+7(499)-938-42-58 Москва
8(800)-333-37-98 Горячая линия

Вымогательство в сети Интернет с помощью троянов

Содержание

Как работает троян?

Вымогательство в сети Интернет с помощью троянов

Как работает троян?

Принцип работы трояна можно заключить в нескольких общих целях, ради которых он создаётся:

  • проникнуть в систему в качестве легального объекта
  • закрепиться и обосноваться в системе в виде «официально» или скрытого от глаз работающего приложения
  • настроить работу приложений или изменить настройки системы так, чтобы хакер смог доустановить дополнительное зловредное ПО или использовать уже имеющиеся службы/возможности в своих деструктивных целях.

Все известные типы троянов

Какие цели преследует хакер? Об этом написано в статье Что такое троян. Как из неё следует, характер целей может быть и таким, что жертва может и не подозревать о том, что его/её компьютер инфицирован.

Действие трояна (1), описанного в статье Троян Нет свободного места на диске, написанного на С++, конечно, слишком очевидно и последними версиями антивирусных пакетов порой легко определяется (в том виде, как в статье описан).

Хуже, если вы имеете дело (2) с различными командами VBScript – программируемого языка Windows, команды которого априори системой за действия вируса не воспринимаются – а значит и антивирусы здесь бессильны.

Много с помощью VBScript-а не достичь, но с его помощью можно легко отвлечь жертву от параллельных процессов в системе. Троянцем (3) может быть и вредоносная ссылка на зловредном ресурсе, на котором ваш браузер уже ждут…

Рассмотрим традиционный путь, который проходит троян с момента написания

  • Хакер пишет тело (исполняющий код) трояна с использованием языка программирования (если очень неглуп), специального инструмента, например, Trojan Horse Construction Kit или создать в среде Metasploitable.
  • Создаётся «дроппер» или попросту «пипетка», в которой описываются пути, где троян будет жить и откуда запускаться.
  • Троян способен захватить компьютер жертвы полностью. Хотите на это посмотреть? Вот что умеет знаменитый RAT-троян Dark Comet. В статье Как написать троян на VBScript можно познакомиться с работой трояна, чьё действие никак не мешает пользователю, однако может принести серьёзный ущерб безопасности.

ПО АНАЛОГИИ

Всем известны кадры из медицинских источников, когда врачи с помощью инъекции искусственно проникают сквозь оболочку живой клетки, внедряя чужеродные клетки. В операционной системе процесс внедрения трояна аналогичен.

Состав дроппера включает в себя несколько файлов, которые могут состоять из ключей реестра или установщика:

Целевая папка установки и наименование самого процесса-трояна. Обычно подделываются наиболее встречающиеся, среди которых – настоящих – легко затеряться; часто от этого страдает процесс svchost. Он либо подвергается заражению:

Обратите внимание, как под него троян замаскируется:

похожи, как близнецы, но только на первый взгляд…

среди настоящих процессов легко затеряться…

Чтобы троян запускался всякий раз с системой, его нужно прописать в автозагрузке. Это происходит не так явно, но чтобы вы поняли.

Ветка автозапуска Windows в реестре модернизируется:

всё бы хорошо, но настоящий браузер имеет названием iexplore.exe

В дроппере прописывается и вредоносный код, где часто содержится и адрес сервера, куда троян будет “скидывать инфу”. Но особо обольщаться также не стоит – IP клиента, на который пойдут пароли от ваших соцсетей или почтовых адресов может оказаться лишь частью ботнета, после чего реальная дроп-зона (точка сбора или район высадки) хакера может бесследно потеряться.

Программы для удаления трояна

Упаковщик для трояна

Финальный штрих троянского коня, к которому, впрочем, нельзя относиться спустя рукава, называется упаковщиком. Да, троян в систему жертвы нужно как-то доставить. И всегда предполагается, что пользователь не простачок, который скачивает из сети всё подряд, без оглядки нажимая на все видимые ссылки.

Хакер понимает, что его, жертву, нужно чем-то заманить, а приманке придать соответствующий вид. Это уже вопросы социальной инженерии.

Один из простейших примеров такой “заманюхи” описан в статье Как спрятать файл внутри изображения? и Как спрятать файл в рисунок? Ну кто откажется посмотреть фотографию обнажённой красотки, с которой он недавно познакомился в сети… Вы откажетесь от поздравления с Днём рождения от Вроде-что-то-про-неё-слышал Фирмы с многообещающим призом по ссылке внизу страницы? Это тоже не последний этап в деле пропаганды зловредных файла или ссылки: “вредоносное” фото в личку или по почте – это работа с конкретной жертвой; а вот файл взломаю_любой_пароль_соцсети.exe – это уже массовая наживка для глупых любителей “отомстить-подглядеть“. Фишинговые сайты, где можно потерять пароли к картам или учётным записям, это удел серьёзных хакеров – или считающих так, но смысл абсолютно такой же.

Как работает троян? Что происходит на компьютере жертвы?

Внешне всё аккуратно. В процессе установки “классной” программки или распаковки файлов с фотографиями красивой девушки фоном продолжается установка и трояна. По путям, вам известным по первым абзацам.

К слову сказать, это первый этап компрометирования вашего компьютера, так что объём установленных изменений обычно не вызовет подозрений: что весят маленькие файлы редактора реестра или легковесные exe-шники? А между тем, жертва послушно соглашается с установщиком “всемогущего взломщика почты” в предвкушении процесса, отвергая предупреждения UAC Windows и пропуская троян во все уголки системы

Всё. Продолжая тему разговора, программа для отвлечения пользователя может действительно что-то выполнять, а фотографии и правда могут быть очень пикантными… Переписка с жертвой будет продолжаться, утилита будет выдавать ошибки, ссылаясь под благовидным предлогом на устаревшую версию Framework от Windows или недостающие библиотеки .dll.

А троян сидит и ждёт своего часа. Вот так выглядит типичная схема того, как работает троян и как он попадает в компьютер жертвы :

Кстати, вы можете прямо сейчас проверить, устарел ли ваш .NET. Наберите в cmd команду:

dir /b %windir%\Microsoft.NET\Framework\v*

Как работает троян? В каком виде хакер подсунет его вам?

Если вы прочитали предыдущие абзацы, то вопрос потерял смысл. В любом. Но обратимся к статистике. Вот самые распространённые трояны от хакеров (расположил в порядке убывания):

  • легальное ПО с незаметным “сюрпризом” в качестве привеска
  • откровенно поддельные программы
  • скачанные файлы из сети
  • поддельные или подозрительные сайты; торренты
  • NetBIOS
  • мессенджеры и чаты
  • физический доступ к компьютеру в отсутствие хозяина
  • баги браузеров

Пока всё. В следующий раз рассмотрим работу и создание конкретных троянов и бэкдоров.

Успехов нам всем.

Источник: https://computer76.ru/2016/12/01/kak-rabotaet-troyan/

Вирусы-вымогатели: как они работают и как от них избавиться

Вымогательство в сети Интернет с помощью троянов

«Расшифруем файлы», «восстановим базу 1С», «удалим вирус-вымогатель» – такими объявлениями кишит Яндекс, откликаясь на запросы пользователей, ставших жертвами хакеров. Стоит только вбить в поисковик: «вирус вымогатель удалить». Так и DarkNet заполнен предложениями о покупке вредоносных шифровальщиков – цена вопроса всего несколько сотен долларов, а нажива может быть куда больше.

А недавно интернет всколыхнула новость о появлении нового вируса-вымогателя Djvu. Зловредное ПО буквально в несколько шагов подчиняет себе зараженный компьютер и усыпляет бдительность пользователя, маскируясь под обновление системы Windows.

И вот уже работа машины заблокирована, а на мониторе высвечивается месседж хакеров с требованием выкупа за разблокировку с издевательским предложением: заплатите быстро – сделаем скидку. Способа вернуть себе данные без помощи хакеров пока не найдено, гласит сообщение о коварном «дежавю».

Но экспертов в области кибербезопасности эта новость не шокировала и не удивила. Да и не новость это для них. Вирусов‑шифровальщиков сотни тысяч, и Djvu – лишь очередная модернизация вредоносного ПО (ВПО) определенного семейства.

Специально для «Профиля» эксперты составили топ‑5 этих семейств и рассказали, как действуют кибервымогатели и как с ними бороться.

Ощущение дежавю

Djvu относится к семейству вирусов‑шифровальщиков STOP. Первые сообщения о новом ВПО появились еще в середине декабря прошлого года. Сам по себе «дежавю» неуникален, отмечают все опрошенные «Профилем» эксперты.

Интересны отличительные особенности семейства, но они известны давно.

Эти троянцы не только шифруют данные, но еще и маскируют свои действия под легальное ПО, отвлекая внимание жертвы, не давая искать помощь через различные интернет-ресурсы.

Примерно так действовала троянская программа DNS Changer, заразившая 4 млн машин в 2011 году, приводит пример директор экспертного центра безопасности (PT Expert Security Center) Positive Technologies Алексей Новиков. А вирус Conficker еще 10 лет назад атаковал десятки миллионов компьютеров, отключая службу обновления и сервис Windows Defender.

«Вирус распространяется вместе с программой, предназначенной для взлома ПО (так называемый crack), и с рекламными расширениями для браузеров», – пояснил эксперт.

В целом о программах-вымогателях стало известно еще в конце 80‑х прошлого века, когда появился вирус AIDS (или PC Cyborg), рассказали в специализирующейся на предотвращении кибератак компании Group-IB. Вирус скрывал каталоги, шифровал файлы и требовал $200 за «продление лицензии».

Самым распространенным считается CryptoLocker, который заразил более четверти миллиона компьютеров в странах Евросоюза начиная с 2013 года. А в мае 2017 года шифровальщик WannaCry атаковал 200 тыс. компьютеров в 150 странах мира. Ущерб оценили в $1 млрд.

Но и это мало кого научило делать резервные копии данных, сетуют эксперты.

Самые разные модификации вирусов‑шифровальщиков встречаются сотнями каждый день, отмечает заместитель руководителя лаборатории компьютерной криминалистики Group-IB Сергей Никитин.

«Не было недели, чтобы к нам не обращались два-три атакованных вымогателями клиента, – говорит он и констатирует: – Вирусы-вымогатели – это настоящий бич». Еще в 2016 году компания зафиксировала, что число атак вымогателей по сравнению с предыдущим годом увеличилось в 100 раз.

А по статистике «Лаборатории Касперского», в третьем квартале прошлого года продукты только этой компании «защитили более 250 тысяч уникальных пользователей от троянцев‑шифровальщиков».

По данным Positive Technologies, в прошлом году средняя доля заражений шифровальщиками от всех видов кибератак составляла 12% в квартал. Вести подсчет вирусов бессмысленно, считает Сергей Никитин, – самые разные модификации вирусов‑шифровальщиков встречаются сотнями каждый день, они эволюционируют и совершенствуются, чтобы обходить антивирусные движки.

Объявление о сдаче трояна-вымогателя в аренду

Киберкриминальная эволюция

Кибервымогательство активно развивается по всему миру. В России рост этого вида атак специалисты Group-IB зафиксировали с весны прошлого года. Косвенно растущая популярность шантажа подтверждается исследованиями DarkNet, анализ криминальных услуг которого в прошлом году сделали эксперты Positive Technologies.

