Статья

Вирусные аналитики: Все о Trojan.Encoder и Trojan.Winlock

Безопасность Стратегия безопасности Техническая защита Пользователю
мобильная версия

Уровень распространения вредоносных программ в России по-прежнему остается высоким. Среди них не последнее место занимают "троянские кони", препятствующие нормальной работе компьютера и вымогающие у пользователя деньги. Об одном из таких "продуктов" – Trojan.encoder, а также о перспективах появления новых угроз ИБ для компьютеров и мобильных устройств рассказывают представители компании "Доктор Веб" – руководитель отдела антивирусных разработок и исследований Сергей Комаров и вирусный аналитик Владимир Мартьянов.

CNews: Расскажите, как началась история троянца Trojan.Encoder. Были ли раньше в опыте вирусной лаборатории случаи, аналогичные с Trojan.Encoder?

Владимир Мартьянов: Впервые троян-шифровальщик заявил о себе летом примерно два - два с половиной года тому назад. Тогда на компьютерах нескольких известных людей он шифровал документы и требовал выкуп за их расшифровку. Первый всплеск его активности, что характерно, был в России. "Доктор Веб" достаточно быстро справился с этой программой и выпустил утилиту для расшифровки. Однако автор вируса создал еще несколько версий, увеличивая разрядность шифрования до 128 бит и стараясь сделать невзламываемую программу. В январе 2009 году мы обнаружили уже 34-ую модификацию троянца, которую выпустил автор, называющий себя "Корректор". После нее новые версии выходили приблизительно раз в месяц. В конце июля - начале августа мы стали фиксировать рост числа обращений в компанию, связанных с шифрованием файлов троянской программой, причем дело доходило до выпуска 2-3 новых модификаций вируса в неделю. Сейчас автором этого Trojan.encoder выпущено 11 вариантов, то есть в троянце используется 11 различных ключей шифрования. Через некоторое время наступило затишье, но уже 8 октября мы столкнулись уже с 47-й версией "троянского коня", причем это был представитель нового подсемейства, отличающийся от предыдущих образцов.

CNews: В чем состоит технологическое новшество данного троянца по сравнению с другими существующими вредоносными программами? Чем продукт примечателен для вирусного аналитика?

Сергей Комаров: Мы видим, что в 99% или 100% сегодняшних обращений от пользователей шифрование не очень стойкое. У нас нет проблем с расшифровкой файлов, и мы можем сказать, что с точки зрения технологии наблюдается тенденция к упрощению троянца. Автор, скорее всего, берет массовостью распространения вируса. Даже если 10% пользователей заплатят выкуп за расшифровку, ему этого будет достаточно. Замечу, что первая троянская программа выпускалась для того, чтобы, используя сильный алгоритм шифрования, создать вирус-вымогатель, и при этом никто, кроме его автора, не смог бы разработать расшифровывающую утилиту. Сейчас, судя по всему, такой цели нет, и, наверное, это стратегически правильно для вирусописателей, потому что внимания к таким авторам гораздо меньше.


Сергей Комаров: Троянцы-вымогатели – это самые популярные сейчас виды вредоносных программ

Автором первого Trojan.Encoder заинтересовались "органы", и резонанс был достаточно сильным, потому что пользователи сталкивались с серьезной угрозой их файлам. Им оставалось или обратиться к вирусописателю, или остаться без доступа к данным. Нам неизвестны результаты расследования этого инцидента, но стратегия создания Trojan.encoder поменялась. Скорее всего, этим занимаются уже другие люди.

CNews: Насколько быстро специалистам компании удается выпускать утилиты для дешифровки файлов?

Владимир Мартьянов: В данном случае все зависит от того, насколько быстро в лабораторию попадает сэмпл – образец вируса. Один раз мы ждали больше недели. Если мы получаем его, то, чтобы добавить ключи шифрования и другую информацию, нужно не более 2-3 минут. Однако у этого троянца есть и свои особенности: он шифровал файлы не целиком, а только частично. Мы выяснили это не сразу, полагая, что это ошибка автора. Тем не менее, в итоге выяснилось, что так и было задумано. Другой комичный случай произошел, когда один из пострадавших от троянца, написанного "Корректором", заплатил автору деньги и получил утилиту для расшифровки файлов. Однако она не запустилась на его компьютере с установленной Windows Vista. Он рассказал об этом вирусописателю, на что тот развел руками и посоветовал скачать бесплатный дешифровщик с сайта компании "Доктор Веб".

