Спекуляции на угрозах безопасности

 

Шантаж и рэкет — один из сравнительно молодых видов мошенничества в Интернете. По большому счету это серьезная проблема современного Интернета, где действительно встречаются захват web-ресурсов (например, «рейдерство» — захват с целью использования, или «пиратство» — захват с целью уничтожения или продажи), похищение информации, атаки DDoS (отказ в обслуживании) и следующий за всем этим рэкет.

Наиболее частые варианты сценариев — это захват web-сайта, уничтожение всех данных, а затем — предложение владельцу заплатить за резервную копию и «спокойную жизнь» в дальнейшем. Возможна также организация атаки DDoS на электронный магазин или обменный пункт и предложение владельцу ресурса остановить атаку за определенную сумму. Встречается также кодирование злоумышленниками каких-то важных данных (хранимых на сервере или пересылаемых по e-mail), с последующим требованием от потенциальной жертвы, не позаботившейся о своевременном резервном копировании, выкупа за ключи и доступ к закодированной информации…

Как правило, реальное вымогательство комбинируют с техническими (программными, скриптовыми) методами воздействия на компьютер жертвы.

Например, вирусы-шифровщики. Самый скандальный случай имел место в июне 2008-го года, когда «Лаборатория Касперского» сообщила о появлении новой версии опасного вируса-шантажиста, известного как Gpcode. Новая версия вируса, оказавшегося намного более устойчивой, по сравнению с рядом предшественников, получила название Virus.Win32.Gpcode.ak. Вирус шифровал пользовательские файлы различных типов (.doc, .txt, .pdf, .xls, .jpg, .png, .cpp, .h и др.) при помощи криптостойкого алгоритма шифрования RSA с длиной ключа 1024 бит. Расшифровать подобный код пока никому не удавалось (во всяком случае на момент написания этих слов). К названиям зашифрованных файлов вирус добавлял подпись ._CRYPT и оставлял в той же системной папке текстовый документ !_READ_ME_!.txt, в котором сообщалось о проведенном шифровании и предлагалось купить у преступника дешифратор. Жертве такой вирусной атаки без помощи специалистов не обойтись. Обнаружив закодированные файлы и сообщение с требованием выкупа на своем компьютере, следует обратиться к экспертам антивирусной лаборатории, используя другой компьютер с выходом в интернет (например, по адресу stopgpcode@kaspersky.com), и сообщить о точной дате и времени заражения, а также последних действиях на компьютере за последние 5 минут до заражения. При этом не следует перезагружать или выключать зараженный компьютер.

В последнее время немалое распространение в сети получили «вирусы-вымогатели» намного более мелкого масштаба. Обычно они либо начинают подгружать на компьютер неприличную рекламу (кому приятно созерцать подобное на мониторе, особенно если это происходит на рабочем компьютере, в офисе), либо блокируют доступ к каким-то данным, а то и вообще вход в систему, и требуют выкуп (в нашем регионе — обычно отправку платной СМС) для решения этой проблемы.

Иногда это вымогательство маскируется под борьбу с пиратством со стороны Microsoft, или каких-то «гос-структур». Бывает, что выкуп требуется «открытым текстом».

В подавляющем большинстве случаев отправка SMS (или любой другой выкуп) проблему не решает, но лишь существенно увеличивает счет жертвы (в данном случае — за мобильный телефон, поскольку СМС является платной). Проблема может быть решена исключительно техническими средствами (антивирусное и специализированное программное обеспечение). Потому что даже если предположить, что злоумышленник получил полный доступ к нашей операционной системе и имеет возможность ее дистанционно блокировать и разблокировать, то эту проблему нужно все равно решать глобально, ибо нет никаких гарантий, что аппетит злоумышленника не будет расти, и вслед за первым выкупом не последует второй, третий и т.д. Впрочем, надо заметить, что, как правило, подобные вирусы умеют только блокировать систему или часть информации, а еще чаще речь идет даже не о серьезной блокировке, но об имитации блокировки, или о поверхностной блокировке, с которой справится любой специалист по компьютерной технике и даже простой пользователь со средним опытом. То же самое касается и подгрузки навязчивой рекламы: злоумышленник не имеет возможности остановить это, он просто банально блефует.

Что нужно делать в такой ситуации?

Если компьютер не заблокирован полностью и доступны какие-то опции меню, то нужно попытаться запустить антивирусный пакет или хотя бы специализированные утилиты для уничтожения вредоносного программного обеспечения. Такие программы, как AdAware или Spybot-SD желательно держать под рукой (на флешке или на CD). Бывает, что в таких ситуациях они помогают.

