Как создать блокер свой вирус

Обновлено: 07.05.2024

Это зловредная программа из семейства блокировщиков, с помощью которых злоумышленники блокируют доступ к компьютеру или отдельным файлам на нем, и взамен требуют у пользователя выкуп за восстановление работоспособности устройства.

Различают два типа блокировщиков:

1) Шифровальщик (криптор)

Этот тип зловреда зашифровывает файлы, чтобы их невозможно было использовать до тех пор, пока они не будут расшифрованы. За расшифровку зараженных файлов злоумышленники обычно требуют деньги.

2) Обычный блокировщик (блокер)

Блокирует доступ к устройству в целом или препятствует его нормальной работе. Взамен за восстановление доступа злоумышленники также просят выкуп.

Трояны-вымогатели существуют для всех операционных систем и с одинаковым успехом блокируют компьютеры, работающие, как на Windows, так и на Mac OS X. Не является исключение и Linux. Заражению подвержены не только компьютеры, но и мобильные устройства. Особенно уязвимы смартфоны и планшеты с операционными системами Windows и Android.

Как блокировщики попадают на компьютер?

Словить вымогателя можно и просто зайдя на интернет-сайт, при этом не обязательно запускать какие-либо файлы. Заражение происходит благодаря ошибкам в коде операционной системы, браузера или какого-нибудь установленного на компьютере софта.

Современные трояны-вымогатели способны передаваться и по локальной сети. Достаточно подобному зловреду поселиться на одном компьютере, и он быстро распространится на все остальные устройства в сети.

Конечно, никто не отменял и самые очевидные источники заражения: торренты, сомнительные ссылки, подозрительные сайты, рекламные баннеры и другие известные распространители.

Что требуют вымогатели?

В некоторых случаях счетом служил номер мобильного телефона, разумеется, никак не компрометирующий своего хозяина.

С появлением криптовалюты мошенники стали требовать оплату за разблокировку биткойнами. Такую электронную наличность невозможно подделать и определить кто хозяин кошелька, поэтому она стала для преступников удобным средством получения денег.

Как избавиться от вируса-блокировщика?

Главное, не нужно контактировать со злоумышленниками и перечислять им деньги. Это бесполезно. В большинстве случаев заплатив мошенникам, жертва остается ни с чем - без денег и без дешефратора, и с по-прежнему заблокированным компьютером. А в некоторых случаях и без файлов, т.к. ряд вирусов-вымогателей сразу безвозвратно удаляют данные на зараженном компьютере и не предполагают возможности их восстановить.

К тому же оплата выкупа поощряет преступников, что провоцирует их на создание новых вирусов.

Пожалуй, главной загвоздкой является то, что неопытному юзеру избавиться от вируса-вымогателя на своем устройстве будет достаточно сложно, т. к. подобные вирусы имею достаточно сложные алгоритмы шифрования. Для разблокировки компьютера и дешифровки файлов, скорее всего, придется обращаться за компьютерной помощью к опытным специалистам.

Как защитить компьютер от вымогателей?

  • Не открывайте в электронной почте письма с подозрительными вложениями, не посещайте сомнительные сайты и не загружайте какие-либо программы с неофициальных ресурсов.
  • Настройте регулярное резервное копирование данных . Храните копии в разных местах: на компьютере, на внешнем жестком диске, в облачных хранилищах , чтобы всегда можно было восстановить файлы после шифровальщика в случае их потери.
  • Периодически обновляйте ваше устройство .
  • Используйте современный антивирус с регулярно обновляющейся базой.
  • Используйте сложные пароли для учетных записей.
  • Для защиты офисных компьютеров привлекайте грамотных системных администраторов , обязанность которых предупредить проникновение вируса в сеть.

Услуги 2В Сервис

Если вы столкнулись с подобной проблемой, и у вас не получается самостоятельно вылечить компьютер от вируса – позвоните в компанию 2В Сервис, и наши сотрудники помогут решить проблему. Специалисты компании сделают это удаленно либо, в случае необходимости, произведут выезд.

image

Хакерский мир можно условно разделить на три группы атакующих:

Может ли кто-то с хорошими навыками в программировании стать последним? Не думаю, что вы начнете создавать что-то, на подобии regin (ссылка) после посещения нескольких сессий DEFCON. С другой стороны, я считаю, что сотрудник ИБ должен освоить некоторые концепты, на которых строится вредоносное ПО.

Зачем ИБ-персоналу эти сомнительные навыки?

