Реферат по информатике



Trojan.Winlock (Винлокер) — семейство вредоносных программ, блокирующих или затрудняющих работу с операционной системой, и требующих перечисление денег злоумышленникам за восстановление работоспособности компьютера, частный случай Ransomware (программ-вымогателей). Впервые появились в конце 2007 года. Широкое распространение вирусы-вымогатели получили зимой 2009—2010 годов, по некоторым данным оказались заражены миллионы компьютеров, преимущественно среди пользователей русскоязычного Интернета. Второй всплеск активности такого вредоносного ПО пришёлся на май 2010 года.

Первая программа-вымогатель появилась в декабре 1989 года. Пользователи получили по почте дискетки с программой, предоставляющей информацию о СПИДе. После установки система приводилась в неработоспособное состояние, и за её восстановление с пользователей требовали денег. Первый SMS-блокер был зарегистрирован 25 октября 2007 года. Вымогатель инсценировал сбой системы (синий экран смерти). Практически полностью блокировал управление системой.

На данный период времени сотрудниками различных антивирусных компаний зафиксировано несколько тысяч различных видов винлокеров. Наиболее ранние типы требовали за разблокировку не более 10 рублей, а если пользователь оставлял включённым компьютер на некоторое время, то они самоуничтожались (к примеру, Trojan.Winlock 19 сам удалялся без следа через 2 часа.). Однако позднее появились более опасные разновидности, которые не удалялись сами по себе и требовали за разблокировку уже от 300 до 1000 рублей. Для перевода денег обычно использовались короткие премиум-номера, в настоящее же время подобные программы могут требовать перечисления денег на электронные кошельки (например, «Яндекс.Деньги»), либо баланс мобильного номера.

Винлокеры ориентированы преимущественно на российских пользователей, хотя позже появились и зарубежные версии. В них использованы методы социальной инженерии. Обычно необходимость выплаты денежной суммы объясняется использованием нелицензионного программного обеспечения или просмотром порнофильмов. Следует отметить, что в большинстве случаев заражение происходит именно спорносайтов. Достаточно часто причины необходимости отправки SMS или способы получения кода звучат абсурдно, например:

«Ваш компьютер заблокирован за просмотр порнографии с несовершеннолетними и зоофилией. Для разблокировки компьютера необходимо пополнить баланс телефона в любом терминале оплаты. После оплаты код разблокировки должен появиться на чеке оплаты».

Нередки орфографические ошибки. Более того, практически на всех баннерах написано предупреждение, о том, что попытка обмануть «систему оплаты» приведёт к нарушению работы компьютера или уничтожению данных. В некоторые из них даже встроен таймер обратного отсчёта, по истечении времени которого вирус обещает уничтожить все данные пользователя. Чаще всего, это простая угроза, убеждающая пользователя отдать злоумышленнику деньги. Однако некоторые версии действительно снабжаются инструментами для уничтожения данных, но из-за низкого профессионализма авторов, особенностями установки или по другим причинам они чаще всего не срабатывают должным образом.

Пути распространения Trojan.Winlock и подобных вирусов разнообразны, в значительной части случаев инфицирование происходит через уязвимости браузеров при просмотре заражённых сайтов, либо при использовании мошенниками специальных «связок», позволяющих заражать только необходимые компьютеры также через браузер. Помимо этого заражение может произойти во время запуска программ, маскирующихся под инсталлятор какой-нибудь добросовестной программы или самораспаковывающиеся архивы. При этом в «лицензионном соглашении» (которое рядовой пользователь редко читает) оговаривается, что пользователь согласен установить на компьютер приложение «рекламного характера», которое он обязан просмотреть определённое количество раз, либо отказаться от просмотра, отправив SMS. Число требуемых просмотров обычно идёт на тысячи, поэтому пользователи предпочитают отправлять SMS злоумышленнику.

Вид «интерфейса» троянов очень красочен и разнообразен. Но в большинстве своём их объединяет либо схожесть со стандартными меню Windows, либо наличие порнографического материала (фото, гораздо реже анимации и видео, используя возможности Adobe Flash), а также окно для ввода кода разблокировки. Есть разновидности, очень похожие на синий экран смерти или стандартное окно приветствия Windows. Также нередки случаи, когда они маскируются под антивирусную программу (например, Антивирус Касперского).