Согласно этому исследованию, 12% всех объявлений о продаже ВПО приходится на долю шифровальщиков. Средняя стоимость вируса всего $270. «Какой-нибудь Kit может стоить $3–5 тыс., но есть и дороже, – приводит пример Сергей Никитин. – Точно так же в DarkNet продается куча учетных записей к различным серверам, логины, пароли и т. д.

Часто злодеи выкупают эти базы и просто начинают по ним ходить и шифровать все подряд, а потом смотреть, кто заплатит».

При этом хакерский рынок «услуг» совершенствуется, стремясь увеличить свой доход. Так, в последнее время в DarkNet начала распространяться специальная «партнерская программа» от разработчиков шифровальщиков, рассказывает Алексей Новиков.

Продавец передает покупателю персонифицированный файл шифровальщика и ссылку для доступа в личный кабинет. В этом кабинете отображается статистика по зараженным узлам и осуществленным выплатам. Задача покупателя – распространить троян.

«Когда жертва атак с использованием данного экземпляра трояна оплачивает выкуп, продавец перечисляет выплату распространителю за вычетом своей доли», – объясняет эксперт.

Именно так распространяются шифровальщики GandCrab, Tantalus, Aleta, Princess, Rapid, Scarab, Sphinx, Lovecraft, Onyonlock и другие.

«Получивший в прошлом году широкое распространение шифровальщик GandСrab только за апрель–май 2018 года принес злоумышленникам свыше $700 000», – привел пример заработка злоумышленников эксперт.

Стандартную схему заражения вирусом-вымогателем описал Сергей Никитин. Пользователи получают почтовую рассылку, открывают вложения, письма заражаются вирусом, который похищает логины и пароли из оперативной памяти и распространяется на другие компьютеры.

Такая цепочка действий ВПО приводит к тому, что в компании может быть зашифрована, например, база 1С и работа встанет, объясняет эксперт. «Бывает, что злодеи сначала изучают инфраструктуру своей жертвы, – продолжает он.

– Например, если обнаружат сервер резервных копий, то запросят за его дешифровку одну цену выкупа (ведь с помощью резервных копий можно восстановить все остальное), малозначительный компьютер будет, соответственно, и стоить куда меньше».

Появились и специфические атаки. Часто злоумышленники подбирают пароли к удаленному рабочему столу, который оставили системные администраторы для собственного удобства. После чего эти пароли попадают в Darknet, где их может купить кто угодно.

В значительном числе случаев заражение происходило путем предварительной компрометации серверов и рабочих станций, добавляет Алексей Новиков. «Сервера чаще всего шифровали, так как они подключались к интернету напрямую, а на рабочие станции вирус попадал через фишинговые рассылки», – говорит он.

Напомним, что фишинг – один из распространенных видов кибермошенничества, когда под видом легальных официальных сайтов распространяются хакерские подделки.

Кроме того, специалисты отмечают, что в последнее время произошел качественный сдвиг в пользу распространения атак подобного рода.

«Вирусы-шифровальщики стали использовать асимметричное стойкое шифрование (алгоритм RSA, например, – всеми проверенный, его точно не взломать), – говорит Сергей Никитин.

– Кроме того, часть этих вирусов стала получать функционал «червей». Они похищают логины и пароли и с их помощью пытаются зашифровать и другие компьютеры в Сети».

Именно в использовании асимметричного шифрования и заключается самая главная проблема – расшифровать вирус самостоятельно, как правило, невозможно. При симметричном шифровании информации, объясняет эксперт, секретный ключ можно обнаружить. Асимметричное предполагает создание двух ключей – открытого и закрытого.

С помощью первого, всем известного, происходит шифрование, а второй, для расшифровки, есть только у хакеров. Причем алгоритмы стойкого шифрования для блокировки данных злоумышленники берут из официальных библиотек. А алгоритмы для расшифровки хакеры пишут сами.

Но поскольку спрос куда больше на программы-шифровальщики, то расшифровке уделяется куда меньше внимания, отлаживаются такие программы куда хуже и менее пристально.

Выкуп: платить или не платить?

А если расшифровать невозможно, то вымогателям придется платить? Выкуп устанавливается распространителями шифровальщика обычно самостоятельно и составляет $200–500, говорит Алексей Новиков.

Но, как правило, выкуп просят в биткойнах.

Например, за расшифровку вируса Petya, атаковавшего в 2017 году Украину и попутно задевшего ряд компаний в России, США, Индии и Австралии, злоумышленники требовали 100 биткойнов, что в то время составляло $250 тыс.

Эксперты единогласно заявляют: платить вымогателям не стоит, так как это означает спонсировать их «творческую» деятельность. А что делать, если зашифрован сервер с резервными копиями и восстановить данные уже невозможно? Но даже если пойти на поводу у шантажистов, никаких гарантий разблокировки нет, говорит Сергей Никитин. Вот самые распространенные сценарии.

Преступники могут или повысить цену выкупа, или вовсе не выйти на связь со своей жертвой после оплаты, или оставить в системе «закладку», которая позволит спустя какое-то время повторить трюк с вымогательством. Часто бывает так, что после перечисления денег хакеры присылают программу-дешифратор, но она не работает.

Происходит это именно потому, что в разработку расшифровки никто толком не вкладывается, это невыгодно.

Согласно исследованиям IBM, до 70% опрошенных американских компаний выплачивали выкуп, чтобы восстановить свои данные. Российские компании тоже так часто поступают, говорит Алексей Новиков. При этом чаще всего атакуют малый и средний бизнес.

«Крупные компании могут себе позволить защитные решения класса «песочница», – объясняет эту тенденцию Сергей Никитин. Заражение происходит в основном через почтовые рассылки. И «песочница» сама открывает письма и вложения, смотрит, что произойдет, объясняет эксперт. Если начинается шифрование, то письмо просто не дойдет до получателя.