Знай своего врага. Как мы уже обсуждали в блоге Inside Out, нужно думать как нарушитель, чтобы его остановить. Я – специалист по информационной безопасности в Varonis и по моему опыту – вы будете сильнее в этом ремесле если будете понимать, какие ходы будет делать нарушитель. Поэтому я решил начать серию постов о деталях, которые лежат в основе вредоносного ПО и различных семействах хакерских утилит. После того, как вы поймете насколько просто создать не детектируемое ПО, вы, возможно, захотите пересмотреть политики безопасности на вашем предприятии. Теперь более подробно.

Кейлогер – это ПО или некое физическое устройство, которое может перехватывать и запоминать нажатия клавиш на скомпрометированной машине. Это можно представить как цифровую ловушку для каждого нажатия на клавиши клавиатуры.
Зачастую эту функцию внедряют в другое, более сложное ПО, например, троянов (Remote Access Trojans RATS), которые обеспечивают доставку перехваченных данных обратно, к атакующему. Также существуют аппаратные кейлогеры, но они менее распространены, т.к. требуют непосредственного физического доступа к машине.

Тем не менее создать базовые функции кейлогера достаточно легко запрограммировать. ПРЕДУПРЕЖДЕНИЕ. Если вы хотите попробовать что-то из ниже следующего, убедитесь, что у вас есть разрешения, и вы не несёте вреда существующей среде, а лучше всего делать это все на изолированной ВМ. Далее, данный код не будет оптимизирован, я всего лишь покажу вам строки кода, которые могут выполнить поставленную задачу, это не самый элегантный или оптимальный путь. Ну и наконец, я не буду рассказывать как сделать кейлогер стойким к перезагрузкам или пытаться сделать его абсолютно не обнаружимым благодаря особым техникам программирования, так же как и о защите от удаления, даже если его обнаружили.

Вы можете изучить больше про фунцию GetAsyncKeyState на MSDN:

Для понимания: эта функция определяет нажата клавиш или отжата в момент вызова и была ли нажата после предыдущего вызова. Теперь постоянно вызываем эту функцию, чтобы получать данные с клавиатуры:

Умный кейлогер

Погодите, а есть ли смысл пытаться снимать всю подряд информацию со всех приложений?
Код выше тянет сырой ввод с клавиатуры с любого окна и поля ввода, на котором сейчас фокус. Если ваша цель – номера кредитных карт и пароли, то такой подход не очень эффективен. Для сценариев из реального мира, когда такие кейлогеры выполняются на сотнях или тысячах машин, последующий парсинг данных может стать очень долгим и по итогу потерять смысл, т.к. ценная для взломщика информация может к тому времени устареть.

Давайте предположим, что я хочу заполучить учетные данные Facebook или Gmail для последующей продажи лайков. Тогда новая идея – активировать кейлоггинг только тогда, когда активно окно браузера и в заголовке страницы есть слово Gmail или facebook. Используя такой метод я увеличиваю шансы получения учетных данных.

Вторая версия кода:

Этот фрагмент будет выявлять активное окно каждые 100мс. Делается это с помощью функции GetForegroundWindow (больше информации на MSDN). Заголовок страницы хранится в переменной buff, если в ней содержится gmail или facebook, то вызывается фрагмент сканирования клавиатуры.

Этим мы обеспечили сканирование клавиатуры только когда открыто окно браузера на сайтах facebook и gmail.

Еще более умный кейлогер

Давайте предположим, что злоумышленник смог получить данные кодом, на подобии нашего. Так же предположим, что он достаточно амбициозен и смог заразить десятки или сотни тысяч машин. Результат: огромный файл с гигабайтами текста, в которых нужную информацию еще нужно найти. Самое время познакомиться с регулярными выражениями или regex. Это что-то на подобии мини языка для составления неких шаблонов и сканирования текста на соответствие заданным шаблонам. Вы можете узнать больше здесь.

Для упрощения, я сразу приведу готовые выражения, которые соответствуют именам логина и паролям:

Где первое выражение (re) будет соответствовать любой электронной почте, а второе (re2) любой цифро буквенной конструкции больше 6 символов.

Бесплатно и полностью не обнаружим

В своем примере я использовал Visual Studio – вы можете использовать свое любимое окружение – для создания такого кейлогера за 30 минут.
Если бы я был реальным злоумышленником, то я бы целился на какую-то реальную цель (банковские сайты, соцсети, тп) и видоизменил код для соответствия этим целям. Конечно, также, я запустил бы фишинговую кампанию с электронными письмами с нашей программой, под видом обычного счета или другого вложения.

