В данной статье рассматривается история появления вредоносных программ, блокирующих работу с операционной системой Windows (винлокеры). Описан принцип работы, методика разработки винлокеров, а также способы защиты от них. Статья носит ознакомительный характер и не является призывом к действию. Автор статьи предупреждает, что повторение подобных действий является противоправным деянием.
Ключевые слова: вредоносная программа, вирус, Windows, Trojan, Winlock, Ransom, LockScreen, винлокер
Первая вредоносная программа, блокирующая работу с операционной системой с целью вымогательства денег, появилась в 1989 году и распространялась она через относительно устаревшие носители информации — дискеты. По замыслу злоумышленника программа должна была предоставлять информацию о СПИДе, но после установки система приводилась в неработоспособное состояние. За её восстановление требовались деньги. Первый SMS-блокиратор был зарегистрирован 25 октября 2007 года. Данная вредоносная программа инсценировала сбой системы (синий экран смерти — BSOD). По аналогии с предыдущей программой также требовались деньги для восстановления работоспособности системы.
Trojan.Winlock (далее — винлокер) — семейство вредоносных программ, блокирующих или затрудняющих работу с операционной системой и требующих перечисления денег (методом отправки SMS-сообщения или перевода денег на кошельки) злоумышленникам за восстановление работоспособности компьютера. Данная классификация была предложена компанией «Доктор Веб».
Классификация вредоносной программы от различных вендоров:
– Trojan.Winlock. Используется компаниями «Доктор Веб» и «Avast»;
– Trojan-Ransom. Используется компанией «Лаборатория Касперского»;
– Trojan.LockScreen. Используется компанией «ESET».
Вне зависимости от классификации и типов, винлокеры всегда выполняют одну и ту же функцию — блокирование операционной системы. Данное действие достигается блокированием всей рабочей области экрана и частичной блокировкой устройств ввода (клавиатура, мышь).
Разработка винлокеров и других вредоносных программ преследуется по закону. Статья 273 Уголовного кодекса Российской Федерации «Создание, использование и распространение вредоносных компьютерных программ» устанавливает наказание за подобное деяние. Возможен один из следующих вариантов наказаний:
– ограничение свободы на срок до 4 лет;
– принудительные работы на срок до 4 лет;
– лишение свободы на срок до 4 лет со штрафом до 200 тысяч рублей или в размере заработной платы за период до 18 месяцев.
Уголовная ответственность ничуть не останавливала энтузиастов разрабатывать всё новые и новые винлокеры, используя разные способы оплаты и номера телефонов. В связи с этим компания «Доктор Веб» одна из первых создала «Сервис разблокировки компьютеров», где предлагается ввести номер телефона, указанный в Trojan.Winlock, а взамен получить возможный код для разблокировки компьютера. Стоит отметить, что компания «Доктор Веб» внесла огромный вклад в борьбе против множества типов вредоносных программ, каким-либо образом блокирующих или затрудняющих работу с операционной системой Windows.
Но в настоящее время вредоносные программы подобного типа не являются актуальными, так как рынок поменял свои интересы в сторону вирусов-шифровальщиков.
Вирусы-шифровальщики имеют ряд особенностей:
– шифруемая информация на компьютере (документы, аудиозаписи, видеозаписи) имеет большую ценность, чем возможность работы на данном компьютере;
– восстановить работу компьютера от винлокера в несколько раз легче, чем восстановить файлы от действия вируса-шифровальщика.
– в случае с вирусом-шифровальщиком есть шанс, что будет невозможно восстановить файлы;
Как видно из вышеуказанных особенностей, злоумышленники продолжают вымогать деньги с пользователей, но уже другими способами. Вымогательство с помощью вирусов-шифровальщиков является наиболее прибыльным.
Методология разработки Trojan.Winlock
Рассмотрим по шагам разработку простейшего винлокера. Trojan.Winlock возможно разработать практически на любом современном языке программирования, так как действия, который он выполняет, вполне стандартные для любого языка, и не требуют подключения дополнительных библиотек, свойственных для определённых языков.
