Программы блокеры Троянцы ( часть2)
Распространяются сами программы-блокеры, как правило, на тех сайтах, которые предлагают само бесплатное ПО, на файло-обменниках или взломанных легитимных самих веб-ресурсах. Зачастую сами пользователи очень часто загружают и запускают саму вредоносную программу, где полагая, что они устанавливают самое легитимное ПО.
В самой середине третьего квартала 2011 был обнаружен самый новый способ распространения таких блокеров — через сами серверы игры Counter Strike 1.6. Сама специфика этой сетевой игры Counter Strike
предполагает, что даже при самом подключении пользователя к серверу на сам его компьютер могут быть здесь загружены самые любые файлы, которые необходимые для самой игры — и как само правило, это сами карты (поля битв), аудио-эффекты и т.д. Вместе с самыми нужными игроку файлами на сам компьютер пользователя может здесь попасть и самое вредоносное ПО. Этот вид способа заражения активно используется такой вредоносной программой Trojan-Ransom.Win32.CiDox.
предполагает, что даже при самом подключении пользователя к серверу на сам его компьютер могут быть здесь загружены самые любые файлы, которые необходимые для самой игры — и как само правило, это сами карты (поля битв), аудио-эффекты и т.д. Вместе с самыми нужными игроку файлами на сам компьютер пользователя может здесь попасть и самое вредоносное ПО. Этот вид способа заражения активно используется такой вредоносной программой Trojan-Ransom.Win32.CiDox.
Особенно здесь популярны сами троянцы-вымогатели на самой территории России и стран СНГ. По самой статистике KSN (распределенной в антивирусной сети Kaspersky Security Network), во втором полугодии 2011 года самими продуктами «Лаборатории Касперского» здесь было предотвращено более 5 миллионов попыток таких заражений компьютеров наших пользователей этими троянцами-вымогателями.
География этих заражений пользователей вредоносными программами
класса Trojan-Ransom. Статистика KSN*
* Карта эта подготовлена без самого учета эвристических и проактивных детектирований
Второе полугодие 2011.-12 г.г.: какие и сколько
Представленная здесь ниже сама статистика получена при помощи сервиса Kaspersky Deblocker.
Сервис Kaspersky Deblocker позволяет тем пользователям, чей компьютер все таки оказался заблокирован, здесь получить сам код разблокировки и дальнейшую инструкцию по лечению самой системы. Всего во втором полугодии 2011-12 г.г. на сервисе Deblocker было зарегистрировано более 435 839 обращений.
Сервис Kaspersky Deblocker позволяет тем пользователям, чей компьютер все таки оказался заблокирован, здесь получить сам код разблокировки и дальнейшую инструкцию по лечению самой системы. Всего во втором полугодии 2011-12 г.г. на сервисе Deblocker было зарегистрировано более 435 839 обращений.
Семейства вредоносных программ, где блокировавших компьютеры
самих пользователей - это сама статистика сервиса Kaspersky Deblocker
Как видно на самой диаграмме, чаще всего сами компьютеры пользователей заражали троянцы семейств DoubleEagle, PornoAsset и Gimemo. Рассмотрим далее эти семейства немного более подробно.
Trojan-Ransom.Win32.DoubleEagle
С начала весны 2011 года, в течение всего нескольких месяцев на рынке самих программ-вымогателей уже доминировали здесь три семейства Trojan-Ransom.Win32: PornoAsset, Gimemo и Timer. Остальные сами семейства Trojan-Ransom очень значительно уступали указанным выше по самому числу заражений и, соответственно по самому , количеству обращений пользователей на сам сервис Deblocker. Однако в августе месяце сама ситуация очень изменилась — появилось самое новое семейство Trojan-Ransom.Win32.DoubleEagle, которое за один месяц поднялось на самое первое место, где уверенно подвинув самого предыдущего лидера. Это семейство и до сих пор продолжает здесь лидировать, хотя в четвертом квартале на самом сервисе Deblocker стало уменьшаться и само количество запросов пользователей, где чьи компьютеры были всё таки заражены такими вредоносными программами. Само описание такого типичного представителя самого этого семейства можно найти здесь .
Самая первая модификация такого данного зловреда – Trojan-Ransom.Win32.DoubleEagle.a — была обнаружена 9.08.2011. При самом заражении компьютера на мониторе самого пользователя появляется такое окно:
Самая первая модификация такого данного зловреда – Trojan-Ransom.Win32.DoubleEagle.a — была обнаружена 9.08.2011. При самом заражении компьютера на мониторе самого пользователя появляется такое окно:
Сами мошенники требуют, чтобы здесь пользователь положил всего 500 рублей на счет мобильного номера телефона в качестве самого штрафа — якобы за сам просмотр «видеоматериалов, которые содержат сами сцены насилия над несовершеннолетними детьми». Сам код разблокировки якобы будет на самом чеке. Однако в DoubleEagle сама возможность самой разблокировки данного компьютера не заложена здесь технически.
