пользователь оставлял включённым компьютер на некоторое время, то они самоуничтожались (к примеру, Trojan.Winlock 19 сам удалялся без следа через 2 часа)[1]. Однако позднее появились более опасные разновидности, которые не удалялись сами по себе и требовали за разблокировку уже от 300 до 1000 рублей. Для перевода денег обычно использовались короткие премиум-номера, в настоящее же время подобные программы могут требовать перечисления денег на электронные кошельки (например, «Яндекс.Деньги») либо баланс мобильного номера.
Винлокеры ориентированы преимущественно на российских пользователей, хотя позже появились и зарубежные версии[2]. В них использованы методы социальной инженерии. Обычно необходимость выплаты денежной суммы объясняется использованием нелицензионного программного обеспечения или просмотром порнофильмов. Следует отметить, что в большинстве случаев заражение происходит именно с порносайтов. Достаточно часто причины блокировки компьютера или способы получения кода звучат абсурдно, например:
|
Нередки орфографические ошибки. Пути распространения Trojan.Winlock и подобных вирусов разнообразны, в значительной части случаев инфицирование происходит через уязвимости браузеров при просмотре заражённых сайтов либо при использовании мошенниками специальных «связок», позволяющих заражать только необходимые компьютеры также через браузер. Помимо этого, заражение может произойти во время запуска программ, маскирующихся под инсталлятор какой-нибудь добросовестной программы или самораспаковывающиеся архивы.
Вид «интерфейса» троянов очень красочен и разнообразен. Но в большинстве своём их объединяет либо схожесть со стандартными меню Windows, либо наличие порнографического материала (фото, гораздо реже анимации и видео, используя возможности Adobe Flash), а также окно для ввода кода разблокировки. Есть разновидности, очень похожие на синий экран смерти или стандартное окно приветствия Windows. Также нередки случаи, когда они маскируются под антивирусную программу (например, Антивирус Касперского).
Место внедрения[править]
Trojan.Winlock можно условно разделить на 4 типа, в зависимости от того, насколько они затрудняют работу для пользователя:
- I тип — это баннеры или порноинформеры, появляющиеся только в окне браузера. Наиболее легко удаляемый тип. Обычно они выдают себя за дополнительные плагины или надстройки для браузера.
- II тип — это баннеры, которые остаются на рабочем столе после закрытия браузера и при этом закрывают бо́льшую его часть. Но у пользователей обычно остаётся возможность открывать другие программы, в том числе Диспетчер задач и Редактор реестра.
- III тип — это тип баннеров, который загружается после полной загрузки рабочего стола Windows. Они закрывают практически весь рабочий стол, блокируют запуск Диспетчера задач, Редактора реестра, а также загрузку в безопасном режиме. Некоторые разновидности полностью блокируют клавиатуру, предоставляя пользователю лишь цифровые клавиши из своего «интерфейса» и рабочую мышь для ввода кода.
- IV тип — это тип баннеров, которые прописываются в загрузочный сектор диска (MBR) и блокируют компьютер еще до загрузки Windows. Это так называемый MBR.Lock. Выглядят они достаточно примитивно, так как выполняются в текстовом режиме при старте компьютера — обычно это красный текст на чёрном фоне.
См. также[править]
- Ransomware
- Троянская программа
- Мобильное мошенничество
- Короткий номер
- Компьютерный вирус
- Вымогательство
Источники[править]
- ↑ Троян Winlock.19 заставляет отправлять СМС (рус.). MR7.ru (13.04.2009). Проверено 7 июля 2016.
- ↑ Описание зарубежного Винлокера (рус.). Мой Антивирус.рф (03.02.2012). Проверено 7 июля 2016.
Ссылки[править]
- Новая волна Trojan.Winlock пришлась на середину мая 2010
- Архив статей о кибервымогательстве
- Описание на сайте Лаборатории Касперского
 ↑ [+] | |
|---|---|
| Инфекционное вредоносное ПО |
Компьютерный вирус (список) · Сетевой червь (список) · Троянская программа · Загрузочный вирус · Пакетный вирус · Хронология |
| Методы сокрытия |
Бэкдор · Дроппер · Закладка · Компьютер-зомби · Полиморфизм · Руткит |
| Вредоносные программы для прибыли |
Adware · Privacy-invasive software · Ransomware (Trojan.Winlock) · Spyware · Бот · Ботнет · Веб-угрозы · Кейлогер · Формграббер · Scareware (Лжеантивирус) · Порнодиалер |
| По операционным системам |
Вредоносное ПО для Linux · Вирусы для Palm OS · Макровирус · Мобильный вирус |
| Защита |
Defensive computing · Антивирусная программа · Межсетевой экран · Система обнаружения вторжений · Предотвращение утечек информации · Хронология антивирусов |
| Контрмеры |
Anti-Spyware Coalition · Computer surveillance · Honeypot · Operation: Bot Roast |