Введение
Наверное, все помнят первые вирусы-WinLocker'ы, так же известные как «вирусы-вымогатели». На момент их первоначального распространения остановить вирус было достаточно просто — достаточно было нажать Ctrl+Alt+Delete и завершить процесс вируса, а затем проверить сам компьютер антивирусным сканером. Эти программки очень эффективно отлавливались и особого вреда, как такового, еще не приносили, но только пока…
Шаг 1. Заблокировать как можно больше
Первым шагом в эволюции этого вида вирусов стала блокировка запуска диспетчера задач, редактора реестра и некоторых других программ (таких как командная строка, браузеры, etc...). Блокировка происходила разными путями: кто-то завершал по имени процесса, кто-то по имени активного окна, кто то просто их удалял или перемещал блокируемое приложение. Это было довольно успешным ходом, так как неопытные пользователи уже не могли самостоятельно справиться с вымогателем и какой-то процент из них отправлял эти злосчастные смс-ки, но, к счастью, не все
Шаг 2. Стать невидимкой
Следующим шагом в эволюции WinLocker'ов стала невидимость в системе для антивирусов. Конечно же использовалось много разных способов: и полиморфизм, и руткиты, и запуск себя системной службой, лишь бы только антивирус дал добро. И антивирус давал. Даже Касперский с обновленными базами не мог противостоять некоторым особо хитрым программкам. На данный момент профессионально сделанные вирусы невозможно найти и удалить с помощью таких утилит как CureIT, Kaspersky Virus Removal Tool и им подобных
Шаг 3. Работать всегда и везде
Конечно же, вирусописателям хотелось чтобы их вымогатель был виден пользователю всегда и везде, и поэтому почти сразу большинство вирусов научилось запускать себя даже в безопасном режиме (Safe mode), а также некоторые, особо изощренные, не давали выключить компьютер. Я встречал баннер, которые копировал себя на любые устройства (включая перезаписываемые диски) ради того, чтобы распространиться. Существовали также вымогатели, которые умели записывать себя даже в точки восстановления Windows, что позволяло им работать после попыток этого, собственно, восстановления
Шаг 4. Деморализовать пользователя
Некоторые баннеры занимали весь экран и выводили сообщение о том, что компьютер заражен и для лечения нужно сделать то-то и то-то (чаще всего — отправить смс на платный номер), некоторые вводили счетчик до «удаления» вируса, и, вроде бы баннер исчезал, но через пару дней (недель, месяцев) он появлялся снова, некоторые просто писали что «данная программа не является вирусом» чем отпугивали незадачливого пользователя от попыток позвонить какому-либо разбирающемуся человеку.
Заключение
Вирусописатели умнеют, умнеют и антивирусные компании. В этой бесконечной гонке лидирует то одна сторона, то другая, но самым уязвимым местом в любой системе является по-прежнему неосведомленность и низкий уровень компьютерной грамотности пользователей