Вредоносные программы, блокирующие работу с операционной системой Windows. Методология их разработки и защита от них | Статья в журнале «Молодой ученый»

Отправьте статью сегодня! Журнал выйдет 23 ноября, печатный экземпляр отправим 27 ноября.

Опубликовать статью в журнале

Автор:

Рубрика: Информационные технологии

Опубликовано в Молодой учёный №2 (136) январь 2017 г.

Дата публикации: 15.01.2017

Статья просмотрена: 767 раз

Библиографическое описание:

Рудниченко, А. К. Вредоносные программы, блокирующие работу с операционной системой Windows. Методология их разработки и защита от них / А. К. Рудниченко. — Текст : непосредственный // Молодой ученый. — 2017. — № 2 (136). — С. 65-67. — URL: https://moluch.ru/archive/136/38247/ (дата обращения: 15.11.2024).



В данной статье рассматривается история появления вредоносных программ, блокирующих работу с операционной системой Windows (винлокеры). Описан принцип работы, методика разработки винлокеров, а также способы защиты от них. Статья носит ознакомительный характер и не является призывом к действию. Автор статьи предупреждает, что повторение подобных действий является противоправным деянием.

Ключевые слова: вредоносная программа, вирус, Windows, Trojan, Winlock, Ransom, LockScreen, винлокер

Первая вредоносная программа, блокирующая работу с операционной системой с целью вымогательства денег, появилась в 1989 году и распространялась она через относительно устаревшие носители информации — дискеты. По замыслу злоумышленника программа должна была предоставлять информацию о СПИДе, но после установки система приводилась в неработоспособное состояние. За её восстановление требовались деньги. Первый SMS-блокиратор был зарегистрирован 25 октября 2007 года. Данная вредоносная программа инсценировала сбой системы (синий экран смерти — BSOD). По аналогии с предыдущей программой также требовались деньги для восстановления работоспособности системы.

Trojan.Winlock (далее — винлокер) — семейство вредоносных программ, блокирующих или затрудняющих работу с операционной системой и требующих перечисления денег (методом отправки SMS-сообщения или перевода денег на кошельки) злоумышленникам за восстановление работоспособности компьютера. Данная классификация была предложена компанией «Доктор Веб».

Классификация вредоносной программы от различных вендоров:

– Trojan.Winlock. Используется компаниями «Доктор Веб» и «Avast»;

– Trojan-Ransom. Используется компанией «Лаборатория Касперского»;

– Trojan.LockScreen. Используется компанией «ESET».

Вне зависимости от классификации и типов, винлокеры всегда выполняют одну и ту же функцию — блокирование операционной системы. Данное действие достигается блокированием всей рабочей области экрана и частичной блокировкой устройств ввода (клавиатура, мышь).

Разработка винлокеров и других вредоносных программ преследуется по закону. Статья 273 Уголовного кодекса Российской Федерации «Создание, использование и распространение вредоносных компьютерных программ» устанавливает наказание за подобное деяние. Возможен один из следующих вариантов наказаний:

– ограничение свободы на срок до 4 лет;

– принудительные работы на срок до 4 лет;

– лишение свободы на срок до 4 лет со штрафом до 200 тысяч рублей или в размере заработной платы за период до 18 месяцев.

Уголовная ответственность ничуть не останавливала энтузиастов разрабатывать всё новые и новые винлокеры, используя разные способы оплаты и номера телефонов. В связи с этим компания «Доктор Веб» одна из первых создала «Сервис разблокировки компьютеров», где предлагается ввести номер телефона, указанный в Trojan.Winlock, а взамен получить возможный код для разблокировки компьютера. Стоит отметить, что компания «Доктор Веб» внесла огромный вклад в борьбе против множества типов вредоносных программ, каким-либо образом блокирующих или затрудняющих работу с операционной системой Windows.

Но в настоящее время вредоносные программы подобного типа не являются актуальными, так как рынок поменял свои интересы в сторону вирусов-шифровальщиков.

