Новые итерации программ-блокировщиков сканируют журнал браузера на зараженной машине и демонстрируют порно с участием несовершеннолетних, чтобы придать убедительность ложным обвинениям и заставить жертву заплатить выкуп.

Сразу оговоримся, что речь идет о той разновидности программ-вымогателей, которая блокирует доступ к системе, отображая поверх всех окон окно с сообщением о блокировке. Злоумышленники от имени правоохранительных органов обвиняют жертву в просмотре или скачивании нелегального контента и требуют незамедлительной уплаты «штрафа» в обмен на разблокировку. Некоторые из таких вредоносных программ могут использовать веб-камеру, установленную на зараженном компьютере, и внедряют снимки жертвы в обвинительное сообщение, чтобы сделать его более правдоподобным. С той же целью жертве могут назвать ее IP-адрес и имя интернет-провайдера; современные блокеры используют также геопривязку, чтобы отобразить фальшивку на языке, понятном жертве, с правильным именем национального органа правопорядка.

Независимый исследователь Kafeine обнаружил вариант блокера, функционал которого позволяет просматривать историю посещений веб-сайтов, сохраненную в браузере, и подставлять подходящие имена в обвинительный текст в качестве источника противозаконного контента. Таким «источником» может оказаться порносайт, содержимое которого необязательно противозаконно, важен сам факт захода жертвы на данный ресурс. Зловред, получивший наименование Kovter, сравнивает записи в журнале посещений со списком, хранящимся на удаленном сервере, и в случае отсутствия совпадений подставляет в сообщение произвольное имя порносайта.

Другой вариант блокера, попавший на радары Sophos, вместе с обвинительным текстом демонстрирует пользователю шокирующие сцены насилия над детьми, которые тот якобы просматривал на своем ПК. Для пущей убедительности в сообщении называются имя, дата рождения и страна проживания жертвы насилия. Примечательно, что данный зловред активируется не на старте системы, а лишь после подключения пользователя к интернету. Все случаи заражения, связанные с этой версией, обнаружены на территории Германии, однако анализ вредоносного кода показал, что при запуске с британского IP-адреса новоявленный блокер меняет шаблон: обвинительный текст воспроизводится уже на английском языке, а вместо Bundeskriminalamt — федерального ведомства по уголовным делам Германии — в нем появляется имя лондонской полиции.

Согласно статистике «Лаборатории Касперского», за первые месяцы текущего года количество программ-вымогателей увеличилось в два раза. Эту цифру зарубежные СМИ озвучили со слов эксперта ЛК Сергея Голованова, который подчеркнул, что уступать требованиям вымогателей ни в коем случае нельзя. В интернете есть множество бесплатных утилит и инструкций по разблокировке компьютеров, зараженных тем или иным вымогателем. Решение для особо устойчивого зловреда можно отыскать на специализированных форумах антивирусных компаний или получить, обратившись в службу техподдержки. Уж лучше потратить время на поиск выхода из неприятного положения, чем потакать шантажистам без какой-либо гарантии положительного исхода.

Судя по обилию жалоб на форумах Virusinfo и Kaspersky Lab Forum, корпоративный Рунет атакует особо результативный троян-блокер, распространяемый как вложение в целевом спаме. Он шифрует пользовательские файлы данных, используя функционал Windows PowerShell, и требует 10 тыс. рублей за дешифратор.

В Испании и ОАЕ задержаны 11 уроженцев Восточной Европы по подозрению в корыстном распространении троянца-блокера Reveton, заразившего десятки тысяч ПК по всему миру.

Аресты произведены по промежуточным результатам расследования, проводимого спецподразделениями испанской полиции совместно с Европолом и Интерполом. По предварительным оценкам, зловредный шантажист приносил злоумышленникам более 1 млн. евро в год.

В английском графстве Стаффордшир задержаны двое мужчин и женщина, подозреваемые в вымогательстве с использованием вредоносной программы-блокировщика.

По свидетельству киберкопов, данный зловред блокирует экран заставкой с логотипом MPS (Metropolitan Police Service, лондонской полиции) или PCeU (Police Central e-Crime Unit, Центральное полицейское подразделение по борьбе с электронными преступлениями). Данная страница содержит фальшивое извещение от блюстителей порядка, якобы следивших за действиями пользователя в Сети и обнаруживших правонарушения. Чтобы разблокировать компьютер, жертве предлагается уплатить «штраф» в размере 100 фунтов стерлингов (161 долл.), воспользовавшись системой электронных платежей.