Стоит такая «песочница» от 1 млн до 10 млн рублей. Понятно, что позволить ее себе может не каждый.

Но и для людей среднего достатка есть способы избежать кибершантажа. Если заражение уже произошло, то стоит попробовать подобрать нужную утилиту для расшифровки данных на специально созданном для этого бесплатном портале NoMoreRansom.org, советует антивирусный эксперт «Лаборатории Касперского» Орхан Мамедов.

Кроме того, есть куча предложений от разных компаний по помощи в расшифровке данных и удалению вируса. Но это, предупреждает Сергей Никитин, обычные посредники, которые выходят на связь с преступниками и выторговывают у них скидку. В итоге жертва заплатит не 100%, а 90% от выкупа.

В соучастии таких посредников не обвинишь, формально они действуют легально, заключая с пострадавшими договоры на оказание «консалтинговых услуг».

Самый надежный способ не допустить вымогательства – предотвратить его.

Вот несколько рекомендаций от Орхана Мамедова: загружать ПО только из проверенных источников; не открывать подозрительные почтовые вложения; не переходить по сомнительным ссылкам, даже если вам их присылают знакомые; следить за обновлением ПО до последней версии; использовать надежные защитные решения; использовать сложные пароли для учетных записей; регулярно делать резервные копии важных данных и хранить их отдельно.

А еще можно застраховать себя от киберрисков, советует Алексей Новиков. «Покупка страхового полиса в данном случае может обойтись дешевле, чем выплаты вымогателям или расходы на восстановление инфраструктуры после массовой атаки шифровальщика», – рекомендует эксперт.

Читать полностью
(время чтения 5 минут )

Источник: https://profile.ru/scitech/internet/virusy-vymogateli-kak-oni-rabotayut-i-kak-ot-nix-izbavitsya-65366/

Десять способов избавиться от троянов-вымогателей и разблокировать Windows | Компьютерра

Вымогательство в сети Интернет с помощью троянов

С помощью троянов семейства Winlock, известных как «блокировщики Windows», у рядовых пользователей вымогают деньги уже более пяти лет. К настоящему времени представители этого класса вредоносных программ серьёзно эволюционировали и стали одной из самых частых проблем. Ниже предлагаются способы самостоятельной борьбы с ними и даются рекомендации по предотвращению заражения.

Появление трояна в системе обычно происходит быстро и незаметно для пользователя. Человек выполняет привычный набор действий, просматривает веб-страницы и не делает чего-то особенного. В какой-то момент просто появляется полноэкранный баннер, который не удаётся убрать обычным способом.

Картинка может быть откровенно порнографической, или наоборот – оформлена максимально строго и грозно. Итог один: в сообщении, расположенном поверх других окон, требуется перечислить указанную сумму на такой-то номер или отправить платное SMS-сообщение. Часто оно дополняется угрозами уголовного преследования или уничтожения всех данных, если пользователь не поторопится с оплатой.

Разумеется, платить вымогателям не стоит. Вместо этого можно выяснить, какому оператору сотовой связи принадлежит указанный номер, и сообщить его службе безопасности. В отдельных случаях вам даже могут сказать код разблокировки по телефону, но очень рассчитывать на это не приходится.

Методики лечения основаны на понимании тех изменений, которые троян вносит в систему. Остаётся выявить их и отменить любым удобным способом.

Голыми руками

Для некоторых троянов действительно существует код разблокировки. В редких случаях они даже честно удаляют себя полностью после ввода верного кода. Узнать его можно на соответствующих разделах сайтов антивирусных компаний – смотрите примеры ниже.

Зайти в специализированные разделы сайтов «Доктор Веб», «Лаборатории Касперского» и других разработчиков антивирусного ПО можно с другого компьютера или телефона.

После разблокировки не радуйтесь преждевременно и не выключайте компьютер. Скачайте любой бесплатный антивирус и выполните полную проверку системы. Для этого воспользуйтесь, например, утилитой Dr.Web CureIt! или Kaspersky Virus Removal Tool.

Простым коням — простые меры

Прежде чем использовать сложные методы и спецсофт, попробуйте обойтись имеющимися средствами. Вызовите диспетчер задач комбинацией клавиш {CTRL}+{ALT}+{DEL} или {CTRL}+{SHIFT}+{ESC}. Если получилось, то мы имеем дело с примитивным трояном, борьба с которым не доставит проблем. Найдите его в списке процессов и принудительно завершите.

Посторонний процесс выдаёт невнятное имя и отсутствие описания. Если сомневаетесь, просто поочерёдно выгружайте все подозрительные до исчезновения баннера.

Если диспетчер задач не вызывается, попробуйте использовать сторонний менеджер процессов через команду «Выполнить», запускаемую нажатием клавиш {Win}+{R}. Вот как выглядит подозрительный процесс в System Explorer.

Скачать программу можно с другого компьютера или даже с телефона. Она занимает всего пару мегабайт. По ссылке «проверить» происходит поиск информации о процессе в онлайновой базе данных, но обычно и так всё понятно. После закрытия баннера часто требуется перезапустить «Проводник» (процесс explorer.exe). В диспетчере задач нажмите: Файл -> Новая задача (выполнить) -> c:Windowsexplorer.exe.

Когда троян деактивирован на время сеанса, осталось найти его файлы и удалить их. Это можно сделать вручную или воспользоваться бесплатным антивирусом.

Типичное место локализации трояна – каталоги временных файлов пользователя, системы и браузера. Целесообразно всё же выполнять полную проверку, так как копии могут находиться где угодно, а беда не приходит одна. Посмотреть полный список объектов автозапуска поможет бесплатная утилита Autoruns.