Если компьютер полностью заблокирован, то можно попытаться сначала запустить его в безопасном режиме (safemode), без доступа в сеть (для загрузки в безопасном режиме нужно, как правило, перезагрузить компьютер кнопкой reset, или отключив питание, и в процессе загрузки нажать клавищу F8), и затем, в режиме safemode попытаться воспользоваться утилитами для удаления AdWare и SpyWare- программ.

Если это не получается, то лучше обратиться к специалистам, или просто переустановить операционную систему, если имеется возможность сделать это безболезненно (то есть без потери важных данных).

«Продвинутые» варианты спекуляций на угрозах безопасности

То, что о своей безопасности в сети нужно заботиться, сомнений не вызывает: антивирусные программы, межсетевые экраны и подобные инструменты, разумеется, должны быть в арсенале каждого пользователя компьютера. Сеть — совсем не то место, где можно, как говорится, «щелкать клювом»…  Однако, некоторые обитатели кибер-пространства настолько трепетно относятся к вопросам технической безопасности своего компьютера, что просто и думать ни о чем другом не в состоянии. Это доходит иногда почти до мании преследования. Хакеры и прочие злоумышленники мерещатся им на каждом шагу. И на этом, разумеется, также спекулируют мошенники!

Первая разновидность таких спекуляций — это оповещения о несуществующих вирусных угрозах, сопровождаемые предложениями удалить вирус самостоятельно, потому что якобы ни одна антивирусная программа этого пока сделать не может. Это можно назвать своего рода «социальным вирусом».

При этом пользователю не предлагают антивирусных программ (это было бы слишком примитивно и подозрительно — кто в наше время не знает, что запускать на компьютере программы из сомнительных источников не следует). Вместо этого потенциальной жертве предлагают самостоятельно найти файл и удалить его, по «наводкам» или «приметам». А после этого, конечно же, призывают написать всем друзьям, и призвать их сделать то же самое.

Пользуясь тем, что мало кто из рядовых пользователей может сразу, «на вскидку» сказать — зачем ему нужен тот или иной файл в системной директории, незадачливой жертве предлагают найти у себя какой-то файл, с ничего не говорящим названием, и отправить его побыстрее в корзину, а заодно может быть и почистить «следы его деятельности» и удалить еще пару-тройку «вирусов».

Не трудно догадаться, что в качестве «вредного» файла обычно называется какой-нибудь вполне «законопослушный» файл из системной директории. Удалив этот файл, доверчивый пользователь — из самых лучших побуждений — пишет письма всем своим друзьям и призывает их сделать то же самое, так и не сообразив, что он только что, собственноручно, положил начало крушению своей операционной системы, выбросив из нее пару-тройку вполне «благопристойных» и главное — необходимых для нормального функционирования системы файлов. Последствия этого поступка проявятся может быть и не сразу, но рано или поздно это отразится на целостности системы и приведет к ее сбоям, либо к полному уничтожению.

Впрочем, даже обычные массовые оповещения о не существующих на самом деле вирусных угрозах — это тоже достаточно большая беда современного Интернета. Особенно часто такие «психологические приемчики» используются в крупных социальных сетях (Те же «Одноклассники» или Facebook, к примеру) и целью их, как правило, является создание повышенной нагрузки на сервер.

Механизм реализации прост и дешев: по небольшому списку адресов рассылается сообщение о «новом жутком вирусе», с увещеванием не открывать какой-нибудь файл, или какое-нибудь сообщение с определенной темой или именем адресата, а также с просьбой сообщить об этом «всем-всем-всем» друзьям, чтобы и они не пострадали. Пользователи сети, из самых лучших побуждений, пересылают это сообщение всем своим знакомым, те делают то же самое и вскоре сеть охватывает лавинообразно нарастающая волна бесполезных и беспорядочных писем. Не каждый сервер может выдержать такую нагрузку, в результате чего сеть или какой-то ее фрагмент на какое-то время просто перестает функционировать. Что, собственно и требовалось злоумышленнику.

Другой, не менее интересный вариант таких спекуляций — это «проверка компьютера на уязвимость». Известно, что многие антивирусные лаборатории и разработчики анти-SpyWare модулей предлагают пользователям бесплатное он-лайн тестирование компьютера. На этом порой и паразитируют мошенники.

