Неоднократно к нам обращались клиенты, с жалобами, что «вирус заблокировал компьютер и вымогает деньги». После изучения проблемы, стало ясно, что в реальности заражения компьютера не происходит.
Пользователю показывается веб-страница, замаскированная под официальный документ СБУ или МВД, требующая оплатить деньги и обвиняющая в просмотре порнографии и т. п. В Chrome-подобных браузерах запускается вредоносный скрипт, который не дает закрыть страницу.
Мы решили попробовать подхватить этот «вирус» и исследовать его поведение в разных браузерах.
Заходим на вредоносный сайт
Как правило, заражение происходит через сайт, найденный с помощью поисковой системы. К примеру, автор этой статьи зашел на вредоносный сайт по запросу «смайлы вк коды».
Результаты поиска Google
Первый же результат поиска приводит нас на сайт «телеграм.рф»:
Сайт "телеграм.рф", перенаправляющий пользователя на вредоносный
Этот сайт уже сам по себе выглядит весьма сомнительно из-за большого количества рекламы на странице. Но, кроме безобидной рекламы, при клике на любом месте страницы, открывается дополнительное окно:
Вредоносный сайт с окном блокировки
Здесь мы наблюдаем веб-страницу со странным адресом, которая маскируется под официальный документ МВД Украины. В ней говорится, что компьютер был заблокирован и файлы были зашифрованы и требуется перечислить оплату мошенникам:
С помощью специальных техник, вредоносный код не дает закрыть браузер или уйти на другую страницу. Это может создать у неопытных пользователей впечатление, что компьютер действительно заблокирован.
Поведение сайта-вируса в других браузерах
Поведение популярного ныне Яндекс-браузера и Оперы 20+ не отличается от Chrome (что не удивительно, ведь все они работают на одном движке).
Яндекс-браузер с окном блокировки
Помогает нажать кнопку «Обновить» и комбинацию Ctrl+F4.
Опера 12 этой «болезни» не подвержена. Страница с вредоносным кодом постоянно перезагружается и никак не препятствует закрытию.
Mozilla Firefox практически не подвержен.
Mozilla Firefox с окном блокировки
Малоиспользуемый в наших краях, браузер Safari также подвержен этой «болезни»
Safari с окном блокировки
Закрыть окно мы возможности не нашли, поэтому нам пришлось применить прием кунг-фу и снять процесс через «Диспетчер задач» (в Windows c помощью комбинации клавиш Ctrl+Alt+Del).
Сообщение поисковым системам о вредоносном сайте
После того, как вы успешно избавились от вредителя, помогите избежать этой ошибки другим. Необходимо сообщить поисковым системам о том, что этот сайт вредоносный. Его адрес вы сможете посмотреть в истории браузера.
Сообщить Google о вредоносном сайте необходимо по адресу: www.google.com/safebrowsing/report_badware/
Сообщить Google о вредоносном сайте
Отчет отправлен
Поисковую систему Яндекс можно оповестить о вредоносном сайте по адресу: webmaster.yandex.ua/delspam.xml
Сообщить Яндекс о вредоносном сайте
Готово. С чувством выполненного долга серфим Интернет дальше.