Военная хитрость

Справиться с трояном на первом этапе поможет особенность в поведении некоторых стандартных программ. При виде баннера попробуйте запустить «вслепую» Блокнот или WordPad. Нажмите {WIN}+{R}, напишите notepad и нажмите {ENTER}.

Под баннером откроется новый текстовый документ. Наберите любую абракадабру и затем коротко нажмите кнопку выключения питания на системном блоке.

Все процессы, включая троянский, начнут завершаться, но выключения компьютера не произойдёт.

Останется диалоговое окно «Сохранить изменения в файле?». С этого момента на время сеанса мы избавились от баннера и можем добить трояна до перезагрузки.

Старая школа

Более продвинутые версии троянов имеют средства противодействия попыткам избавиться от них. Они блокируют запуск диспетчера задач, подменяют другие системные компоненты.

В этом случае перезагрузите компьютер и удерживайте клавишу {F8} в момент загрузки Windows. Появится окно выбора способа загрузки. Нам требуется «Безопасный режим с поддержкой командной строки» (Safe Mode with Command Prompt).

После появления консоли пишем explorer и нажимаем {ENTER} – запустится проводник. Далее пишем regedit, нажимаем {ENTER} и видим редактор реестра.

Здесь можно найти созданные трояном записи и обнаружить место, откуда происходит его автозапуск.

Реклама на Компьютерре

Чаще всего вы увидите полные пути к файлам трояна в ключах Shell и Userinit в ветке

HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon

В «Shell» троян записывается вместо explorer.exe, а в «Userinit» указывается после запятой. Копируем полное имя троянского файла в буфер обмена из первой обнаруженной записи. В командной строке пишем del, делаем пробел и вызываем правой клавишей мыши контекстное меню.

В нём выбираем команду «вставить» и нажимаем {ENTER}. Один файл трояна удалён, делаем тоже самое для второго и последующих.

Затем выполняем в реестре поиск по имени файла трояна, внимательно просматриваем все найденные записи и удаляем подозрительные. Очищаем все временные папки и корзину. Даже если всё прошло идеально, не поленитесь затем выполнить полную проверку любым антивирусом.

Если из-за трояна перестали работать сетевые подключения, попробуйте восстановить настройки Windows Sockets API утилитой AVZ.

Операция под наркозом

Со случаями серьёзного заражения бесполезно бороться из-под инфицированной системы. Логичнее загрузиться с заведомо чистой и спокойно вылечить основную.

Существуют десятки способов сделать это, но один из самых простых – воспользоваться бесплатной утилитой Kaspersky WindowsUnlocker, входящей в состав Kaspersky Rescue Disk. Как и DrWeb LiveCD, он основан на Gentoo Linux.

Файл-образ можно записать на болванку или сделать из него загрузочную флэшку утилитой Kaspersky USB Rescue Disk Maker.

Предусмотрительные пользователи делают это заблаговременно, а остальные обращаются к друзьям или идут в ближайшее интернет-кафе уже во время заражения.

При включении заражённого компьютера удерживайте клавишу для входа в BIOS. Обычно это {DEL} или {F2}, а соответствующее приглашение отображается внизу экрана. Вставьте Kaspersky Rescue Disk или загрузочную флэшку.

В настройках загрузки (Boot options) выберите первым загрузочным устройством привод оптических дисков или флэшку (иногда она может отображаться в раскрываемом списке HDD). Сохраните изменения {F10} и выйдите из BIOS.

Современные версии BIOS позволяют выбирать загрузочное устройство на лету, без входа в основные настройки. Для этого требуется нажать {F12}, {F11} либо сочетание клавиш – подробнее смотрите в сообщении на экране, в инструкции к материнской плате или ноутбуку. После перезагрузки начнётся запуск Kaspersky Rescue Disk.

Доступен русский язык, а лечение можно выполнить в автоматическом или ручном режиме – смотрите пошаговую инструкцию на сайте разработчика.

Борьба на раннем этапе

Отдельный подкласс составляют трояны, поражающие главную загрузочную запись (MBR). Они появляются до загрузки Windows, и в секциях автозапуска вы их не найдёте.

Первый этап борьбы с ними заключается в восстановлении исходного кода MBR. В случае XP для этого загружаемся с установочного диска Windows, нажатием клавиши {R} вызываем консоль восстановления и пишем в ней команду fixmbr. Подтверждаем её клавишей {Y} и выполняем перезагрузку. Для Windows 7 аналогичная утилита называется BOOTREC.EXE, а команда fixmbr передаётся в виде параметра:

Bootrec.exe/FixMbr

После этих манипуляций система вновь загружается. Можно приступать к поиску копий трояна и средств его доставки любым антивирусом.

В крестовый поход с крестовой отвёрткой

На маломощных компьютерах и особенно ноутбуках борьба с троянами может затянуться, так как загрузка с внешних устройств затруднена, а проверка выполняется очень долго. В таких случаях просто извлеките заражённый винчестер и подключите его для лечения к другому компьютеру. Для этого удобнее воспользоваться боксами с интерфейсом eSATA или USB 3.0/2.0.

Чтобы не разносить заразу, предварительно отключаем на «лечащем» компьютере автозапуск с HDD (да и с других типов носителей не мешало бы).

Сделать это удобнее всего бесплатной утилитой AVZ, но саму проверку лучше выполнять чем-то другим. Зайдите в меню «Файл», выберите «Мастер поиска и устранения проблем». Отметьте «Системные проблемы», «Все» и нажмите «Пуск».

После этого отметьте пункт «Разрешён автозапуск с HDD» и нажмите «Исправить отмеченные проблемы».

Также перед подключением заражённого винчестера стоит убедиться, что на компьютере запущен резидентный антивирусный мониторинг с адекватными настройками и есть свежие базы.