Trojan.Winlock условно можно разделить на 3 типа, в зависимости от того, насколько они затрудняют работу для пользователя:

1 тип — это баннеры или порноинформеры, появляющиеся только в окне браузера. Наиболее легко удаляемый тип. Обычно они выдают себя за дополнительные плагины или надстройки для браузера.

2 тип — это баннеры, которые остаются на рабочем столе после закрытия браузера и при этом закрывают большую его часть. Но у пользователей обычно остаётся возможность открывать другие программы, в том числе диспетчер задач и редактор реестра.

3 тип — это тип баннеров, который загружается после полной загрузки рабочего стола Windows. Они закрывают практически весь рабочий стол, блокируют запуск диспетчера задач, редактора реестра, а также загрузку в безопасном режиме. Некоторые разновидности полностью блокируют клавиатуру, предоставляя пользователю лишь цифровые клавиши из своего «интерфейса», и рабочую мышь для ввода кода.

Ни в коем случае нельзя выполнять требования злоумышленников. Следует помнить, что стоимость SMS может доходить до нескольких десятков долларов независимо от указанной в «интерфейсе» вируса. Практически во всех случаях после отправки SMS обещанный код разблокировки не приходит.

В случае предлагаемой оплаты по SMS можно позвонить в службу поддержки контент-аггрегатора, которому принадлежит номер. Часто они могут сообщить код разблокировки.

При возможности воспользоваться онлайн-сервисами подбора кода разблокировки на сайтах производителей антивирусного ПО (Dr.Web, Лаборатория Касперского).

Произвести полное сканирование компьютера антивирусной утилитой со свежими обновлениями антивирусной базы (например, «одноразовым» антивирусом Dr.Web CureIt или Kaspersky Virus Removal Tool, скачать его желательно со «здорового» компьютера, даже в случае успешной разблокировки системы подбором кода).

Если вирус блокирует доступ к определенным ресурсам Интернет (обычно к популярным социальным сетям и сайтам с антивирусным ПО), необходимо удалить лишние записи (кроме строки «127.0.0.1 localhost») из файла C:\Windows\System32\drivers\etc\hosts и очистить кэш DNS (командой ipconfig /flushdns от имени администратора), а также очистить cookies и кэш в браузере.

В некоторых случаях помогает перестановка даты в BIOS на пару лет назад.

При полной блокировке можно загрузиться в систему с помощью LiveCD(лучше erd commander) и попытаться удалить трояна при помощи антивирусов.

Открыть диспетчер задач (если это возможно). Посмотреть процессы на предмет подозрительных. Попробовать завершить процесс. Скорее всего, процесс перезапустится. Перезагрузиться в безопасном режиме и удалить программу вручную.

Если троян блокирует обычный безопасный режим, то при нажатии клавиши F8 необходимо выбрать безопасный режим с поддержкой командной строки. На данный момент времени большинство винлокеров не способны его заблокировать. После загрузки надо запустить редактор реестра при помощи команды regedit (пуск-выполнить-regedit) и искать там подозрительные записи. В первую очередь необходимо проверить ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon, в частности в параметре Shell должно быть написано explorer.exe, а в параметре Userinit — C:\WINDOWS\system32\userinit.exe, (обязательно с запятой). Если там всё в порядке, необходимо проверить этот же путь, но в ветке HKEY_LOCAL_USER. Также желательно проверить ветки, в которых прописаны автозагружаемые программы, например HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. В случае обнаружения подозрительных записей, их необходимо заменить на стандартные значения (в случае с автозагрузкой удалить). После перезагрузки и входа в систему трояна можно удалить вручную по уже известному пути. Этот способ хоть и эффективен, но подходит только для опытных пользователей.

Российский Государственный Гидрометеорологический университет

Факультет: Гидрологии

Курс I

Группа Г-115

Учебная дисциплина: информатика

Реферат

Тема:

“Winlocker”

Студентка Горбатенко А.А. Подпись _________

Руководитель Кирьянова Л.С. Подпись__________

Оценка ________ Подпись руководителя_________

г.Санкт-Петербург

2014 г.






map