Протидія блокировщикам Windows

Поки блокувальники Windows продовжують тероризувати користувачів, компанія «Доктор Веб» велику увагу приділяє надання допомоги постраждалим. Спочатку форма розблокування, розроблена фахівцями компанії, була інтегрована в одну з новин на цю тему, і стала першим сервісом в Інтернеті, що допомагає жертвам блокувальників повернути доступ до своїх комп'ютерів.

Наступним кроком стало створення в січні 2010 року сайту Dr.Web Unlocker. В його рамках були реалізовані форми, що пропонують код розблокування для відомих комбінацій коротких номерів телефонів і текстів повідомлень. Згодом з'явилися алгоритми, по можливості генерувати коди розблокування і для відсутніх в базі сайту комбінацій. З 31 січня 2010 року цей ресурс використовувався більше 3 млн. Разів, було зафіксовано близько 1,5 млн. Унікальних відвідувачів. В даний час сервіс розблокування компанії «Доктор Веб» відвідують до 25 000 унікальних користувачів в вихідні і до 39 000 на робочі дні. Зараз це вже не просто видача коду з бази, чітко пов'язаного з парою «номер телефону - текст повідомлення». Це - виробничий процес, в розробці, щоденної модернізації і реалізації якого беруть участь фахівці різних відділів компанії. Його мета - підвищення якості допомоги постраждалим від блокувальників.

Незважаючи на те, що компанія «Доктор Веб» і раніше надавала безкоштовну допомогу постраждалим від «вінлоков», 23 червня був зроблений ще один крок для вирішення проблеми блокувальників. Фахівці технічної підтримки компанії почали надавати безкоштовну допомогу офіційно, для тих, кому не допоміг сайт Dr.Web Unlocker. Причому підтримку отримують всі користувачі, незалежно від «марки» використовуваного антивіруса. Тільки в першу добу роботи нового сервісу було зафіксовано 2000 звернень. Зараз з питань розблокування в техпідтримку компанії звертаються від 500 до 1500 користувачів щодня. У пікові години кількість звернень на цю тему становить до 95% від числа всіх запитів. На сьогоднішній день або на своїх комп'ютерах, або на ПК своїх родичів і знайомих з блокувальниками зустрічалися близько 90% російських інтернет-користувачів. Проблема стала загальною для інтернет-спільноти, і «Доктор Веб» в цій ситуації не може залишатися осторонь. Для боротьби з епідемією був обраний комплексний підхід, що включає допомогу постраждалим, взаємодія з правоохоронними органами, а також широке інформування про поточну ситуацію в боротьбі з блокувальниками, методи запобігання зараження системи та її лікування в разі блокування.

У червні сервером статистики «Доктор Веб» було зафіксовано більше 420 000 детектів блокувальників (в травні - понад 940 000). Більшість цих троянців Dr.Web визначає як Trojan.Winlock, Trojan.Adultban і Trojan.Packed.20343.

До кінця червня в 30% випадків зараження блокувальниками зловмисники вимагали не відправки SMS-повідомлень, а перерахування грошей на рахунок мобільного телефону через термінал оплати. Вивчивши безліч випадків заражень такими блокувальниками, фахівці компанії «Доктор Веб» прийшли до висновку, що в переважній кількості випадків коди розблокування неможливо отримати після оплати зазначеним способом, тобто користувачів обманюють двічі. Це зайвий раз підкреслює одну з головних тез: якою б безвихідною не здавалася ситуація, не варто відправляти зловмисникам гроші! З приводу даного типу блокувальників «Доктор Веб» також співпрацює з правоохоронними органами. Паралельно йде робота по оптимізації виведення кодів розблокування для таких блокувальників.

Соціальні мережі - ласий шматочок для зловмисників

Багато користувачів, звертаючись до компанії «Доктор Веб» з проблеми блокувальників, повідомляють про те, що не можуть зайти на сайти соціальних мереж і безкоштовних служб електронної пошти - при спробі заходу виводиться повідомлення про те, що обліковий запис заблоковано, наприклад, за розсилку спаму, і для відновлення доступу потрібно відправити SMS-повідомлення. Шкідливі програми, відповідальні за такі повідомлення, визначаються Dr.Web як Trojan.Hosts.

В кінці червня користувачі повідомляли про те, що стали з'являтися і такі модифікації Trojan.Hosts, які, як і багато нові блокувальники Windows, вимагають відправити гроші зловмисникам за допомогою терміналів.

Фахівці техпідтримки «Доктор Веб» допомагають і тим, хто звертається з приводу лікування даних вірусів, тому що Trojan.Hosts і Trojan.Winlock використовують однакові схеми монетизації злочинного доходу, представляючи собою ланки одного ланцюжка.

Користувачі інтернет-банкінгу під загрозою

З Європи в червні надходили повідомлення про значне поширення шкідливих програм, націлених на клієнтів банків, які використовують системи інтернет-банкінгу. Зокрема, постраждали користувачі австрійського банку Volksbank і німецького Postbank.

Для підвищення безпеки інтернет-операцій з рахунками дані банки використовують систему TAN-кодів, унікальних для кожної транзакції. Таким чином, в руки зловмисникам не може потрапити єдиний PIN-код, відповідний банківській картці. Але кіберзлочинці мають в своєму арсеналі спосіб обійти і цей захист. Так, користувачі, чиї комп'ютери заражені такими банківськими троянцями (за класифікацією Dr.Web це Trojan.PWS.Banker і Trojan.PWS.Bancos), при спробі скористатися системами інтернет-банкінгу отримували повідомлення про необхідність ввести TAN-коди, які і потрапляли в руки зловмисників.

При відвідуванні сайтів інтернет-банкінгу, на які орієнтований даний троянець, програма визначала, який з браузерів використовується, і активізувалася тільки в разі якщо це був Internet Explorer. Це зайвий раз свідчить про те, що користувачі альтернативних браузерів на сьогоднішній день можуть забезпечити собі більш високий рівень безпеки в Мережі.

Серед загальних тенденцій червня також можна відзначити зберігається активність бот-мережі Oficla - в червневій двадцятці найбільш часто зустрічаються в поштовому трафіку шкідливих програм різні модифікації Trojan.Oficla займають відразу 4 позиції. Також варто згадати помітну кількість скриптів, які визначаються Dr.Web як JS.Redirector.based.3. Ці скрипти визначалися в численних HTML-документа, прикладених до спам-повідомленнями. При відкритті такого вкладення користувач перенаправлявся або на ресурси, що поширюють шкідливі програми, або на сайти з рекламою, як правило - медичних препаратів.