Если разделы внешнего жёсткого диска не видны, зайдите в «Управление дисками». Для этого в окне «Пуск» -> «Выполнить» напишите diskmgmt.msc и затем нажмите {ENTER}. Разделам внешнего жёсткого диска должны быть назначены буквы. Их можно добавить вручную командой «изменить букву диска…». После этого проверьте внешний винчестер целиком.

Для предотвращения повторного заражения следует установить любой антивирус с компонентом мониторинга в режиме реального времени и придерживаться общих правил безопасности:

  • старайтесь работать из-под учётной записи с ограниченными правами;
  • пользуйтесь альтернативными браузерами – большинство заражений происходит через Internet Explorer;
  • отключайте Java-скрипты на неизвестных сайтах;
  • отключите автозапуск со сменных носителей;
  • устанавливайте программы, дополнения и обновления только с официальных сайтов разработчиков;
  • всегда обращайте внимание на то, куда на самом деле ведёт предлагаемая ссылка;
  • блокируйте нежелательные всплывающие окна с помощью дополнений для браузера или отдельных программ;
  • своевременно устанавливайте обновления браузеров, общих и системных компонентов;
  • выделите под систему отдельный дисковый раздел, а пользовательские файлы храните на другом.

Следование последней рекомендации даёт возможность делать небольшие образы системного раздела (программами Symantec Ghost, Acronis True Image, Paragon Backup and Recovery или хотя бы стандартным средством Windows «Архивация и восстановление»). Они помогут гарантированно восстановить работу компьютера за считанные минуты независимо от того, чем он заражён и могут ли антивирусы определить трояна.

В статье приведены лишь основные методы и общие сведения. Если вас заинтересовала тема, посетите сайт проекта GreenFlash. На страницах форума вы найдёте множество интересных решений и советы по созданию мультизагрузочной флэшки на все случаи жизни.

Распространение троянов Winlock не ограничено Россией и ближним зарубежьем. Их модификации существуют практически на всех языках, включая арабский. Помимо Windows, заражать подобными троянами пытаются и Mac OS X.

Пользователям Linux не дано испытать радость от победы над коварным врагом. Архитектура данного семейства операционных систем не позволяет написать сколь-нибудь эффективный и универсальный X-lock.

Впрочем, «поиграть в доктора» можно и на виртуальной машине с гостевой ОС Windows.

Источник: https://www.computerra.ru/183962/trojan-windows-unlocking/

Вымогательство и угрозы через интернет или по телефону

Вымогательство в сети Интернет с помощью троянов

В XXI век интернета и гаджетов преступление вымогательство приобретает новые формы. Резко возросла возможность безнаказанно не только оскорблять, но и, угрожая, требовать.

Правоохранительные структуры завалены заявлениями и обращениями об угрозах, клевете, оскорблениях и мошенничестве.

Подобные деяния оставлять без ответа и первое что следует сделать – это обратиться в полицию за защитой.

Для этого нужно собрать убедительные доказательства и подать заявление о вымогательстве в правоохранительные органы. Как это сделать правильно, если вымогательство происходит через интернет, телефон или в поликлинике и школе речь далее.

Вымогательство через интернет

Если у человека вымогают любые имущественные ценности, угрожая насилием – это повод немедленно обратиться в полицию.

Однако сегодня намного чаще угрожают не нанести ущерб здоровью, а публикациями интимных фотографий, попавших в руки преступников.

Фото в их руки могут попасть самыми разными путями, например, вы потеряли или у вас украли флешку или смартфон, в котором хранились личные сведения.

Хакер, даже с начальными знаниями, без труда взломает аккаунт в любой социальной сети и скачает информацию личного характера. Киберпреступники, занимающиеся подобной деятельностью много лет, способны дистанционно скачать любую информацию с домашнего ПК или ноутбука. Можно запустить шпионскую программу в эти устройства, и она круглосуточно будет записывать видео и делать фото с вэбкамеры.

Используя полученные сведения, преступник начинает вымогать у своей жертвы деньги, угрожая выложить интимные фото в интернет. Такие поступки попадают по действие статьи 163 УК РФ вымогательство, согласно которой квалифицируются подобные деяния и определяется мера ответственности:

  • наложение запретов и ограничений на срок не более 4 лет;
  • привлечение к принудительному труду на срок не более 4 лет, с наложением запретов и ограничений на срок не более 2 лет или без них;
  • содержание в строгой изоляции от общества на срок до 0,5 года;
  • принудительная изоляция на срок не более 4 лет с наложением или без штрафа в 80 тыс. руб. или в размере заработной платы или другого дохода.

Кроме того, под уголовную ответственность согласно ст.137 УК России попадают угрозы опубликовать интимные фотографии и шантажиста ждет неотвратимое наказание. Для этого, собрав необходимые доказательства, необходимо подать заявление о вымогательстве в полицию.

Противозаконные действия по сбору сведений, касающихся личной жизни человека, и их распространение с помощью сети также подлежит серьезному наказанию.

Вымогатель за попытку и распространение личных и семейных тайн человека может по решению суда получить 3-х летний срок принудительной изоляции от общества.

Дополнительно его могут ограничить в праве занимать определенные должности или заниматься отдельными видами деятельности на тот же срок.

Важно помнить, что даже удовлетворив требования вымогателя заплатить деньги, вы ничем не защищены от повторных требований выплатить деньги под той же или новой угрозой распространения порочащей информации.

Вымогательство в поликлинике или в школе

В школе, как правило, вымогательство проводится в виде сбора денег учителями с родителей на ремонт, праздник, утренник или реставрацию здания школы, который может быть утвержден директорским приказом.