Механизм в этом случае примерно таков: Во время серфинга, или по наводке в спаме, пользователь попадает на сайт, где всем посетителям предлагается проверить компьютер на уязвимость и устойчивость к атакам хакеров. Нажав на кнопочку, потенциальная жертва получает список «шокирующей» информации о своей системе: IP адрес, дополняемый порой описанием сети, имени провайдера, названия города и т.п. Многих это действительно шокирует, хотя на самом деле это является результатом совершенно легальных системных запросов whois, dig, nslookup и т.п. Жертве могут сообщить также информацию об используемой версии браузера (это тоже не «бином Ньютона»), о списке открытых портов, иногда сообщается информация об используемой операционной системе (опять же стандартный, легальный системный запрос nmap) и т.д.

Все эти данные являются результатами стандартных запросов, совершенных законными средствами, но не все же это знают! Человека, не слишком знакомого с инструментарием системного администратора, это может повергнуть просто в шок! Ну а если на компьютере пользователя не запрещены java-аплеты, то ему можно даже показать окошко со списком файлов на его жестком диске. Это локальная и безопасная операция, — список этот увидит только пользователь компьютера, эта информация в сеть не поступает, но пользователь этого может и не знать, поскольку выглядит все это это — как на вебстранице, к тому же человек уже находится «под впечатлением» предыдущих шагов.

Ну а если в системе еще и окажется пара настоящих (пусть даже не слишком крупных) «дыр» в защите (например, открытый доступ к принтеру из сети), то тут уж можно «поглумиться вволю», — например на «расшаренном» принтере можно напечатать страницу с текстом какой-нибудь «хакерской угрозы», или «ироничного приветствия ламеру».

Узрев такое, незадачливый пользователь может и откровенно запаниковать…

Ну а для чего все это делается? Конечно же для «впаривания» не слишком опытному, но зато сильно впечатлительному «юзеру» какой-нибудь в лучшем случае бесполезной утилиты якобы «для повышения безопасности», — и разумеется, за «символическую плату». Бывают случаи, когда под видом таких программ люди получают трояны или другие вредоносные модули.

В последнее время огромное распространение получили также фальшивые антивирусные приложения, распространители которых действуют по аналогичной схеме: потенциальной жертве предлагают проверить компьютер на наличие вирусов или шпионских программ (Adware, Spyware) с помощью бесплатных утилит, полученных либо в спамовых рассылках, либо путем загрузки с сайтов фальшивых антивирусных лабораторий. Причем если раньше подобные трюки были характерны в основном для «клубничных», хакерских и прочих явно сомнительных ресурсов, то, начиная с 2008 года в западном секторе Интернета, а с 2009-го и у нас, это явление все чаще и чаще наблюдается на вполне «благопристойных» порталах. Иногда такие программы распространяются также и относительно «пассивным» (но от того ничуть не менее эффективным) способом, — например, их «разбрасывают» по форумам и бесплатным файлообменникам и каталогам, сопровождая липовыми восторженными отзывами и рекомендациями.

Ситуация осложняется тем, что создатели фальшивых антивирусников умело спекулируют на созвучии и подобии: они называют свои подставные «творения» созвучно настоящим и оформляют их внешне также похоже, а иногда — даже и более профессионально с точки зрения дизайна. Например, известная программа SpyBot SD, которая пользуется заслуженной репутацией в Интернете (и которую я и сам иногда использовал в ситуациях, когда мне требовалась дополнительная проверка компьютера), внешне, — если оценивать ее по меню, — выглядит куда более «кустарно», чем мошеннические программы Anti-SpyWare Pro, или Windows Police, которые буквально «подкупают» пользователей своим эффектным дизайном.

В последнее время в Интернете часто сообщается о всё более «дерзких» подделках.

Например, в сентябре 2009 года антивирусная лаборатория McAfee официально сообщила о появившемся в Интернете «двойнике» своего продукта, — приложении «AntiVirus Pro» использующем логотипы и иконки антивирусника McAfee, что усыпило бдительность многих людей. Это приложение постоянно выдает сообщения о якобы найденных вирусах и предлагает обновить программу за деньги, или купить «коммерческую версию».

Другой, еще более дерзкий случай мошенничества — программа Total Security 2009, которая… продавалась аж за 79.95 евро. Более того, за пару десятков евро жертвам предлагается еще и оформить «сервис улучшенной техподдержки». Причем характерно, что эта программа не просто информирует жертву о наличии «вирусов» и «угроз», но блокирует компьютер под благовидным предлогом сохранения безопасности данных. Пользователю буквально ничего не остается, кроме как оплатить серийный номер, и, что самое курьезное — после оплаты этого «выкупа» серийный номер действительно приходит, и работоспособность компьютера восстанавливается, хотя фальшивый антивирусник остается в системе. И это вдвойне опасно и обидно: во-первых, жертва платит, по сути выкуп шантажисту (хотя часто и не понимает этого), а во-вторых, жертва теряет бдительность и оставляет свой компьютер беззащитным, полагая, что «теперь-то он защищен самым надежным и продвинутым антивирусным пакетом».

