Продукты «Лаборатории Касперского» определяют некоторое программное обеспечение как Hoax (hoax в переводе с английского — «обман»). Давайте разберемся, что означает этот вердикт, в каких случаях наши продукты его выдают и почему пользователям стоит остерегаться подобных программ.
Астрологи объявили год Hoax: количество детектов удвоилось
Поводом для написания этого поста стало увеличение числа детектов нашими продуктами с вердиктом Hoax. Количество пользователей, столкнувшихся с подобным ПО, выросло за год в два раза. Одним словом, в зоне риска оказывается все больше пользователей. Поэтому мы считаем, что стоит уделить данной проблеме особое внимание. Начнем с краткой предыстории вопроса.
Многие пользователи жалуются на то, что компьютер стал медленнее загружаться, тормозить при запуске приложений или даже намертво зависать с ошибками. Рано или поздно с этой проблемой сталкиваются, наверное, все. Проявляется она оттого, что в процессе использования компьютер переполняется различными данными, а это влияет на скорость его работы.
Спрос рождает предложение, и в большом количестве стали появляться программы для ускорения и очистки компьютера. Бурный рост создания такого софта начался в конце 2000-х и продолжается по сей день.
Как правило, программы для очистки компьютера ищут неиспользуемые файлы и ключи реестра, временные файлы, программы в автозагрузке и так далее, а потом сообщают о наличии подобного цифрового мусора пользователю. Затем тот может принять решение об очистке, удалить все лишнее, что в самом деле оптимизирует некоторые действия при работе с системой.
К сожалению, далеко не все программное обеспечение для очистки и ускорения компьютера одинаково полезно. Помимо честных разработчиков, создающих программы, которые действительно помогают пользователям, в этой категории активно трудятся мошенники.
Что такое Hoax
Некоторые программы для очистки и ускорения компьютера вынуждают пользователя заплатить, чтобы избавить компьютер от якобы обнаруженных ими угроз. Важны тут две особенности, отличающие мошеннические программы от честных:
Во-первых, такие программы намеренно вводят пользователя в заблуждение, значительно преувеличивая эффект имеющихся проблем или вовсе выдавая информацию о несуществующих ошибках.
Во-вторых, они именно вынуждают, а не предлагают себя приобрести, объявляя пользователю, что без оплаты проблему не решить.
В «Лаборатории Касперского» подобные программы именуются Hoax — программное обеспечение, намеренно вводящее пользователя в заблуждение. Вот несколько примеров вердиктов, которые Kaspersky Internet Security выдают подобным программам:
* HEUR:Hoax.Win32.Uniblue.gen
* Hoax.Win32.PCFixer.gen
* Hoax.Win32.DeceptPCClean.*
* Hoax.Win32.PCRepair.*
* HEUR:Hoax.Win32.PCRepair.gen
* HEUR:Hoax.MSIL.Optimizer.gen
* Hoax.Win32.SpeedUpMyPC.gen
Как работают программы из категории Hoax
После установки Hoax запускают процесс сканирования компьютера. Они могут проверять все то же, что проверяют легитимные чистильщики. После сканирования вводящие пользователей в заблуждение программы выводят окна с информацией о том, какие же проблемы они обнаружили.
И вот тут проявляется главная проблема такого ПО. Пользователю начинают показывать запугивающие сообщения об огромном количестве найденных ошибок или неполадок в системе. Вот пример чистильщика, значительно преувеличивающего критичность возможных проблем с ключами реестра:
Или же утилита будет находить некие неполадки, но станет намеренно завышать уровень их важности, используя некорректные формулировки. Например, в этой утилите для обновления драйверов их статус варьируется от «старого» до «древнего»:
Некоторые приложения не позволяют закрыть себя сразу, выводя после нажатия на крестик очередное запугивающее окно — «Уровень ущерба: высокий».
Также Hoax-программы очень любят прописываться в автозапуск и заваливать пользователя всплывающими уведомлениями о том, что с компьютером что-то не в порядке.
Hoax-программы бывают не только для Windows. Вот пример для macOS: ситуация считается критической при незначительном заполнении логов и кеша.