Если подобное происходит с вами, обязательно поинтересуйтесь на каком основании с вас требуют деньги и, если подтверждающий этот сбор документ. Если приказ действительно существует, то что-нибудь предпринять скорее всего не получится, так как такие «сборы» обычно идут в рамках правового поля и подтверждены необходимыми актами.

Совсем по-другому квалифицируется ситуация, когда одноклассники или старшеклассники заставляют ребенка приносить в школу ценности или деньги. Эта проблема в первую очередь должна решаться через администрацию школы и классного руководителя или органы попечительства и опеки.

Обычно до этого доходит не часто, так как родители пытаются решить такую ситуацию на уровне детей и родителей. Лучшим решением будет обратиться к профессиональному адвокату, который сможет разобраться со сложившейся ситуацией и найти правильное решение в рамках закона для всех сторон конфликта.

Угрозы с целью вымогательства по телефону

В УК России указано, что угроза с целью вымогательства может выражаться как лично или в письме, так и по телефону. Основными признаками подобного преступного деяния являются:

  • требование о передаче имущественных ценностей злоумышленнику;
  • угроза нанести ущерб здоровью или имуществу жертвы, или его близким и родным.

Широко распространенным явлением стало вымогательство коллекторов. Эти люди обычно отлично знакомы с действующим законодательством и всегда, находясь «на грани закона», стараются не переступать запретную грань.

Это выражается в том, что требование о передаче имущественных ценностей есть, однако угрозы нанести ущерб здоровью или жизни отсутствуют. Как правило, угрожают не выпустить за границу, заблокировать банковские счета или что-нибудь, не попадающее под уголовную ответственность.

Если вы зафиксировали действия, попадающие под статью 163 УК РФ вымогательство, необходимо:

  • сделать аудиозапись;
  • сохранить телефонный номер, с которого был сделан звонок;
  • собрать свидетельские доказательства;
  • написать в правоохранительные органы заявление о вымогательстве;
  • к заявлению приложить собранную доказательную базу;
  • проверить регистрацию заявления в полиции.

Юридическая практика показывает, что проблему вымогательства можно решить практически в любой ситуации, какие бы компрометирующие материалы ни собрал вымогатель. Прежде чем выполнять его требования, обратитесь к профессиональному адвокату в СПб, который, разобравшись в ситуации, подскажет что и как именно нужно сделать.

Вымогательство денег: как происходит и какое будет наказание
Вымогательство взятки: особенности, отличия и виды ответственности
Правовые аспекты и нюансы вымогательства
Как доказать факт вымогательства денег

Источник: https://sstumanov.ru/vymogatelstvo-i-ugrozy-cherez-internet-ili-po-telefonu/

Троян: современный вид вымогательства в интернете. Как он воздействует на компьютер и как защититься?

Вымогательство в сети Интернет с помощью троянов

Существует множество вредоносных программ. Одними из наиболее коварных программ-вредителей являются трояны. Они получают все большее распространение. Попасться на эту удочку может практически любой пользователь, вне зависимости от уровня компьютерной грамотности.

Трояны представляют собой программы-вымогатели, относящиеся к классу Trojan-Ransom. Их основная задача – блокировка доступа пользователя к компьютерным данным или блокировка возможности пользования компьютером с требованием денежных средств за возврат к первоначальному состоянию.

Как троян воздействует на компьютер?

Любой троян наносит вред компьютеру. Но по типу выполняемых действий различаются следующие программы-вымогатели:

  1. Трояны, ограничивающие доступ к интернет-ресурсам. Чаще всего пользователю блокируют соцсети, поисковые системы Гугл и Яндекс и другие посещаемые сайты. Такой троян представляет собой вредоносное программное обеспечение, которое перенаправляет пользователя с изначальной ожидаемой страницы на страницу разработчика трояна (подробно о фарминге), где появляется окно с требованием выкупа. Обычно пользователю предлагается отправить платное смс на короткий номер, после чего злоумышленники обещают прислать код для разблокировки.
  2. Трояны, ограничивающие функционирование браузера. В данном случае в браузере появляется окно или баннер, который невозможно закрыть, мешающий работе на компьютере (или полностью парализующий работу). Пользователю так же предлагается заплатить для разблокировки браузера и его нормального функционирования.
  3. Трояны, блокирующие доступ к функциям и службам операционной системы. В данном случае становится невозможно ни завершить работу программы-вымогателя, ни открыть или закрыть любую программу, ни воспользоваться Диспетчером задач. Баннер с требованием выкупа располагается поверх остальных окон, с него невозможно переключиться даже стандартным сочетанием клавиш. После перезагрузки баннер не исчезает.
  4. Трояны, призванные ограничить пользовательские действия в операционной системе. После запуска такого трояна функционирующим остается только браузер, чтобы пользователь смог заплатить выкуп. Все остальные программы и функции блокируются, в том числе панель задач и меню.
  5. Трояны, шифрующие файлы на компьютере. Данные трояны шифруют файлы с важной информацией, таким образом блокируя к ней доступ. Требования о выкупе могут содержаться в текстовом файле, который появляется рядом с зашифрованными документами, или прямо на рабочем столе.

Чаще всего под действие таких троянов попадают файлы с расширениями doc, xls или txt.

Отличие трояна от вируса

Главное отличие трояна от вируса состоит в том, что трояны не могут распространяться и размножаться самостоятельно. Вирус – это программа, которая размножается самостоятельно, распространяясь сначала по файлам на компьютере, а затем с одного компьютера на другой. Чем дольше вирус действует, тем больше файлов он повреждает.

Троян не обладает самостоятельным механизмом распространения. Но иногда троян входит в вирусное тело и становится источником тотального заражения.

Троян и червь

Многие путают троянов и червей. Червь относится к вирусам, поскольку является их подклассом. Он так же, как и вирус, может распространяться самостоятельно. Являясь автономным программным обеспечением, червь не нуждается в каких-либо действиях пользователя при распространении, копируя сам себя и вызывая одинаковые повреждения.

