Вирусные аналитики: Все о Trojan.Encoder и Trojan.Winlock

CNews: Расскажите, как началась история троянца Trojan.Encoder. Были ли раньше в опыте вирусной лаборатории случаи, аналогичные с Trojan.Encoder?

Владимир Мартьянов: Впервые троян-шифровальщик заявил о себе летом примерно два - два с половиной года тому назад. Тогда на компьютерах нескольких известных людей он шифровал документы и требовал выкуп за их расшифровку. Первый всплеск его активности, что характерно, был в России. "Доктор Веб" достаточно быстро справился с этой программой и выпустил утилиту для расшифровки. Однако автор вируса создал еще несколько версий, увеличивая разрядность шифрования до 128 бит и стараясь сделать невзламываемую программу. В январе 2009 году мы обнаружили уже 34-ую модификацию троянца, которую выпустил автор, называющий себя "Корректор". После нее новые версии выходили приблизительно раз в месяц. В конце июля - начале августа мы стали фиксировать рост числа обращений в компанию, связанных с шифрованием файлов троянской программой, причем дело доходило до выпуска 2-3 новых модификаций вируса в неделю. Сейчас автором этого Trojan.encoder выпущено 11 вариантов, то есть в троянце используется 11 различных ключей шифрования. Через некоторое время наступило затишье, но уже 8 октября мы столкнулись уже с 47-й версией "троянского коня", причем это был представитель нового подсемейства, отличающийся от предыдущих образцов.

CNews: В чем состоит технологическое новшество данного троянца по сравнению с другими существующими вредоносными программами? Чем продукт примечателен для вирусного аналитика?

Сергей Комаров: Мы видим, что в 99% или 100% сегодняшних обращений от пользователей шифрование не очень стойкое. У нас нет проблем с расшифровкой файлов, и мы можем сказать, что с точки зрения технологии наблюдается тенденция к упрощению троянца. Автор, скорее всего, берет массовостью распространения вируса. Даже если 10% пользователей заплатят выкуп за расшифровку, ему этого будет достаточно. Замечу, что первая троянская программа выпускалась для того, чтобы, используя сильный алгоритм шифрования, создать вирус-вымогатель, и при этом никто, кроме его автора, не смог бы разработать расшифровывающую утилиту. Сейчас, судя по всему, такой цели нет, и, наверное, это стратегически правильно для вирусописателей, потому что внимания к таким авторам гораздо меньше.

Сергей Комаров: Троянцы-вымогатели - это самые популярные сейчас виды вредоносных программ

Автором первого Trojan.Encoder заинтересовались "органы", и резонанс был достаточно сильным, потому что пользователи сталкивались с серьезной угрозой их файлам. Им оставалось или обратиться к вирусописателю, или остаться без доступа к данным. Нам неизвестны результаты расследования этого инцидента, но стратегия создания Trojan.encoder поменялась. Скорее всего, этим занимаются уже другие люди.

CNews: Насколько быстро специалистам компании удается выпускать утилиты для дешифровки файлов?

Владимир Мартьянов: В данном случае все зависит от того, насколько быстро в лабораторию попадает сэмпл - образец вируса. Один раз мы ждали больше недели. Если мы получаем его, то, чтобы добавить ключи шифрования и другую информацию, нужно не более 2-3 минут. Однако у этого троянца есть и свои особенности: он шифровал файлы не целиком, а только частично. Мы выяснили это не сразу, полагая, что это ошибка автора. Тем не менее, в итоге выяснилось, что так и было задумано. Другой комичный случай произошел, когда один из пострадавших от троянца, написанного "Корректором", заплатил автору деньги и получил утилиту для расшифровки файлов. Однако она не запустилась на его компьютере с установленной Windows Vista. Он рассказал об этом вирусописателю, на что тот развел руками и посоветовал скачать бесплатный дешифровщик с сайта компании "Доктор Веб".

СNews: Изменились ли способы распространения троянца-шифровальщика?

Владимир Мартьянов: Последняя модификация троянца рассылалась по ICQ со взломанных аккаунтов. Пользователям поступало сообщение, содержащее ссылку на каталог на веб-сайте, замаскированную под графическое изображение. При открытии сайта на компьютер загружался файл index.html, сохранявшийся под именем файла с исполняемым расширением. До этого пользователи сообщали о том, что заражались троянцем при использовании одной из программ для поднятия рейтинга в социальной сети "ВКонтакте". Еще один случай был связан с варез-ресурсом.