Чтобы починить/исправить/устранить недостатки, нужно подписаться или приобрести полную версию софта. После оплаты полной версии многие программы действительно очистят компьютер, но значимость их услуг будет весьма завышена, как говорилось выше. Некоторые Hoax-программы могут и вовсе не очистить компьютер. Таким образом, в лучшем случае пользователь переплатит, а в худшем — выкинет деньги на ветер.
Adware в подарок и шанс выиграть трояна
Некоторые разработчики мошеннических чистильщиков в своей жадности идут еще дальше и заодно с собственным творением устанавливают на компьютер жертвы дополнительные программы. Как правило, это рекламное ПО, но в некоторых случаях встречаются даже трояны.
Например, связавшись с Hoax, пользователь может нарваться на частичную блокировку компьютера. Программа, показанная ниже, разворачивается на полный экран, перекрывает панель инструментов, а также блокирует возможность переключения между программами по нажатии Alt+Tab и возможность возврата в режим окна по нажатии клавиши F11.
После этого пользователю предлагают ввести код разблокировки (которого у него, естественно, нет). Либо открыть удаленный доступ к компьютеру через TeamViewer, AnyDesk и другие программы, иконки которых заботливо размещены в правой части окна.
Как Hoax попадает на компьютеры пользователей
Целевая аудитория разработчиков Hoax — неопытные пользователи домашних компьютеров, которые слабо разбираются в устройстве операционных систем и не задумываются о том, чтобы регулярно избавляться от «мусора» или обновлять систему.
Когда компьютер начинает тормозить совсем уж сильно, многие пользователи отправляются в интернет на поиски решения проблем и могут по неосторожности попасть на Hoax.
Но есть и другой способ распространения. Hoax можно получить через рекламу или через мошеннические веб-страницы. Например, в случае когда пользователь заразился AdWare, это может выглядеть так:
Также на мошеннические страницы, предлагающие услуги по очистке или ускорению компьютера, можно нарваться в процессе посещения фишинговых веб-сайтов. Например, эта страница выводит сообщение о том, что на компьютере обнаружены шпионские программы.
Обычно дальше предлагается либо позвонить в техподдержку (где деньги будут вымогать устно), либо скачать Hoax. Разумеется, верить подобным страницам нельзя — их надо просто закрывать.
Кроме того, недавно начал набирать популярность новый способ распространения Hoax — через всплывающие уведомления браузеров, на которые многие машинально подписываются. Подписки на браузерные push-уведомления сейчас очень популярны, в том числе и у мошенников, и доставляют довольно много проблем пользователям.
Далеко не все понимают, как эти подписки устроены, откуда они берутся и как их отключить. Иногда пользователи даже не в курсе, что эти уведомления показывает именно браузер, а исходят они от веб-сайтов, намерения создателей которых могут быть совсем не добрыми.
После нажатия на подобные уведомления пользователи попадают на мошеннические страницы, маскирующиеся под антивирусные программы. Вот пример мошеннической веб-страницы, имитирующей интерфейс Защитника Windows (Windows Defender):
После того как пользователя как следует запугают огромным количеством проблем с компьютером, его перенаправляют на страницу загрузки Hoax-программы.
Hoax: статистика и география распространения
Как уже было сказано в начале поста, по нашей статистике в конце 2018 года начался бурный рост активности на рынке мошеннического ПО для оптимизации работы компьютера, который продолжается до сих пор. Количество пользователей, сталкивающихся с Hoax, удвоилось по сравнению с началом прошлого года, возросло количество жалоб.
По нашим данным, самая популярная цель среди создателей и распространителей Hoax— Япония. Каждый восьмой пользователь в этой стране за последние годы сталкивался с Hoax. За Японией следуют Германия и, что удивительно, Белоруссия. Замыкают пятерку наиболее пострадавших от Hoax стран Италия и Бразилия.
Усилиями компаний, разрабатывающих антивирусы, получается хоть как-то сдерживать растущую волну Hoax и иногда даже полностью выводить с «рынка» некоторые мошеннические программы.
Реагируя на эти меры, некоторые распространители Hoax отказываются от запугивающей модели распространения. Они начинают предоставлять пользователям больше информации о том, что делает программа, не так сильно завышают серьезность найденных проблем и предлагают воспользоваться бесплатной пробной версией. Тем не менее борьба еще не закончена.