Остался один вопрос: действительно такое ПО будет не обнаруживаемым для защитных программ?

Я скомпилировал мой код и проверил exe файл на сайте Virustotal. Это веб-инструмент, который вычисляет хеш файла, который вы загрузили и ищет его в базе данных известных вирусов. Сюрприз! Естественно ничего не нашлось.

image

В этом основная фишка! Вы всегда можете менять код и развиваться, будучи всегда на несколько шагов раньше сканеров угроз. Если вы в состоянии написать свой собственный код он почти гарантированно будет не обнаружим. На этой странице вы можете ознакомиться с полным анализом.

Основная цель этой статьи – показать, что используя одни только антивирусы вы не сможете полностью обеспечить безопасность на предприятии. Нужен более глубинная оценка действий всех пользователей и даже сервисов, чтобы выявить потенциально вредоносные действия.

В следующих статья я покажу, как сделать действительно не обнаружимую версию такого ПО.

Осенью 2007 года на просторах рунета появился новый вид вредоносного ПО – программы-вымогатели. Данный вид мошенничества ходил в сети и раньше, но только в России он получил огромную популярность. Плодотворной почвой стала простота получения денег от своих жертв. Если вначале использовались довольно экзотические формы оплаты (например, ВКонакте, Яндекс Деньги и т.п.), с которыми обычные пользователи были знакомы слабо, то впоследствии мошенники перешли на более простые и понятные способы: отправка SMS-ок на короткие номера и перевод денег на телефонные номера. Две самые популярные формы оплаты хорошо знакомы даже людям, редко имеющим дело с компьютером. Именно этот факт, а также простота и анонимность при регистрации коротких номеров сыграли определяющую роль в той массовости, которую приобрели программы-вымогатели.

Развитию подверглись и технологии, с помощью которых мошенники собирались требовать деньги от пользователей. Если изначально система блокировалась целиком, а пользователь получал информацию о техническом сбое, то впоследствии стали использоваться более продвинутые технологии социальной инженерии.
Вот лишь некоторые из них:
1) Частичная блокировка системы (например, окно, которое располагаются поверх других, в треть экрана) – работать за таким компьютером можно, но очень некомфортно;
2) Демонстрация взрослого контента – рассчитано на детей за папиными компьютерами;
3) Демонстрация контента, содержащего элементы перверсии – рассчитано на взрослых;
и т.д.

Платить мошенникам абсолютно бесполезно: отправка дорогостоящей SMS-ки (или даже нескольких) совершенно не гарантирует, что потерпевший получит обещанный код разблокировки. С пополнением счета через терминал оплаты ситуация не лучше – на чеке просто нет идентификационного номера, на который ссылаются вымогатели. Отправкой денег пользователь спонсирует новые разработки, от которых сам же страдает впоследствии (по нашим данным, в среднем пользователи заражаются больше 1 раза).

В своей работе мы постоянно сталкиваемся с программами-вымогателями и решили составить собственный хит-парад, выделив, на нашему мнению, наиболее интересные из них по следующим номинациям:

Самый труднодоступный
Данный блокер уникален тем, что заражал MBR. Большую популярность он не приобрел. Можно сказать, что он был скорее концептом.
В мае 2011 года появился второй MBR-блокер, приобретающий все большую и большую популярность.


Вердикт: Trojan-Ransom.Boot.Seftad
Дата появления: ноябрь 2010
Дата затухания эпидемии: эпидемии не вызвал

Самый популярный
САМЫЙ МАССОВЫЙ, САМЫЙ ПРИБЫЛЬНЫЙ блокер всех времен и народов. В июне 2010 года новые блокеры данного семейства выходили буквально раз в час. Эпидемия прекратилась лишь после того, как правоохранительными органами были задержаны члены данной преступной группировки.


Вердикт: Trojan-Ransom.Win32.PinkBlocker
Дата появления: ноябрь 2009
Дата затухания эпидемии: август 2010

Самый первый
Первые блокеры на просторах рунета использовали экзотические формы оплаты, мало знакомые домохозяйкам и непритязательный дизайн (никакого обнаженного женского и мужского тела). Но именно с них все начиналось.