Владимир Мартьянов: Первый всплеск активности трояна-шифровальщика был в России

Trojan.encoder, созданный "Корректором", распространялся по Email через письма с фальшивыми открытками якобы от сервиса Mail.ru. При их просмотре пользователю выдавалось сообщение о необходимости установки кодека. Во всех случаях троянская программа шифровала все пользовательские данные - текстовые документы, изображения, музыку, видео. В одной из версий в 47-ом подсемействе "троянский конь" зачем-то шифровал файлы с расширением .bin. Учитывая, что файлы с таким расширением находятся в системных каталогах, пользователю сразу же выдавалось сообщение о замене системных файлов. Это было ошибкой создателя, и больше он так не поступал. Отметим, что в его разработке кроме социальной инженерии не используются никакие другие уязвимости.

CNews: Какой примерный ущерб был от действий троянца? Пострадали ли от него только конечные пользователи или были случаи и в компаниях?

Сергей Комаров: Это нереально оценить. Мы можем сообщить количество обращений в компанию - с августа их было около 200, а на пике активности - до 20 запросов в день. В принципе, Trojan.Encoder и другой вымогатель, Trojan.Winlock - это основные тренды этого года, причем заражаются ими и коммерческие организации, и административные органы. Однозначно, троянцы-вымогатели - это самые популярные сейчас виды вредоносных программ, по крайней мере, в российском сегменте.

CNews: Пыталася ли компания "Доктор Веб" выйти на автора вируса и к каким результатам это привело? Почему до сих пор местоположение автора остается неизвестным?

Сергей Комаров: На самом деле компания не пыталась связаться с "Корректором", и никаких централизованных шагов не предпринималось. Действительно, несколько сотрудников самостоятельно решили выйти на контакт с ним, но это ни к чему не привело. Человек, выдающий себя за автора вируса, не позволил ничего про себя узнать. Найти его можно только по запросу правоохранительных органов, а для заведения уголовного дела нужно хотя бы одно заявление от пострадавших. Мы не знаем, были ли они написаны, но в любом случае, если этот вирусописатель использует какие-либо средства для анонимизации своего компьютера, вычислить его местонахождение довольно проблематично. Пользователи, которые часто к нам обращаются, уже переустановили свою систему, и на их компьютерах нет следов этого троянца. Кроме того, некоторые из них просто не хотят обращаться в милицию.

CNews: Недавно появилась информация, что автор троянца использует образ компании в своих продуктах в целях "черных PR-технологий", например, подменяет почту, прикрываясь именем сотрудника компании. Расскажите, пожалуйста, об этом инциденте.

Владимир Мартьянов: У "Корректора" действительно был сайт, оформленный в фирменном стиле "Доктор Веб", и с похожим названием - "Добрый доктор" или "Компьютерный доктор". Инцидент с письмами имел место тогда, когда мы стали искать один сэмпл троянца и вышли на связь с якобы пострадавшей. От нее мы получили ссылку на загрузку файла, который я запустил на виртуальной машине. Он не производил операции шифрования, а выводил нецензурные высказывания в мой адрес. Буквально спустя несколько часов после этого на официальном форуме компании стали появляться сообщения, что от имени сотрудников производится почтовая рассылка.

CNews: Считаете ли вы, что автор - бывший специалист по ИБ и криптографии и за ним стоят другие люди, в том числе, конкуренты "Доктор Веб" на АВ-рынке?

Сергей Комаров: Как программист этот автор, может быть, действительно неплох, но ему совсем не нужно быть криптографом, чтобы применять в вирусе готовый код. Я считаю, что эти акции в 99,9% случаев - простое хулиганство, которым занимается немножко ущемленный в своем самолюбии вирусописатель.

CNews: Сейчас все чаще и чаще говорят о появлении новых угроз, связанных с поддельными антивирусами. Какое видение этих киберугроз у "Доктор Веб"?

Сергей Комаров: Первые лжеантивирусы появились минимум года четыре назад, и это была тенденция западного рынка. На мой взгляд, это обуславливается тем, что заплатить за антивирус в интернете на Западе тогда было просто. Поэтому основной аудиторией были платежеспособные пользователи. Сейчас уже года два российский сегмент интернета точно так же становится платежеспособным. Довольно просто заплатить за программное обеспечение, особенно если указывается номер SMS или кошелек "Яндекс.Деньги", так как у каждого есть виртуальные деньги или средства на счете мобильного телефона. В итоге российский пользователь стал адресатом этих поддельных антивирусов. Помимо Winlock"ов, которые в этом году получили наибольшую распространенность (и, видимо, от которых люди страдают больше всего), лжеантивирусы также популярны у злоумышленников. Однако опасность заключается в том, что, устанавливая поддельный антивирус и покупая его, пользователь остается под колпаком мошенника. После оплаты злоумышленники не забывают про него: этот "антивирус" продолжает жить на компьютере, и через какое-то время обязательно принесет с собой новые вирусы, за что, конечно, снова придется заплатить.