Вирусы-шифровальщики имеют ряд особенностей:

– шифруемая информация на компьютере (документы, аудиозаписи, видеозаписи) имеет большую ценность, чем возможность работы на данном компьютере;

– восстановить работу компьютера от винлокера в несколько раз легче, чем восстановить файлы от действия вируса-шифровальщика.

– в случае с вирусом-шифровальщиком есть шанс, что будет невозможно восстановить файлы;

Как видно из вышеуказанных особенностей, злоумышленники продолжают вымогать деньги с пользователей, но уже другими способами. Вымогательство с помощью вирусов-шифровальщиков является наиболее прибыльным.

Методология разработки Trojan.Winlock

Рассмотрим по шагам разработку простейшего винлокера. Trojan.Winlock возможно разработать практически на любом современном языке программирования, так как действия, который он выполняет, вполне стандартные для любого языка, и не требуют подключения дополнительных библиотек, свойственных для определённых языков.

Любой простейший винлокер должен содержать в себе функции:

– вывод главного окна на весь экран поверх всех окон;

– выключение графической оболочки Windows;

– отключение диспетчера задач;

– копирование файла вредоносной программы в системную папку;

– включение файла в автозагрузку, службу или замена стандартной графической оболочки;

– блокировка клавиатуры по необходимости.

Разработка любого винлокера должна начаться с подготовки формы (окна), которое будет выводиться на весь экран поверх всех окон. На форме пишется необходимый текст и помещается строка для ввода пароля для разблокировки.

При запуске Trojan.Winlock отключает стандартную графическую оболочку (explorer.exe). Это делается для того, чтобы у пользователя не было доступа к панели задач и другому функционалу графического интерфейса.

Отключение диспетчера задач — очень важный аспект, так как именно с помощью него можно с лёгкостью закрыть винлокер. Так как диспетчер задач Windows открывается поверх всех окон, то закрыть программу предоставляется возможным. Данное действие возможно осуществить через правку реестра Windows.

Копирование файла вредоносной программы в системную папку необходимо для того, чтобы в дальнейшем ссылаться на этот файл из автозагрузки, то есть загружать винлокер именно оттуда, а не с того места, с которого открыл его пользователь. Это делается для того, чтобы усложнить поиск вредоносной программы.

Trojan.Winlock обязательно включается в автозагрузку, службы или заменяет стандартную оболочку, чтобы компьютер блокировался при включении вновь. Автозагрузка не может похвастаться быстротой загрузки программ при включении компьютера, поэтому чаще всего вирус вписывается в службы. Также часто прибегают к методу замены стандартной графической оболочки (explorer.exe) на файл вируса с помощью изменения параметров в реестре. Таким образом достигается самый быстрый запуск вредоносной программы при запуске Windows, а также не даёт запустить стандартный графический интерфейс Windows. Данное действие возможно осуществить через правку реестра Windows.

При необходимости блокируется клавиатура, чтобы исключить возможный обход винлокера с помощью каких-либо комбинаций клавиш. Как правило, разрешается вводить с клавиатуры только буквы, цифры и менять язык. Остальная часть клавиатуры блокируется.

Защита от Trojan.Winlock

Многие антивирусные программы не реагируют на современные (разработанные недавно) винлокеры. В связи с этим стоит задача защиты от данного типа вредоносного обеспечения, не полагаясь на антивирус.

Исходя из алгоритма разработки Trojan.Winlock возможно выбрать методы защиты от данного типа вредоносных программ:

– блокировка реестра Windows для отдельных пользователей;

– контролирование ключевых веток реестра Windows;

– обучение пользователей персональных компьютеров (ПК).

Некоторые из представленных мер включены в стандартное разграничение доступа Windows или средства защиты информации от несанкционированного доступа (СЗИ от НСД).