Любой простейший винлокер должен содержать в себе функции:
– вывод главного окна на весь экран поверх всех окон;
– выключение графической оболочки Windows;
– отключение диспетчера задач;
– копирование файла вредоносной программы в системную папку;
– включение файла в автозагрузку, службу или замена стандартной графической оболочки;
– блокировка клавиатуры по необходимости.
Разработка любого винлокера должна начаться с подготовки формы (окна), которое будет выводиться на весь экран поверх всех окон. На форме пишется необходимый текст и помещается строка для ввода пароля для разблокировки.
При запуске Trojan.Winlock отключает стандартную графическую оболочку (explorer.exe). Это делается для того, чтобы у пользователя не было доступа к панели задач и другому функционалу графического интерфейса.
Отключение диспетчера задач — очень важный аспект, так как именно с помощью него можно с лёгкостью закрыть винлокер. Так как диспетчер задач Windows открывается поверх всех окон, то закрыть программу предоставляется возможным. Данное действие возможно осуществить через правку реестра Windows.
Копирование файла вредоносной программы в системную папку необходимо для того, чтобы в дальнейшем ссылаться на этот файл из автозагрузки, то есть загружать винлокер именно оттуда, а не с того места, с которого открыл его пользователь. Это делается для того, чтобы усложнить поиск вредоносной программы.
Trojan.Winlock обязательно включается в автозагрузку, службы или заменяет стандартную оболочку, чтобы компьютер блокировался при включении вновь. Автозагрузка не может похвастаться быстротой загрузки программ при включении компьютера, поэтому чаще всего вирус вписывается в службы. Также часто прибегают к методу замены стандартной графической оболочки (explorer.exe) на файл вируса с помощью изменения параметров в реестре. Таким образом достигается самый быстрый запуск вредоносной программы при запуске Windows, а также не даёт запустить стандартный графический интерфейс Windows. Данное действие возможно осуществить через правку реестра Windows.
При необходимости блокируется клавиатура, чтобы исключить возможный обход винлокера с помощью каких-либо комбинаций клавиш. Как правило, разрешается вводить с клавиатуры только буквы, цифры и менять язык. Остальная часть клавиатуры блокируется.
Защита от Trojan.Winlock
Многие антивирусные программы не реагируют на современные (разработанные недавно) винлокеры. В связи с этим стоит задача защиты от данного типа вредоносного обеспечения, не полагаясь на антивирус.
Исходя из алгоритма разработки Trojan.Winlock возможно выбрать методы защиты от данного типа вредоносных программ:
– блокировка реестра Windows для отдельных пользователей;
– контролирование ключевых веток реестра Windows;
– обучение пользователей персональных компьютеров (ПК).
Некоторые из представленных мер включены в стандартное разграничение доступа Windows или средства защиты информации от несанкционированного доступа (СЗИ от НСД).
Блокировка реестра Windows для отдельных пользователей не позволит пользователю, не имеющему права для правки реестра исправить автозагрузку, список служб или заменить стандартный графический интерфейс Windows. Для достижения таких результатов необходимо, чтобы пользователь ПК постоянно работал под пользовательской учётной записью и только при необходимости получал бы права администратора.
Для того, чтобы вовремя отследить появление винлокера на компьютере, необходимо контролирование ключевых веток реестра Windows на изменение автозагрузки, списка служб или параметра реестра, отвечающего за запуск стандартной графической оболочки Windows.
Обучение пользователей ПК необходимо во всех случаях работы за компьютером, будь это предприятие или домашний компьютер. Заведомо полученные знания о данном типе вредоносных программ в разы уменьшит шанс заражения компьютера, за которым сидит обученный пользователь ПК.
Литература:
1. Trojan.Winlock // Википедия — URL: https://ru.wikipedia.org/wiki/Trojan.Winlock
2. «Уголовный кодекс Российской Федерации» от 13.06.1996 N 63-ФЗ (ред. от 19.12.2016) // Консультант Плюс — URL: http://www.consultant.ru/document/cons_doc_LAW_10699/
3. Сервис разблокировки компьютеров // Dr.Web — инновационные технологии антивирусной безопасности. Комплексная защита от интернет-угроз — URL: https://www.drweb.com/xperf/unlocker/?locker_count=10&data=2314124124