Из-за таких двух гербов, которые были использованы самими мошенниками при самом оформлении окна, семейству и было здесь дано название DoubleEagle – то есть «двойной орел». Впоследствии сам внешний вид самого окна, открываемого этой вредоносной программой сильно , изменился, но название само осталось. Сейчас окно Trojan-Ransom.Win32.DoubleEagle выглядит здесь так:
Из-за таких двух гербов, которые были использованы самими мошенниками при самом оформлении окна, семейству и было здесь дано название DoubleEagle – то есть «двойной орел». Впоследствии сам внешний вид самого окна, открываемого этой вредоносной программой сильно , изменился, но название само осталось. Сейчас окно Trojan-Ransom.Win32.DoubleEagle выглядит здесь так:
Во второй самой половине третьего квартала активность самого этого семейства бурно нарастала, иногда вызывая здесь кратковременные сами эпидемии, в четвертом квартале такое количество самих запросов пошло на спад. Это можно было проследить по самой динамике количества самих запросов пользователей к сервису Deblocker.
Количество ежедневных запросов самих пользователей, где сами компьютеры которых заражены Trojan-Ransom.Win32.DoubleEagle статистика сервиса Kaspersky Deblocker
Trojan-Ransom.Win32.PornoAsset
Самые первые представители данного этого семейства программ-вымогателей были обнаружены в самом начале апреля 2011 года. Подробное само описание типичного образца этой вредоносной программы можно будет найти здесь.
Само окно, открываемое этими программами данного семейства, выглядит так:
Само окно, открываемое этими программами данного семейства, выглядит так:
Как и в самом случае DoubleEagle, поводом для самого блокирования компьютера здесь служит якобы сам «просмотр видеоматериалов, связанных с педофилией и насилием над детьми». Для самой разблокировки данного компьютера также будет необходимо заплатить сам штраф 500 рублей, где положив сами деньги на счет мобильного телефона. Авторы PornoAsset к тому же ещё и запугивают самих пользователей самой потерей всех данных в самом случае перезагрузки компьютера или передачей дела в сам суд в случае не оплаты этого «штрафа» в течение 12 часов. Все сами угрозы этих мошенников, как и само обещание разблокировать данный компьютер после самой уплаты «штрафа», – это есть обман.
Вплоть до самого появления DoubleEagle семейство PornoAsset занимало самую первую позицию в самом рейтинге по количеству заражений самих пользователей. На ниже самом графике, отражающем количество само обращений пользователей зараженных компьютеров, хорошо видно, что сама активность PornoAsset уже постепенно снижается.
Вплоть до самого появления DoubleEagle семейство PornoAsset занимало самую первую позицию в самом рейтинге по количеству заражений самих пользователей. На ниже самом графике, отражающем количество само обращений пользователей зараженных компьютеров, хорошо видно, что сама активность PornoAsset уже постепенно снижается.
Количество ежедневных запросов пользователей, где компьютеры которых были заражены Trojan-Ransom.Win32.PornoAsset это сама статистика сервиса Kaspersky Deblocker
Интересный сам факт: Trojan-Ransom.Win32.PornoAsset является здесь рекордсменом по большому количеству используемых злоумышленниками десятизначных номеров. В сумме из всех таких обнаруженных образцов этой вредоносной программы уже было извлечено 3406 номеров телефонов!
Trojan-Ransom.Win32.Gimemo
Семейство самих троянцев-вымогателей Gimemo впервые здесь появилось весной прошлого года. Описание такого типичного представителя данного семейства можно будет найти здесь.
В течение второго полугодия 2011-12 г.г., число самих заражений компьютеров пользователей программами блокерами семейства Gimemo очень медленно, но уверенно и стабильно росло, что можно видеть на самом графике ниже.
В течение второго полугодия 2011-12 г.г., число самих заражений компьютеров пользователей программами блокерами семейства Gimemo очень медленно, но уверенно и стабильно росло, что можно видеть на самом графике ниже.
Количество ежедневных запросов пользователей, компьютеры которых были заражены Trojan-Ransom.Win32.Gimemo статистика сервиса Kaspersky Deblocker
С течением времени и меняется само визуальное оформление самих окон программы, всякие способы получения денег самими мошенниками, способы получения самого кода разблокировки и даже сама страна, на которую был нацелен сам троянец. В итоге самые разные модификации самих программ одного и того же семейства смогут открывать окна, которые и выглядят здесь по-разному. Например, так:
Или так:
И даже вот так:
Но у всех самих образцов таких вредоносных программ данного этого семейства есть одна самая отличительная черта – сам код разблокировки вводится при самой помощи кнопок, присутствующих в самом интерфейсе блокера.
Как само правило, образцы данной этой троянской программы содержат здесь два кода разблокировки: индивидуальный для самой каждой программы и так называемый сам «пароль администратора» 99885522, единый для всех таких вредоносных программ данного семейства. Саму блокировку компьютера можно попробовать снять, где используя любой из этих кодов. Однако в августе месяце 2011 года мы зафиксировали здесь само появление новых образцов Gimemo, где в которых сами коды разблокировки уже отсутствовали, т.е. возможность сама разблокировки самой системы в данных этих версиях Gimemo была не предусмотрена.
Источник лаборатория Касперского
Как само правило, образцы данной этой троянской программы содержат здесь два кода разблокировки: индивидуальный для самой каждой программы и так называемый сам «пароль администратора» 99885522, единый для всех таких вредоносных программ данного семейства. Саму блокировку компьютера можно попробовать снять, где используя любой из этих кодов. Однако в августе месяце 2011 года мы зафиксировали здесь само появление новых образцов Gimemo, где в которых сами коды разблокировки уже отсутствовали, т.е. возможность сама разблокировки самой системы в данных этих версиях Gimemo была не предусмотрена.
Источник лаборатория Касперского