СNews: Изменились ли способы распространения троянца-шифровальщика?

Владимир Мартьянов: Последняя модификация троянца рассылалась по ICQ со взломанных аккаунтов. Пользователям поступало сообщение, содержащее ссылку на каталог на веб-сайте, замаскированную под графическое изображение. При открытии сайта на компьютер загружался файл index.html, сохранявшийся под именем файла с исполняемым расширением. До этого пользователи сообщали о том, что заражались троянцем при использовании одной из программ для поднятия рейтинга в социальной сети "ВКонтакте". Еще один случай был связан с варез-ресурсом.


Владимир Мартьянов: Первый всплеск активности трояна-шифровальщика был в России

Trojan.encoder, созданный "Корректором", распространялся по Email через письма с фальшивыми открытками якобы от сервиса Mail.ru. При их просмотре пользователю выдавалось сообщение о необходимости установки кодека. Во всех случаях троянская программа шифровала все пользовательские данные – текстовые документы, изображения, музыку, видео. В одной из версий в 47-ом подсемействе "троянский конь" зачем-то шифровал файлы с расширением .bin. Учитывая, что файлы с таким расширением находятся в системных каталогах, пользователю сразу же выдавалось сообщение о замене системных файлов. Это было ошибкой создателя, и больше он так не поступал. Отметим, что в его разработке кроме социальной инженерии не используются никакие другие уязвимости.

CNews: Какой примерный ущерб был от действий троянца? Пострадали ли от него только конечные пользователи или были случаи и в компаниях?

Сергей Комаров: Это нереально оценить. Мы можем сообщить количество обращений в компанию – с августа их было около 200, а на пике активности – до 20 запросов в день. В принципе, Trojan.Encoder и другой вымогатель, Trojan.Winlock – это основные тренды этого года, причем заражаются ими и коммерческие организации, и административные органы. Однозначно, троянцы-вымогатели – это самые популярные сейчас виды вредоносных программ, по крайней мере, в российском сегменте.

CNews: Пыталась ли компания "Доктор Веб" выйти на автора вируса и к каким результатам это привело? Почему до сих пор местоположение автора остается неизвестным?

Сергей Комаров: На самом деле компания не пыталась связаться с "Корректором", и никаких централизованных шагов не предпринималось. Действительно, несколько сотрудников самостоятельно решили выйти на контакт с ним, но это ни к чему не привело. Человек, выдающий себя за автора вируса, не позволил ничего про себя узнать. Найти его можно только по запросу правоохранительных органов, а для заведения уголовного дела нужно хотя бы одно заявление от пострадавших. Мы не знаем, были ли они написаны, но в любом случае, если этот вирусописатель использует какие-либо средства для анонимизации своего компьютера, вычислить его местонахождение довольно проблематично. Пользователи, которые часто к нам обращаются, уже переустановили свою систему, и на их компьютерах нет следов этого троянца. Кроме того, некоторые из них просто не хотят обращаться в милицию.

CNews: Недавно появилась информация, что автор троянца использует образ компании в своих продуктах в целях "черных PR-технологий", например, подменяет почту, прикрываясь именем сотрудника компании. Расскажите, пожалуйста, об этом инциденте.

Владимир Мартьянов: У "Корректора" действительно был сайт, оформленный в фирменном стиле "Доктор Веб", и с похожим названием – "Добрый доктор" или "Компьютерный доктор". Инцидент с письмами имел место тогда, когда мы стали искать один сэмпл троянца и вышли на связь с якобы пострадавшей. От нее мы получили ссылку на загрузку файла, который я запустил на виртуальной машине. Он не производил операции шифрования, а выводил нецензурные высказывания в мой адрес. Буквально спустя несколько часов после этого на официальном форуме компании стали появляться сообщения, что от имени сотрудников производится почтовая рассылка.