Задержанные заключены под стражу; им инкриминируются преступный сговор с целью совершения мошеннических действий, отмывание денег и хранение инструментов, используемых в мошеннических схемах. Полиция напоминает интернет-пользователям, что штрафы никогда не взыскиваются столь странными методами, и не рекомендует вводить персональные данные на поддельных страницах.

В ноябре Microsoft пополнила базу MRST (Malicious Software Removal Tool, средство удаления вредоносных программ) сигнатурами Win32/Weelsof ― обширного семейства троянских блокировщиков, обосновавшихся в Западной Европе и США.

Weelsof распространяется путем drive-by загрузок с зараженного сайта или с помощью эксплойт-паков и вредоносных iframe. При запуске он определяет версию ОС и создает свою копию с произвольным именем в папке %APPDATA% или %windir%. Затем производит модификации записей в системном реестре в обеспечение запуска этой копии при каждом старте Windows (включая безопасный режим). Наконец, подключается к стороннему узлу на порту 80 и загружает страницу-заставку с требованием выкупа, данные о географическом местоположении и IP-адрес зараженного компьютера.

Обнаружены новые спам-рассылки, ориентированные на пользователей Skype. Одна из них проводится по каналам электронной почты и нацелена на сбор регистрационных данных в Skype. Другая, более масштабная, раздает зловредов через ссылки в текстовых сообщениях, распространяемых по Skype.

Письма фишеров замаскированы под извещение Skype и используют логотип этой службы. Получателя уведомляют, что замена пароля якобы прошла успешно, а если “что-то выглядит не так”, можно восстановить прежний, перейдя по ссылке. Последняя ведет на поддельную страницу регистрации в Skype, запрашивающую логин и пароль.

Вредоносное сообщение, распространяемое по Skype, вопрошает: “is this your new profile pic?” (“Это что – новая картинка к твоему профилю?”). Русскоязычные пользователи могут также получить сообщение вида “ey eto vasha novaya kartina profil’?ваш_ник” При активации сопровождающей его ссылки на компьютер пользователя загружается новый вариант червя из семейства Dorkbot, оно же NgrBot. Этот зловред подгружает модуль-блокировщик, который шифрует файлы и требует 200 долл. в качестве выкупа.

Анализ компонентов нового Dorkbot, проводимый Trend Micro, показал, что у червя появился еще один модуль, который позволяет осуществлять накрутку кликов (click fraud). По словам экспертов, семейство Dorkbot известно с 2011 года и ранее занималось исключительно кражей персональных идентификаторов.

Совместными усилиями полиции КНР и Гонконга задержаны 6 участников преступной группы, проводившей DDoS-атаки на территории специального административного округа с целью получения отступных.

Согласно результатам расследования, данная группировка терроризировала гонконгских брокеров, угрожая вывести из строя онлайн-ресурс, если его хозяин не поделится своими доходами. После показательной DDoS-атаки шантажисты связывались с владельцем сайта по IM-каналу и требовали перевести от 30 до 100 тыс. юаней (5-16 тыс. долл.) в один из китайских банков.  

С февраля по июнь в гонконгскую полицию обратились 16 потерпевших. Все жертвы вымогательства торгуют золотом, серебром и ценными бумагами. Четверо из них уже заплатили злоумышленникам суммарно 200 тыс. юаней (45,7 тыс. долл.), причем одна компания переводила деньги на указанные счета 26 раз.

Китайские блюстители порядка быстро отозвались на просьбу коллег о помощи. Аресты были произведены на территории Китая в конце июня.

В Токио арестованы 6 местных жителей, обвиняемых в создании и распространении Android-зловреда. Трое из них ― сотрудники разных ИТ-компаний, занимающие руководящие должности.

По свидетельству полиции, данная группировка вымогала деньги у владельцев мобильных устройств с помощью вредоносной программы, написанной для платформы Android одним из участников. Для ее распространения аферисты создали порносайт и предлагали зловреда для скачивания под видом бесплатного приложения для просмотра видеороликов на смартфоне. При запуске эта программа выводила на экран сообщение о необходимости срочно уплатить 99,8 тыс. иен (около 1,3 тыс. долл.) за некие услуги и воровала персональные данные (номер телефона, адрес электронной почты и т.п.), отсылая их на заокеанский сервер.