Как уберечься от подобных «разводов»? Может быть это звучит несколько банально, однако, совет номер один:

1) Сохраняйте хладнокровие, и в вопросах безопасности доверяйте только информации из проверенных, известных и квалифицированных источников.

Например, не спешите удалять файлы из системной директории,- даже если Вам это советуют друзья, — доверяйте известным антивирусным лабораториям,- они не так уж плохо справляются со своими обязанностями.

Кроме того:

2) Следует проявлять бОльшую воздержанность и осмотрительность при установке на компьютер антивирусного и антишпионского программного обеспечения, особенно если программы эти бесплатны, а производитель неизвестен. К названию программ следует подходить особенно осторожно, потому что мошенники часто спекулируют (и в дальнейшем видимо будут еще чаще спекулировать) на созвучии.

Например, сравните: Max AntiSpyware Pro — это (на момент написания данных слов) настоящая антишпионская программа (кстати, платная), а Max AntiSpy Pro — это фальшивка, которая аннонсируется как бесплатный продукт для проверки компьютера, и которая после проверки обнаруживает огромную кучу мнимых уязвимостей и «вирусов» и требует денег за «лечение, пугая и шантажируя пользователя «ужасными последствиями»…

3) Не следует также «западать» на знакомые логотипы антивирусных лабораторий. Они сами по себе ничего не гарантируют и могут использоваться злоумышленниками для создания своих фальшивок.

4) Нужно отчетливо понимать, что бесплатное антивирусное и антишпионское программное обеспечение, в большинстве случаев не может использоваться в качестве основной защиты компьютера, и что прибегать к нему нужно лишь в особых случаях, когда на это есть веские причины.

Говоря другими словами, не нужно быть «параноиком»: если компьютер работает нормально, более-менее устойчиво, и основной антивирусный пакет (Касперский, Dr Web, Norton — неважно что вы предпочитаете) не «бьет тревогу», то «честные» дополнительные антивирусные программы (тем более бесплатные) могут обнаружить ну разве что пару-тройку дополнительных уязвимостей (причем скорее всего, они не будут фатально опасными). Исключения, конечно, возможны (и я сам с ними сталкивался), но это все же большая редкость. Исключение — это не правило. И если вы все же решили установить дополнительный бесплатный антивирусник на свой компьютер, а он тут же «выявил» у вас дюжину-другую критичных и опаснейших проблем, которые якобы «несовместимы с жизнью операционной системы», — то это прежде всего повод остыть и призадуматься: а не попались ли вы на крючок очередному «доброхоту», желающему поправить свое материальное положение за ваш счет.

5) Если «антивирусник» (который еще 5 минут назад, при установке, называл себя «бесплатным») требует денег за лечение, то это дополнительный серьезный повод для сомнений..

Например, обратите внимание, что упоминаемая выше программа SpyBot SD, не требует денег за лечение компьютера, даже если что-то подозрительное в нем и находит, и, кроме того, эта программа создает Backup-копию, чтобы в случае чего (если подозрения окажутся напрасными, и «под горячую руку» попадет какой-то вполне «добропорядочный» процесс или файл), пользователь мог «откатиться назад», то есть отменить произведенные изменения. Так же в идеале должны поступать и другие подобные программы, если они действительно заботятся о благе пользователя, а не о пополнении карманов своих создателей. Любое (тем более ультимативное) требование денег за «лечение», да еще и авансом — это серьезный повод усомниться в честности намерений.

6) Старайтесь более критично относиться к форумным рекомендациям и отзывам на «бесплатных файловых барахолках» — и то и другое может быть частью «театрализованного представления» одного или нескольких актеров, заинтересованных в распространении фальшивого антивирусника, или другой вредоносной программы под видом «новой супер-пупер-полезной» утилиты. (Подробнее о «форумных разводах» можно прочитать здесь). Если Вам не чужда забота о безопасности и спокойной жизни в Интернете, то вообще возьмите себе за правило: по умолчанию относиться к бесплатным программам с подозрением. Устанавливать такие программы на компьютер в наше время можно лишь: 1) при действительно имеющейся острой необходимости (не нужно тестировать хорошо работающий компьютер «просто так, на всякий случай», если на нем уже установлен необходимый комплект безопасности); 2) по «железным» рекомендациям, желательно из нескольких независимых источников.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.