Программа-блокировщик — это программа-вымогатель, которая блокирует доступ к устройству или конкретному приложению (например, к браузеру) и требует выкуп за его восстановление. Как и другие программы-вымогатели, блокировщики могут распространяться по модели программа-вымогатель как услуга (Ransomware-as-a-Service).
В отличие от шифровальщиков и вайперов, блокировщики не повреждают данные пользователя.
Как работают блокировщики: ход атаки
Программы-блокировщики могут распространяться с помощью почтовых рассылок и рекламных сетей (malvertising), а также под видом полезных приложений (например, если речь о мобильных блокировщиках).
Оказавшись на устройстве, блокировщик полностью или частично блокирует его функции и выводит на экран записку с требованием выкупа. В отличие от шифровальщиков, которые обычно не скрывают, что пользователь подвергся атаке киберпреступников, блокировщики часто маскируют выкуп под штраф или другой обязательный платеж. Например, популярный среди них прием — имитация блокировки устройства правоохранительными органами якобы в связи с противозаконными действиями пользователя, такими как хранение и распространение детской порнографии, просмотр запрещенного контента и т. д.
Для дополнительного психологического воздействия на жертву злоумышленники могут использовать другие угрозы, не обязательно соответствующие действительности. Например, утверждать, что файлы пользователя зашифрованы и в случае неуплаты требуемой суммы будут удалены, или прикладывать к записке о выкупе фото жертвы, снятое с помощью веб-камеры устройства, как делает, в частности, блокировщик Reveton.
Как работают блокировщики: способы блокировки
Программы-блокировщики могут:
- Имитировать блокировку устройства, например открыть окно браузера в полноэкранном режиме, скрыть курсор или сделать так, чтобы система игнорировала нажатие горячих клавиш. Такие блокировщики не наносят вреда устройству жертвы и, как правило, легко удаляются.
- Действительно заблокировать устройство, например сменить пароль или PIN-код от него или изменить критически важные системные элементы, такие как главная загрузочная запись (Master Boot Record). При этом в некоторых случаях разблокировать устройство без потери данных невозможно или очень сложно. Например, мобильная программа-блокировщик LockerPin меняет PIN-код зараженного смартфона на случайно сгенерированный, которого не знает ни пользователь, ни злоумышленники.
Известные блокировщики
К наиболее известным блокировщикам относятся такие вредоносные программы, как WinLock, Reveton и LockerPin.