Как защититься?

Лучшая защита от троянов – качественный антивирус. Необходимо вовремя устанавливать обновления и продлевать лицензию. Антивирус должен содержать функцию мониторинга в режиме реального времени.

Дополнительные меры защиты:

  • использование других браузеров, кроме Internet Explorer, поскольку именно он считается наиболее уязвимым к троянам;
  • установка программ только с официальных сайтов;
  • разделение диска на две части – под пользовательские и системные файлы;
  • проверка правильности написания адреса при переходе по ссылкам.

Если компьютер уже поражен трояном, ни в коем случае нельзя выполнять требования злоумышленников о выкупе. Если нет возможности самолично удалить вредоносную программу, необходимо обратиться в любой сервисный центр.

Попробовать подать заявление в полицию можно, но надо быть готовым к тому, что компьютер заберут на экспертизу, а дело может затянуться на долгий срок.

Загрузка…

Источник: https://pravo.team/uk-i-koap/protiv-sobstvennosti/vymogatelstvo/troyany.html

Как избавиться от шантажа в интернете

Вымогательство в сети Интернет с помощью троянов

Шантаж в сети, имея признаки вымогательства, является таким же уголовно наказуемым деянием, как и шантаж в оффлайне. Лучший способ борьбы с такими посягательствами – обращение в правоохранительные органы.

Инструменты, имеющиеся у киберполиции позволяют оперативно вычислить и установить личность, а иногда и местонахождение преступников-шантажистов.

  Что делать если тебя шантажируют в интернете, и как поставить на место шантажиста, необходимо знать заранее.

Что делать если вас шантажируют

При поступлении угроз и денежных требований в сети в обмен на непубликацию порочащих честь и достоинство гражданина материалов у потерпевшего есть несколько вариантов поведения. Он может:

  1. Обратиться в полицию. Такого рода действия могут быть квалифицированы как вымогательство. Заявление пострадавшего, согласно ст. 140 Уголовного процессуального кодекса, является основанием для открытия уголовного дела. Оно может быть принято как в устной, так и письменной форме. Правоохранители обязаны проверить изложенные обстоятельства, установить факт правонарушения и открыть дело, начав поиск преступника.
  2. Проигнорировать вымогательство. Отсутствие реакции – повод для шантажиста переключиться на другую жертву. Чем больше реакции дает адресат вымогательства, тем больше интереса проявляет вымогатель, и тем больше шансов на то, что жертва удовлетворит его требования.
  3. Заявить о своей неплатежеспособности. Если жертве удастся убедить вымогателя в том, что денег у него нет, преступник потеряет интерес.

Что будет, если заплатить и никуда не обращаться

Если жертва исправно платит запрошенные вымогателем деньги и не обращается к правоохранителям – это лучший исход дела для вымогателя. У жертвы нет никаких гарантий, что после внесения запрошенной суммы вымогатель удалит все порочащие материалы и прекратит угрожать их распространением.

Вероятнее всего, через некоторое время после проведения транзакции, мошенник снова напомнит о себе и потребует нового перевода. Чем болезненней на это будет реагировать жертва, тем больше усилий будет приложено для получения новой суммы.

Можно ли найти и наказать вымогателя

Вымогательства чаще всего совершаются по электронной почте либо через соцсети. И в том, и в другом случае шантажисты обычно используют шифровальные программы, которые скрывают их реальный IP-адрес.

Это значительно усложняет отслеживание путей отправки сообщений, а иногда делает его невозможным. Но IP – не единственный инструмент, по которому правоохранители могут отследить мошенника.

Выйти на него можно также через каналы перевода средств, через источники получения информации, которой он шантажирует жертву, иные каналы.

Самостоятельно найти и наказать вымогателя не удастся. Единственный шанс – это расследование со стороны полиции.

Уголовная ответственность за интернет-вымогательство

Шантаж в сети не имеет каких-либо отличий при квалификации от преступления, от шантажа, совершенного в оффлайне. Интернет – это канал связи с пострадавшим, суть преступления не меняется. Согласно ст. 163 УК, шантаж в сети может быть квалифицирован как вымогательство. Без квалифицирующих признаков совершение такого преступления угрожает вымогателю:

  • ограничением свободы на 4 года;
  • принудительными работами на 4 года и ограничением свободы на 2 года;
  • арестом на 6 месяцев;
  • реальным тюремным сроком до 4 лет и штрафом 80 тыс. руб.

При наличии квалифицирующих признаков преступление может быть квалифицировано по ч. 2 и 3 ст. 163 УК, что усилит ответственность. Такими признаками считается совершение проступка группой лиц, с применением насилия, в крупном или особо крупном размере, с причинением тяжкого личного вреда и т.д. Максимальное наказание составляет до 15 лет реального тюремного срока.

Как не стать жертвой

чтоб избежать взлома профилей в социальных сетях либо иных негативных последствий вымогательства в сети, рекомендуем:

  • устанавливать сложные, надежные пароли;
  • делать профиль закрытым от посторонних лиц;
  • избежать добавления в друзья посторонних;
  • не загружать интимные фото сеть и не пересылать их друзьям, не вести беседы сомнительного содержания в интернете, не делать сомнительных предложений незнакомым гражданам;
  • не вести бесед с незнакомцами, не участвовать в видеочатах;
  • немедленно сообщать администратору ресурса в случае взлома профиля;
  • не пересылать деньги без перепроверки ситуации, если кто-либо из друзей пишет о проблемах и срочной необходимости в займе денег.

Источник: https://vitlprav.ru/ugolovnoe-pravo/kak-izbavitsya-ot-shantazha-v-internete/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.