За полгода пользователи интернета отправили мошенникам SMS на миллиард рублей

Рустам Такташев

Нечестные вымогатели

  Орудовали хакеры около полугода. За это время их жертвами стали тысячи пользователей интернета. Причем не только в России. Оперативники установили, что от их действий пострадали также жители Украины, Белоруссии, Молдавии и стран Балтии.

  Злоумышленники распространяли вирус, получивший название Winlock. Он блокировал работу компьютера. На экране монитора появлялась надпись, оповещающая, что операционная система заблокирована и для восстановления работы компьютера необходимо отправить SMS-сообщение на короткий четырехзначный номер. Один из номеров был 1350. Надпись также предупреждала о потере важной информации и нарушениях работы компьютера при попытке переустановить систему.

  «Однако отправленные SMS помогали лишь на время, и вскоре вирус вновь активизировался и снова блокировал компьютеры пользователей», — сообщил GZT.RU руководитель пресс-службы столичного УБЭПа Филипп Золотницкий. По его словам, стоимость SMS составляла 300–1000 рублей.

Усовершенствованный троян

  Надо сказать, что первые вeрсии трояна Winlock появились в конце 2008 года и представляли собой довольно простую и легко отключаемую программу. Вариантов проявления вируса была масса— от черного экрана до различных изображений. Этот Winlock блокировал Windows, но отключался довольно просто: в сети быстро появились коды, которые можно было ввести в окошко и обезвредить вирус, а продвинутый пользователь мог перегрузить систему в безопасном режиме и, запустив антивирус, вылечить компьютер.

  Однако в конце прошлого года и начале этого компьютеры стали заражаться новой версией Winlock. В частности, он отключал диспетчер задач и не позволял загрузить компьютер даже в безопасном режиме. Бесполезными оказались и антивирусные программы.

  В свою очередь эксперт компании ООО «Доктор Веб», специализирующейся на разработке антивирусных программ, Валерий Ледовской рассказал GZT.RU, что о первых случаях заражения компьютеров блокировщиками Windows, который получил название Trojan.Winlock, стало известно примерно три года назад.

  «Поначалу эти программы требовали передачи денег злоумышленникам посредством таких платежных систем, как WebMoney, и обычно достаточно легко удалялись из системы вручную. В октябре-ноябре 2009 года подобные случаи заражения резко участились, сами блокировщики стали сложнее, а в роли наиболее популярных способов оплаты выступили SMS-сообщения»,— рассказал Влерий Ледовской.

  Со временем, по его словам, блокировщики научились препятствовать запуску специальных лечащих утилит, они отображаются даже в безопасном режиме Windows, закрывают доступ к сайтам антивирусных компаний и пр.

  «Сейчас известно, что далеко не все пользователи выполняли требования преступников и отправляли SMS-сообщения. Но зараженных систем было очень много,— продолжил эксперт Ледовской.— При этом, как правило, на окнах, блокирующих доступ в систему, пользователи могли видеть изображения эротического и порнографического содержания, что, по замыслу вымогателей, должно было заставить как можно скорее расплатиться и избавиться от компрометирующих картинок».

  Пик атак блокировщиков на компьютеры пользователей пришелся на январь этого года. Проблема стала настолько актуальной, что ряд компаний, разрабатывающих антивирусы, создали специальные отделы по противодействию блокировщикам, а на своих сайтах открыли разделы для бесплатной помощи пострадавшим.

  Так, только сайт разблокировки Dr.Web Unlocker с февраля по июнь 2010 года зафиксировал около 3 млн посещений. Между тем, пор словам специалистов компании ООО «Доктор Веб», в последнее время заражения компьютеров Winlock стало заметно меньше.

Вирус рассылался со спамом

  По словам милиционеров, вирус-вымогатель злоумышленники распространяли с помощью спам-рассылок со ссылками на интересные сайты или фотографии. Впрочем, «приманки» могли быть самые различные— «сканеры одежды», «программы для чтения чужих SMS» и др. После нажатия на такую ссылку загружался вирус, который блокировал работу компьютера.

  Действовали злоумышленники около полугода под вывеской небольшой фирмы под названием «Терраком», которая официально специализировалась на оказании компьютерных услуг. Все деньги, полученные с помощью вируса-вымогателя, аккумулировались на ее счетах, а затем обналичивались. По словам оперативников, доход злоумышленников составил около 1 млрд рублей.

  Весной этого года группировка попала в поле зрения нового отдела УБЭПа, специально созданного для борьбы с преступлениями в интернете только в начале этого года. Специалисты этого отдела, для которого операция по ликвидации этой мошеннической сети стала первой, несколько месяцев собирали информацию о численном составе преступной группы, распределении в ней ролей, а также выявляли пострадавших от преступных действий.

  В настоящее время у милиционеров есть заявления почти от 3 тыс. потерпевших. На днях была проведена операция по ликвидации преступной группировки. Обыски и задержания прошли одновременно по 20 адресам.

  В отношении участников преступной группы возбуждено уголовное дело по статье 159 УК РФ (мошенничество) и ст. 273 УК РФ (создание и распространение вредоносных компьютерных программ). В ближайшее время им будет предъявлено обвинение.

  Кроме того, как сообщили в УБЭП ГУВД Москвы, в рамках расследования этого дела сотрудники милиции намерены установить, на каких основаниях сотовые операторы предоставляли киберпреступникам короткие номера для SMS-сообщений.