Блокировка реестра Windows для отдельных пользователей не позволит пользователю, не имеющему права для правки реестра исправить автозагрузку, список служб или заменить стандартный графический интерфейс Windows. Для достижения таких результатов необходимо, чтобы пользователь ПК постоянно работал под пользовательской учётной записью и только при необходимости получал бы права администратора.

Для того, чтобы вовремя отследить появление винлокера на компьютере, необходимо контролирование ключевых веток реестра Windows на изменение автозагрузки, списка служб или параметра реестра, отвечающего за запуск стандартной графической оболочки Windows.

Обучение пользователей ПК необходимо во всех случаях работы за компьютером, будь это предприятие или домашний компьютер. Заведомо полученные знания о данном типе вредоносных программ в разы уменьшит шанс заражения компьютера, за которым сидит обученный пользователь ПК.

Литература:

1. Trojan.Winlock // Википедия — URL: https://ru.wikipedia.org/wiki/Trojan.Winlock

2. «Уголовный кодекс Российской Федерации» от 13.06.1996 N 63-ФЗ (ред. от 19.12.2016) // Консультант Плюс — URL: http://www.consultant.ru/document/cons_doc_LAW_10699/

3. Сервис разблокировки компьютеров // Dr.Web — инновационные технологии антивирусной безопасности. Комплексная защита от интернет-угроз — URL: https://www.drweb.com/xperf/unlocker/?locker_count=10&data=2314124124

Основные термины (генерируются автоматически): вредоносная программа, операционная система, программа, стандартная графическая оболочка, правка реестра, BSOD, блокировка реестра, ключевая ветка реестра, системная папка, стандартный графический интерфейс.


Ключевые слова

вредоносная программа, вирус, Windows, троянский, Уинлок, выкуп, Экран блокировки, винлокер, Trojan, Winlock, Ransom, LockScreen

Похожие статьи

Стиллер «(s)AINT» и защита от него

В работе рассматривается алгоритм действия вредоносного вируса Стиллер «(s)AINT», который прост в использовании и одновременно многофункционален. После запуска он копирует себя на жёсткий диск и собирает все данные, которые пользователи вводят с помо...

Использование OLE-объектов в документах Microsoft Word как средство распространения вредоносных программ. Методы защиты от них

В данной статье рассказывается, что такое OLE интерфейс, его простейшее применение. Также рассматривается, как с помощью него распространяются вредоносные программы в виде документов Microsoft Word на различные предприятия. Предлагается список мер, к...

Современные системы автоматизированного динамического анализа вредоносных файлов

Статья посвящена исследованию трех современных систем автоматизированного динамического анализа вредоносных файлов: Cuckoo Sandbox, Anubis и DRAKVUF. Показано значение подобных систем в области изучения функциональности вредоносных программ. Раскрыты...

Некоторые методы и меры правовой и технологической защиты от утечки информации

В статье автор рассматривает некоторые проблемы защищенности персональных данных в интернет-пространстве и проблемы правонарушений, связанные с кражей личных и корпоративных данных. Представлены меры правового пресечения противоправных действий по от...

Обратный инжиниринг и его применение в информационной безопасности

Обратный инжиниринг является ключевой техникой в области кибербезопасности, которая используется для анализа программного и аппаратного обеспечения без доступа к их исходному коду. Этот метод позволяет выявлять уязвимости, анализировать вредоносное П...

Методика исследования вредоносных программ с использованием инструмента ProcDOT

Статья посвящена методике исследования функциональности вредоносных программ с использованием инструмента ProcDOT. Даны конкретные шаги для подготовки к проведению анализа с обоснованием выбираемых программных систем и инструментов. Кратко охарактери...

Использование возможностей применения технологий Deep Fake в целях осуществления противоправной деятельности

Статья рассматривает феномен дипфейков — контента, созданного с использованием искусственного интеллекта для имитации голоса, видео и изображений. Обсуждаются потенциальные угрозы и возможности, связанные с использованием дипфейков, а также методы их...