Текст с требованием оплаты воспроизводился каждые 5 минут; пользователю демонстрировали также информацию, украденную с его смартфона. Многих утечка личных данных обескураживала до такой степени, что они соглашались платить. С начала текущего года зловредного вымогателя скачали свыше 9,2 тыс. японцев. 211 из них уступили требованиям злоумышленников, «подарив» им суммарно свыше 21 млн. иен (около 270 тыс. долл.).

Распространителей зловредов для мобильных устройств в Японии судят впервые. Если их вина будет доказана, их ждут не только штрафы, но и тюремные сроки. С прошлого года злонамеренное создание, приобретение и хранение вредоносных программ на территории страны считается уголовным преступлением, и поставщиков инфекции могут лишить свободы на 2 года, а ее создателей ― на 3.

В Киото арестованы шестеро местных жителей, подозреваемых в нарушении японского закона о киберпреступлениях. По предварительным оценкам, данная группировка, используя самопальную программу-блокер, выманила у пользователей 12 млн. иен (свыше 155 тыс. долл.).

Подобные программы в Японии обычно распространяются через порносайты и маскируются под смачный видеоролик. Зловред загружается на машину жертвы при попытке его просмотра и препятствует дальнейшей работе, неустанно показывая провокационные картинки с требованием зарегистрироваться и оплатить доступ к веб-сервису. Оплату шантажисты рекомендуют производить прямым переводом на банковский счет. Суммы одноразовых «пожертвований» достаточно ощутимы, но никогда не превышают 100 тыс. иен (около 1,3 тыс. долл.) ― порога, установленного японскими нормативами для банковских транзакций.

По свидетельству Trend Micro, эксперты которой участвуют в расследовании, названный способ вымогательства широко распространен в Японии. Мошенники делают ставку на чувство вины и стыда со стороны жертвы, которой легче выполнить их требования, чем нанять постороннего человека для избавления от одиозных заставок. При обнаружении блокировщика антивирусом его авторам достаточно изменить фрагмент кода, чтобы он вновь исчез с радаров.

В настоящее время в японском секторе интернета обнаружено 118 зараженных веб-сайтов, задействованных шантажистами. Японские власти поставили ситуацию на контроль и ежемесячно фиксируют в среднем 400 случаев вымогательства, осуществляемого по данной схеме. Однако многие жертвы предпочитают не оглашать свою промашку.

В Сети обнаружен очередной троянский вымогатель, маскирующийся под ревизора подлинности Windows. Зловред просит «всего лишь» 100 евро и разговаривает на немецком языке.

По свидетельству Panda Security, инфекция распространяется, скорее всего, через спам или р2р-сети. После заражения происходит перезагрузка системы, и жертву при входе встречает черный экран, похожий на тот, которым Microsoft клеймит пиратские копии своей ОС. Сообщение, выведенное на этом угрожающем фоне, гласит, что проверка подлинности Windows невозможна, посему для исправления ситуации хозяин ПК должен оплатить и активировать законную лицензию. Оплату следует произвести в течение 2-х суток, в валюте Ukash или с помощью Paysafecard, в противном случае доступ к компьютеру будет заблокирован, а все данные стерты. Кроме того, IP-адрес «пирата» уже якобы поставлен на контроль властями, готовыми возбудить дело о нарушении германского закона о копирайте. Эксперты G Data Software отмечают, что статья закона, указанная злоумышленниками, не имеет никакого отношения к упомянутому ими правонарушению.

Веб-сайт, на который направляют пользователя для приобретения «лицензии», пытается, хотя и несколько неуклюже, имитировать легальный ресурс Microsoft. На нем посетителя просят ввести персональный идентификатор, указанный на черном экране. После этого жертву перенаправляют на другую страницу ― для «активации лицензии». На этой странице не работает ни одна «фирменная» ссылка, приведены лишь поля для ввода идентификаторов платежной карты, адреса электронной почты и мобильного телефона покупателя. Номер лицензии ему обещают выслать в виде SMS. В обмен на персональные данные пользователю обещают сообщить код активации в течение суток, после проверки его платежеспособности.

Эксперты Panda уверяют, что по истечении срока, назначенного мошенниками, никаких карательных мер, которыми они угрожают, не последует. «Отказникам» рекомендуется ввести код деактивации зловреда: QRT5T5FJQE53BGXT9HHJW53YT. После его ввода компьютер перезагрузится, а ключи реестра, созданные троянцем, как и сам зловредный файл, будут удалены из системы.