ランサムウェアの技術的な側面も静止していませんでした。 最初にこれらが「ひざまずき」で書かれた非常に単純なプログラムであった場合、数年後にブロッカーは分析に対する保護、検出に対する保護、ネットワークワームの技術、暗号化などを含む非常に高度な技術製品を提示しました。 など
詐欺師がユーザーにお金を要求するテクノロジーも開発されました。 最初にシステムが完全にブロックされ、ユーザーが技術的な不具合に関する情報を受け取った場合、その後、より高度なソーシャルエンジニアリングテクノロジーが使用されました。
それらのほんの一部を次に示します。
1)システムの部分的なロック(たとえば、画面の3分の1に他のウィンドウの上に配置されるウィンドウ)-このようなコンピューターで作業できますが、非常に不快です。
2)成人向けコンテンツのデモンストレーション-パパのコンピューターの子供向けに設計されています。
3)倒錯要素を含むコンテンツのデモンストレーション-成人向け
など
詐欺師への支払いは絶対に役に立ちません。高価なSMS(または数個)を送信しても、犠牲者が約束のロック解除コードを受け取ることを保証しません。 支払い端末を介したアカウントの補充では、状況は良くありません-領収書には、ランサムウェアによって参照される識別番号がありません。 送金することで、ユーザーは新しい開発を後援し、その後彼自身が苦しむことになります(データによると、ユーザーは平均して1回以上感染します)。
私たちの仕事では、ランサムウェアプログラムに常に遭遇し、独自のヒットパレードを作成することを決めました。私たちの意見では、以下のカテゴリで最も興味深いものを強調しています。
最もアクセスできない
このブロッカーは、MBRに感染したという点で独特です。 彼はあまり人気がありませんでした。 彼はもっとコンセプトがあったと言えます。
2011年5月、2番目のMBRブロッカーが登場し、ますます人気を集めました。
| 評決: | Trojan-Ransom.Boot.Seftad |
| 登場日: | 2010年11月 |
| 発生日: | 流行を引き起こさなかった |
最も人気のある
史上最も大規模で収益性の高いブロッカー。 2010年6月、このファミリーの新しいブロッカーが文字通り1時間に1回出てきました。 この犯罪グループのメンバーが法執行機関に拘束されて初めて流行は止まりました。
| 評決: | Trojan-Ransom.Win32.PinkBlocker |
| 登場日: | 2009年11月 |
| 発生日: | 2010年8月 |
一番最初
Runetオープンスペースの最初のブロッカーは、主婦にはあまり知られていないエキゾチックな支払い方法と気取らないデザイン(裸の女性と男性の身体はありません)を使用しました。 しかし、すべてが始まったのは彼らでした。
| 評決: | Trojan-Ransom.Win32.BlueScreen |
| 登場日: | 2007年秋 |
| 発生日: | 2008年秋 |
最も美しい
| 評決: | Trojan-Ransom.Win32.Gimemo |
| 登場日: | 2011年3月 |
| 発生日: | 流行を引き起こさなかった |
アニメーション
アニメーションgif cマンマ(lat。)を使用したブロッカー。画像として、振動運動を行います。 支払いとして、ブロッカーは、ロシア語、ウクライナ語、カザフスタン、リトアニア語、およびドイツ語の両方がある短い番号の1つにSMSを送信するように要求しました。
| 評決: | Trojan-Ransom.Win32.XBlocker |
| 登場日: | 2009年12月 |
| 発生日: | 2010年2月 |
最初の非ロシア語
Runetでのブロッカーの最初の大きな流行を引き起こしたこのブロッカーは、ウクライナから来ました。 当初、SMSはウクライナの番号への支払いとして受け取られました。
このファミリのブロッカーの特徴は、ブロッカーの最初の起動時のライセンス契約(!!!)のデモであり、ユーザーのコンピューターがブロックされることが報告されていました。 しかし、これらの規則を誰が読むのでしょうか?