CNews: В настоящее время в связи со случаями распространения SMS-троянов определенного рода актуальность приобрели мобильные антивирусы для коммуникаторов на базе Windows Mobile. Насколько реально появление угроз под Windows Mobile, аналогичных Trojan.Encoder?

Владимир Мартьянов: SMS-трояны, скорее всего, рано или поздно уйдут на второй план, просто потому что они достаточно ущербны с технологической точки зрения. Основной поток SMS-троянов - это Java-троянцы, которые работают на всех платформах, но специфика этих "троянских коней" в том, что пользователь сам должен их установить в свое мобильное устройство и разрешить им рассылать SMS. Сейчас они подделываются под игры, в которых, например, чтобы выиграть, нужно нажимать как можно чаще одну и ту же клавишу. Она же оказывается клавишей разрешения, и пользователь не видит, что он только что отправил SMS. Для Symbian OS совершенно точно есть похожие вирусы, например, написанные с использованием Python, и они очень часто поставляются в комплекте с нелегальным ПО. Для Windows Mobile злоумышленники больше пытаются делать концепты вирусов, потому что все-таки Windows считается самой уязвимой ОС, а Symbian, при условии, что пользователь не "балуется" с сертификатами, менее подвержена взлому. На iPhone OS, в которой архитекторы системы сделали так, что все приложения работают под учетной записью суперпользователя, вредоносное ПО не будет встречать особых препятствий, главное - попасть на сам смартфон.

CNews: Какими вы видите перспективы создания вирусов для мобильных платформ в ближайшее время? Можно предположить, что в будущем, поскольку все телефоны рано или поздно полностью будут подключены к интернету, они будут использоваться для организации ботнетов?

Сергей Комаров: Пока у нас будет многообразие платформ мобильных компьютеров, наверное, мы не будем сталкиваться с какими-то массовыми эпидемиями. Опять же, если кто-то начнет доминировать, то там и появятся вирусы. Сейчас будут просто пытаться воровать деньги - с телефонных аккаунтов или еще откуда-то, чем дальше - тем больше будет попыток похитить данные с карманных компьютеров. Я хочу привести в пример Японию, где это будущее уже наступило. В этой стране огромное количество телефонов, они постоянно подключены к интернету, но при этом реальных мобильных угроз нет, просто потому что платформы, которые там разрабатываются, создаются с учетом тех проблем, которые имели большие компьютеры.

CNews: Какие тренды в области создания вирусов вы наблюдаете на десктопных системах?

Сергей Комаров: Мы видим сразу две тенденции. С одной стороны, вирусы стремятся сделать себя все более неуязвимыми. То есть, это технологические разработки, так называемые руткиты, с которыми трудно бороться и которые трудно лечить. Предназначены они, в первую очередь, для создания ботнетов. С другой стороны, наблюдается тенденция к упрощению, то есть при минимальном ущербе пользователю вирус получает максимальное распространение. Таким образом, вирусописатель получает большую маржу, а затраты на создание и ажиотаж вокруг этой угрозы - практически нулевые. Пользователи даже не реагируют на эти эпидемии как на что-то серьезное, хотя в принципе любая такая блокировка системы - уголовное преступление. Многие готовы или переустановить систему, или заплатить вирусописателю деньги. Тем не менее, сейчас мы видим, что люди приобретают некоторую минимальную грамотность в компьютерной области, и понимают или начинают понимать, что такое антивирус, что такое защита, для чего этим пользоваться. Как правило, человек, у которого установлен антивирус, только во вторую очередь будет переустанавливать систему, а в первую - попытается вылечить компьютер.

CNews: Какие операционные системы, на ваш взгляд, в ближайшее время будут доминировать у вирусописателей?

Сергей Комаров: Все зависит от популярности платформы или ОС. Чем шире распространение, тем больше внимания к ней со стороны вирусописателей. Так, например, на самом деле распространение Linux очень низкое и, если говорить про нашу страну, находится практически на нулевом уровне. Однако вредоносное программное обеспечение под нее уже существует. Mac OS в последние несколько лет с переходом на Intel получила большую распространенность по всему миру, и на нее сразу же обратили внимание вирусописатели. Они отработали те самые схемы социальной инженерии, что существовали для Windows, предлагая, к примеру, под видом кодеков загрузку троянов.

CNews: Могут ли появиться под эти платформы аналоги Trojan.Encoder?

Владимир Мартьянов: На Linux, может быть, их создание будет более простым, поскольку на этой ОС в минимальном виде присутствуют средства шифрования. По своему опыту могу сказать, что, например, архиватор Bzip уже установлен в системе, поэтому создать зашифрованный архив с помощью небольшого скрипта на Perl или на shell не будет проблемой для злоумышленника. Более того, можно быть совершенно четко уверенным, что все пользовательские файлы лежат в домашнем каталоге, при этом пользователя не спасут ограниченные привилегии учетной записи.

Михаил Демидов