Каким еще образом киберпреступники утоляют свою жажду наживы? Об этом мы и поговорим в рамках настоящей главы, представляющей собой краткий обзор деструктивных функций наиболее распространенных в настоящее время вредоносных программ.
Троянцы-блокировщики (винлокеры)
Троянские программы-блокировщики, или винлокеры, принято относить к общей категории программ-вымогателей, которые в англоязычных источниках называют также термином ransomware. Первые случаи заражения вредоносными программами данного семейства были зафиксированы еще в конце 2007 года, а в период с ноября 2009-го по февраль 2010 года их распространение приняло буквально эпидемический характер. Винлокеры блокировали Рабочий стол Windows графическим окном-баннером, в котором демонстрировался текст с требованием выкупа за разблокировку системы и описанием возможных способов оплаты.
Первые модификации таких программ-вымогателей весьма успешно маскировались под встроенный механизм активации операционной системы Windows XP (Microsoft Product Activation, MPA). Окно программы, блокировавшее Рабочий стол Windows, имитировало своим оформлением интерфейс MPA, при этом пользователю демонстрировалось сообщение о том, что на его ПК установлена нелицензионная копия операционной системы, которую предлагалось активировать, отправив платное СМС-сообщение. Прервать работу этих ранних версий винлокеров было относительно несложно, удалив соответствующий процесс в Диспетчере задач, изменив в системном реестре значение оболочки по умолчанию или воспользовавшись утилитой Восстановление системы, для чего следовало загрузить Windows в безопасном режиме. Однако программа стремительно совершенствовалась: достаточно быстро винлокеры научились отслеживать нажатия сочетаний «горячих» клавиш, блокировать запуск Диспетчера задач, Редактора реестра, утилиты Восстановление системы, Командной строки, антивирусных приложений и некоторых апплетов Панели управления Windows. Троянец вносил определенные изменения в файл %SYSTEMROOT%\System32\drivers\etc\hosts, чтобы пользователь не мог открыть в браузере сайты разработчиков наиболее популярных антивирусных программ. Модифицировалось и оформление окна, нарушающего нормальную работу компьютера: оно могло демонстрировать различные непристойные изображения или сведения о том, что пользователь посещал сайты порнографического характера, либо обвинения в незаконной загрузке информации, запрещенной законодательством.