その後のバージョンのブロッカーでは、ライセンス契約は実証されていましたが、非常に迅速に終了し、条件に同意したかどうかにかかわらず、ユーザーのアクションに関係なくブロッカーがインストールを開始しました。
| 評決: | Trojan-Ransom.Win32.Digitala |
| 登場日: | 2009年10月 |
| 発生日: | 2010年12月 |
最も無害
この「ブロッカー」は、ブロッカーそのものではありません。 詐欺師は、特にアダルトサイトのふりをするサイトを作成し、そのサイトにJavaScriptコードを配置して、ブラウザに以下の画像を表示します。 作成されたサイトは、バナーシステムを通じて配布されます。 このタイプの詐欺に対抗するには、ブラウザを閉じて将来このサイトにアクセスしないだけで十分ですが、多くのユーザーは怖がっており、マシンが感染したと信じており、ランサムウェアにお金を払おうと急いでいます。
| 評決: | Trojan-Ransom.JS.Smser |
| 登場日: | 2010年夏 |
| 発生日: | 現在時刻までに |
最も創造的
ブロッカーの開発の最初の数年、著者は魂で彼らの創造に近づきました。 とても面白くて面白くて感動的なブロッカーに出会いました。 わずか数年後、ブロッカーはパイのようにリベットを始めました-ウイルス対策製品の検出を管理するために迅速かつ迅速に。
| 評決: | Trojan-Ransom.Win32.ImBlocker |
| 登場日: | 2008年夏 |
| 発生日: | 流行を引き起こさなかった |
貪欲な
SMSの価格には上限(500〜600ルーブル)があったため、一部のブロッカーは各SMSに2つずつ、非常に貪欲な3を要求し始めました。
| 評決: | Trojan-Ransom.Win32.PinkBlocker |
| 登場日: | 2010年春 |
| 発生日: | 2010年8月 |
最も慢な
このブロッカーの特徴は、それがカバーしている有名人にあります。
| 評決: | Trojan-Ransom.Win32.ZoBlocker |
| 登場日: | N / a |
| 発生日: | N / a |
最も正直な
このブロッカーは、同僚とは異なり、ブロッカーであることを正直に宣言しているという点で興味深いです。
| 評決: | Trojan-Ransom.Win32.Honest |
| 登場日: | N / a |
| 発生日: | 流行を引き起こさなかった |
最長演奏
このブロッカーは、サブスクリプションシステムを使用して作成者を豊かにするという点でユニークです。 このブロッカーでは、SMSの送信や口座への送金を要求する代わりに、電話番号を送信する必要があります。 アクティベーション停止コードを含むSMSが電話に届きます。
これらすべての無害なアクションは、1つの目標を追求します-いわゆるサブスクリプションにユーザーを登録することです。 ブロッカーに非アクティブ化コードを入力すると、ユーザーはサブスクリプション条件に同意します(もちろん、誰も彼を見せませんでした)。 購読後、ユーザーは定期的にユーザーの電話からお金を引き出し始めます(たとえば、150ルーブルの場合は3日ごと)。 この方法は、ユーザーが登録を解除するか、しばらく(1週間など)電話に資金がなくなるまで機能します。
| 評決: | Trojan-Ransom.Win32.Holotron |
| 登場日: | 2011年2月 |
| 発生日: | 流行を引き起こさなかった |
最も残忍な
このブロッカーの特徴は、同性愛者の表示です。
2番目の「注目すべき」機能は非アクティブ化コードです。これは無意味な文字セットではなく、ゲームのコード(IDDQDなど)、ゲームキャラクター(KERRIGAN IS SO SEXY)、好きな作品の著者(FRANK HERBERT)などです。
| 評決: | Trojan-Ransom.Win32.HmBlocker |
| 登場日: | 2010年11月 |
| 発生日: | 2011年3月 |
最も詳細な(「ブロンド」)
このブロッカーは、非アクティブ化の手順の領域で最も詳細なものと呼ぶことができます。 このプログラムはSMSを支払い方法として使用するのではなく、比較的少数のユーザーに馴染みのあるよりエキゾチックな「Vkontakte」スキームを使用するため、詐欺師への送金方法に関する非常に詳細なステップバイステップの手順を感染ユーザーに提供しました。
| 評決: | Trojan-Ransom.Win32.GiviBlocker |
| 登場日: | 2010年11月 |
| 発生日: | 流行を引き起こさなかった |
最も「カスペルスキー」
このブロッカーは、実際には存在しない特定のカスペルスキー製品であるカスペルスキーアンチウイルスオンラインになりすます。 かつては非常に人気があり、「お金を少しもらわないで、なぜこのプログラムが必要なのか」というテキストで、文字通り会社に手紙を送りました。 一般に、このブロッカーは、シフトアナリストとPR部門の両方にとって大量の血液を台無しにしました。
| 評決: | Trojan-Ransom.Win32.Chameleon |
| 登場日: | N / a |
| 発生日: | N / a |
合計:
トレンドでは、ご覧のとおり、ソーシャルエンジニアリング技術の開発が行われていますが、技術的なアイデアはまだありません。 いずれにせよ、すでに感染したコンピューターを処理するよりもブロックを防ぐ方が信頼性が高いと判断しました。 そして、これまで無料のユーティリティsupport.kaspersky.ru/viruses/deblockerのみを提供できる場合は、現在、新しいツールの作業を終了しています。これについては、次の投稿のいずれかで紹介します。
カスペルスキーラボ、シニアウイルスアナリスト、イヴァンタタリノフ