Вердикт: Trojan-Ransom.Win32.BlueScreen
Дата появления: осень 2007
Дата затухания эпидемии: осень 2008

Самый красивый


Вердикт: Trojan-Ransom.Win32.Gimemo
Дата появления: март 2011
Дата затухания эпидемии: эпидемии не вызвал

Первый нероссийский
Данный блокер, вызвавший первую крупную эпидемию блокеров в рунете, пришел с Украины. Изначально в качестве оплаты принимались SMS-ки на украинский номер.
Характерной особенностью блокеров из данного семейства была демонстрация лицензионного соглашения (. ) при первом запуске блокера, в котором сообщалось о том, что компьютер пользователя будет заблокирован. Но кто читает эти соглашения?
В последующих версиях блокера лицензионное соглашение хотя и демонстрировалось, но довольно быстро закрывалось, и блокер начинал установку вне зависимости от действий пользователя, соглашался он с условиями или нет.


Вердикт: Trojan-Ransom.Win32.Digitala
Дата появления: октябрь 2009
Дата затухания эпидемии: декабрь 2010

Самый креативный
Первые годы развития блокеров авторы подходили к их созданию с душой. Попадались очень веселые, забавные и трогательные блокеры. И лишь спустя несколько лет блокеры стали клепать как пирожки – побыстрее и побыстрее, чтобы успевать сбивать детекты антивирусных продуктов.


Вердикт: Trojan-Ransom.Win32.ImBlocker
Дата появления: лето 2008
Дата затухания эпидемии: эпидемии не вызвал

Самый наглый
Особенность данного блокера в громких именах, которыми он прикрывается.


Вердикт: Trojan-Ransom.Win32.ZoBlocker
Дата появления: N/A
Дата затухания эпидемии: N/A

Самый честный
Данный блокер интересен тем, что в отличие от своих коллег честно заявляет, что он блокер.


Вердикт: Trojan-Ransom.Win32.Honest
Дата появления: N/A
Дата затухания эпидемии: эпидемии не вызвал

wikiHow работает по принципу вики, а это значит, что многие наши статьи написаны несколькими авторами. При создании этой статьи над ее редактированием и улучшением работали, в том числе анонимно, 12 человек(а).

Вам когда-нибудь хотелось создать собственный вирус, возможно для обучения или для забавы? На создание вируса уйдет время и потребуются знания, но на это способен каждый человек, если захочет. Создание вируса может научить вас основам программирования на определенном языке, а также знаниям операционных систем и сетевой безопасности. Посмотрите Шаг 1, чтобы начать.

Изображение с названием Create a Virus Step 1

  • Mac OS X и Linux считаются более защищенными от вирусных атак (связано с работой прав доступа и архитектурой операционной системы). 95% всех вирусов нацелены на пользователей Windows.

Изображение с названием Create a Virus Step 2

Изображение с названием Create a Virus Step 3

Найдите слабое место для атаки. Успешные вирусы используют слабые места в программах и системной безопасности, чтобы работать и распространяться. На это уходит много исследований и знаний, но существуют специализированные сообщества, которые могут с этим помочь.

Изображение с названием Create a Virus Step 4

Изображение с названием Create a Virus Step 5

  • Если вы хотите создать исполняющие вирусы, то поищите курсы C и C++ в интернете.
  • Если вы хотите создать макро вирусы, то выучите язык макросов для нужной программы, например, Microsoft Office.
  • Visual Basic может быть использован для создания вредоносных программ для пользователей Windows.

Изображение с названием Create a Virus Step 6

  • Узнайте о полиморфном коде. Это изменит код вашей программы после каждой реплики, скрывая вирус от антивирусных программ. Полиморфный код будет довольно продвинутым шагом, который создается различными способами в разных языках программирования.

Изображение с названием Create a Virus Step 7

Узнайте о способах спрятать ваш код. Кроме полиморфного кода, существуют способы спрятать ваш вирус. Шифрование является очень популярным инструментом среди разработчиков вирусов. На это уходит много времени и чтения, но в результате вы сможете защитить и продлить жизнь вашему вирусу.

  • Постарайтесь проводить тесты в закрытой сборке так, чтобы избежать случайного попадания вашего вируса в сеть. Поставьте тестовые машины в отдельную сеть и протестируйте распространение вируса.
  • Улучшайте код вашего вируса по ходу тестирования. Работайте над ошибками вашего кода.

Изображение с названием Create a Virus Step 9

Выпустите ваш вирус. Если вы удовлетворены работой вашего вируса, то настало время его выпустить. Но до того, подумайте, готовы ли к последствиям, которые возможны из-за вашего вируса. Возможно вам стоит использовать ваши знания и работать над другими проектами. [2] X Источник информации

Читайте также: