Livejournal Facebook Twitter
как сделать кольчугу.

Внимание, MBRLocker!

Валентин Холмогоров

Так получилось, что с недавних пор я сотрудничаю с  отделом антивирусных разработок и исследований компании «Доктор Веб», и потому теперь могу знакомить читателей моего блога с актуальными новостями из мира вредоносного ПО и борьбы с оным буквально «с колес» (хотя, как это видно на опубликованной выше картинке из серии «я и мой сраный Apple», примерно 90% современных вирусов мне глубоко перпендикулярны). Ну да ладно. Сегодня у нас пойдет речь о новой напасти, буквально одолевшей в последнее время многих и многих пользователей. Имя ей - MBRLocker.

История вопроса

Первые случаи заражения вредоносными программами семейства «винлокеров» были зафиксированы еще в конце 2007 года, а в период с ноября 2009 по февраль 2010 г. Их распространение приняло буквально эпидемиологический характер. Первые модификации программы-вымогателя Trojan.Winlock весьма успешно маскировались под встроенный механизм активации операционной системы Windows XP (Microsoft Product Activation, MPA). Окно программы, блокировавшее Рабочий стол Windows, имитировало своим оформлением интерфейс MPA, при этом пользователю демонстрировалось сообщение о том, что на его ПК установлена нелицензионная копия операционной системы, которую предлагалось активировать, отправив платное SMS-сообщение. Прервать работу этих ранних версий Trojan.Winlock было относительно несложно, удалив соответствующий процесс в Диспетчере задач, изменив в системном реестре значение оболочки по умолчанию, или воспользовавшись утилитой Восстановление системы, для чего следовало загрузить Windows в безопасном режиме. Однако программа стремительно совершенствовалась: достаточно быстро Trojan.Winlock научился отслеживать нажатия сочетаний «горячих» клавиш, блокировать запуск Диспетчера задач, Редактора реестра, утилиты Восстановление системы, Командной строки, антивирусных приложений и некоторых апплетов Панели управления Windows. Троянец вносил определенные изменения в файл C:\%SYSTEMROOT%\System32\drivers\etc\hosts, чтобы пользователь не мог открыть в браузере сайты разработчиков наиболее популярных антивирусных программ.  Модифицировалось и оформление окна, нарушающего нормальную работу компьютера: оно могло демонстрировать непристойные изображения и сведения о том, что пользователь посещал сайты порнографического характера, либо обвинения в незаконной загрузке информации, защищенной авторским правом.

Таким образом, Trojan.Winlock использовал для достижения своих целей принципы социальной инженерии: многие владельцы компьютеров, в действительности посещавшие порнографические интернет-ресурсы либо использовавшие на своем ПК контрафактное ПО, отправляли злоумышленникам платные SMS, либо пополняли указанные ими счета мобильных операторов, опасаясь огласки. Кроме того, некоторые версии «винлокера» в случае отказа от оплаты, либо попыток разблокировать компьютер иными методами угрожали уничтожением всей хранящихся на жестких дисках информации. Существуют реализации «винлокеров», устанавливающиеся на компьютер под видом «программ рекламного характера», при  этом пользователю иногда даже демонстрируется подобие лицензионного соглашения, согласно которому он обязуется  просмотреть не менее тысячи раз рекламный баннер, отключаемый при помощи все того же платного SMS-сообщения. Здесь расчет делается на то, что подобные документы никто не читает внимательно. По различным данным, на сегодняшний день насчитывается около тысячи различных модификаций вредоносной программы Trojan.Winlock.

Винлокеры возвращаются

В отличие от печально известных винлокеров, подменявших собой оболочку операционной системы и нарушавших таким образом нормальное функционирование Windows, новая разновидность программ-вымогателей вносит изменения в главную загрузочную запись (Master Boot Record), делая невозможным запуск самой ОС. В этом и кроется основная опасность данного троянца: если с обычным «винлокером» было не так уж и сложно справиться, то избавиться от Trojan.MBRlock на первый взгляд кажется не тривиальной задачей.

Механизм заражения этой вредоносной программой вполне традиционен для подобных угроз: пользователь самостоятельно скачивает содержащий троянца исполняемый файл с удаленного  сайта под видом видеоролика.  Примечательно, что, по словам экспертов компании «Доктор Веб», Trojan.MBRlock пока еще практически не использует для своего распространения известные уязвимости браузеров. По всей видимости, вредоносный файл компилируется непосредственно на инфицированном сервере, поскольку в его теле в явном виде указывется дата автоматической деактивации программы, обычно отличающаяся от даты скачивания  файла на несколько дней.

 

Trojan MBR Locker

 

 

После запуска Trojan.MBRlock вносит изменения в Master Boot Record, однако оригинальная загрузочная запись и таблицы разделов обычно сохраняются. При каждом последующем включении питания компьютера троянец блокирует загрузку операционной системы, считывает из соседних секторов жесткого диска в память основной код и демонстрирует на экране требование пополнить счет мобильного телефона одного из российских сотовых операторов. Следует отметить, что разработчики этой вредоносной программы не лишены определенных проявлений гуманизма: спустя несколько дней после своего первого появления на компьютере пользователя Trojan.MBRlock как правило самостоятельно деактивируется и перестает препятствовать загрузке Windows.

На сегодняшний день известно порядка 40 модификаций данной вредоносной программы, различающихся лишь в деталях, идентификаторы каждой из них уже включены в антивирусные базы Dr.Web. Пользователи, ставшие жертвой Trojan.MBRlock, могут избавиться от последствий заражения с помощью бесплатных средств аварийного восстановления системы Dr.Web LiveCD или Dr.Web LiveUSB. Кроме того, восстановить испорченную загрузочную запись можно при помощи команды fixmbr, загрузив Консоль восстановления Windows (Emergency Recovery Console).

Профилактика

В настоящее время троянская программа Trojan.MBRlock не представляет серьезной эпидемиологической угрозы. Вместе с тем, по-прежнему остается опасность появления новых версий этого троянца, еще незнакомых антивирусным утилитам, либо модификаций с нестандартным поведением. В любом случае, соблюдение всего лишь нескольких несложных правил позволит вам надежно обезопасить себя от возникновения подобных неприятностей:

  • Используйте современное антивирусное программное обеспечение. Периодически производите проверки компьютера на наличие вирусов и троянских программ.
  • Вовремя обновляйте антивирусные базы, поддерживая их в актуальном состоянии.
  • Регулярно устанавливайте рекомендованные производителем операционной системы обновления безопасности.
  • Не запускайте подозрительные приложения или самораспаковывающиеся архивы, загруженные из Интернета или полученные из неблагонадежных источников.

Поиск

Энциклопедия Windows - Winpedia.ru Русское сообщество пользователей Android Дистанционное обучение нового поколения

Верстка, контент, дизайн © 2000 - 2017, Валентин Холмогоров.