Сравнительный анализ программных продуктов для мониторинга и очистки жестких дисков ПК

В данной статье приведено сравнение существующих программных продуктов для мониторинга и очистки жестких дисков ПК пользователей. Приведено краткое описание программ, их функций, а также описаны достоинства и недостатки. В статье приведен SWOT-анализ...

Внедрение антивирусных программ и проблематика их использования

Удобная и безопасная работа за компьютером как для пользователя, так и для организаций невозможна без знаний о защите персональных данных, поэтому необходимо, как минимум, базовое понимание о том, что такое компьютерный вирус, как можно обезопасить к...

Описание и классификация вредоносного программного обеспечения. Основные методы защиты, используемые антивирусными программами

В данной статье кратко описываются способы проникновения и влияния на систему наиболее распространённых видов вредоносного программного обеспечения, рассматривается несколько подходов к классификации угроз, а также основные методы борьбы, используемы...

Похожие статьи

Стиллер «(s)AINT» и защита от него

В работе рассматривается алгоритм действия вредоносного вируса Стиллер «(s)AINT», который прост в использовании и одновременно многофункционален. После запуска он копирует себя на жёсткий диск и собирает все данные, которые пользователи вводят с помо...

Использование OLE-объектов в документах Microsoft Word как средство распространения вредоносных программ. Методы защиты от них

В данной статье рассказывается, что такое OLE интерфейс, его простейшее применение. Также рассматривается, как с помощью него распространяются вредоносные программы в виде документов Microsoft Word на различные предприятия. Предлагается список мер, к...

Современные системы автоматизированного динамического анализа вредоносных файлов

Статья посвящена исследованию трех современных систем автоматизированного динамического анализа вредоносных файлов: Cuckoo Sandbox, Anubis и DRAKVUF. Показано значение подобных систем в области изучения функциональности вредоносных программ. Раскрыты...

Некоторые методы и меры правовой и технологической защиты от утечки информации

В статье автор рассматривает некоторые проблемы защищенности персональных данных в интернет-пространстве и проблемы правонарушений, связанные с кражей личных и корпоративных данных. Представлены меры правового пресечения противоправных действий по от...

Обратный инжиниринг и его применение в информационной безопасности

Обратный инжиниринг является ключевой техникой в области кибербезопасности, которая используется для анализа программного и аппаратного обеспечения без доступа к их исходному коду. Этот метод позволяет выявлять уязвимости, анализировать вредоносное П...

Методика исследования вредоносных программ с использованием инструмента ProcDOT

Статья посвящена методике исследования функциональности вредоносных программ с использованием инструмента ProcDOT. Даны конкретные шаги для подготовки к проведению анализа с обоснованием выбираемых программных систем и инструментов. Кратко охарактери...

Использование возможностей применения технологий Deep Fake в целях осуществления противоправной деятельности

Статья рассматривает феномен дипфейков — контента, созданного с использованием искусственного интеллекта для имитации голоса, видео и изображений. Обсуждаются потенциальные угрозы и возможности, связанные с использованием дипфейков, а также методы их...

Сравнительный анализ программных продуктов для мониторинга и очистки жестких дисков ПК

В данной статье приведено сравнение существующих программных продуктов для мониторинга и очистки жестких дисков ПК пользователей. Приведено краткое описание программ, их функций, а также описаны достоинства и недостатки. В статье приведен SWOT-анализ...

Внедрение антивирусных программ и проблематика их использования

Удобная и безопасная работа за компьютером как для пользователя, так и для организаций невозможна без знаний о защите персональных данных, поэтому необходимо, как минимум, базовое понимание о том, что такое компьютерный вирус, как можно обезопасить к...

Описание и классификация вредоносного программного обеспечения. Основные методы защиты, используемые антивирусными программами

В данной статье кратко описываются способы проникновения и влияния на систему наиболее распространённых видов вредоносного программного обеспечения, рассматривается несколько подходов к классификации угроз, а также основные методы борьбы, используемы...

Задать вопрос