Уже кілька років гуляє по країні, поширюється і множиться нова напасть - віруси-блокери. Ці зловредів блокують роботу Windows, вимагаючи від користувача відправки платній СМС на короткий номер за припинення своєї руйнівної діяльності. Багато дурники піддаються на цей примітивний шантаж ...
Але не будемо про сумне. Сьогодні наше завдання - не юридичні тонкощі, а позбавлення системи від оселився в ній вірусу-блокера без дурнуватій відправки грошей (а це можуть бути сотні рублів) вимагача. І тут можливі різні варіанти.
сервіси деактивації
Найпростіший спосіб швидко розблокувати Windows, наприклад, для того, щоб терміново продовжити роботу або навіть скачати свіжий антивірус - це скористатися спеціальними сервісами деактивації блокерів. Справа в тому, що велика частина блокерів вже добре відома антивірусним компаніям, причому разом з кодами їх розблокування.
Нагадаю для тих, хто не в курсі - після того, як піддався на шантаж користувач відправить платну СМС вимагача, йому, по ідеї, повинна прийти відповідь СМС з якимось буквено-цифровим кодом, який треба ввести в спеціальну форму вікна вірусу, щоб він відключився і дозволив працювати в системі. Що найцікавіше - сам вірус при цьому зазвичай не знищується, а спокійно сидить в пам'яті ПК, і ще невідомо, що він там може в подальшому наробити. Тому розблокування за допомогою коду - це екстрена міра, призначена для швидкого відновлення роботи системи, але аж ніяк не скасовує подальшої її зачистки від залишків вірусу.
Тут ви побачите форму для введення короткого номера і тексту з повідомлення трояна, або зможете вибрати «правильний» вірус прямо по його скриншоту. Далі все просто - заповнюєте форму або клацаєте по скриншоту (а ще іноді можна ввести точну назву троянця, якщо воно вам відомо) і отримуєте код для розблокування системи. Згодовуєте його вірусу і отримуєте доступ до Windows. Тепер ви можете виходити в інтернет, запускати якісь програми.
Крім того, можна спробувати пошукати офлайн-генератори кодів для деяких типів широко поширених блокерів, такі як Symantec Trojan.Ransomlock Key Generator Tool [9].
Тільки врахуйте, даний спосіб хоч і може здатися комусь не обов'язковим на тлі нижченаведених варіантів, проте користь в ньому є. Наприклад, у випадку з троянами, шифр інформацію на вашому диску. Якщо ви ще до повного позбавлення від троянця зможете ввести правильний код, то є шанс, що він поверне зашифрованим документам їх первозданний вигляд. До речі, на сайті Лабораторії Касперського можна знайти навіть утиліти для розшифровки [10] файлів, над якими «попрацював» вірус :.
тотальна зачистка
Наступним кроком обов'язково має бути повне видалення зловредів і всіх його слідів на диску і в реєстрі Windows. Ні в якому разі не можна залишати троянця в системі! Навіть не проявляючи зовнішньої активності, він може красти ваші приватні дані, паролі, розсилати спам і так далі. Та й не виключено, що через якийсь час він знову захоче заблокувати ОС.
Але не все так просто - оскільки вірус все ще в системі, не факт, що він дозволить вам відкрити сайт антивірусної компанії або запустити антивірусну утиліту. Тому найнадійніший спосіб «зачистки» - використання LiveCD зі свіжим антивірусом або ж установка зараженого вінчестера на інший ПК, з «чистою» системою і хорошим антивірусом. Також може спрацювати сканування після завантаження ПК в так званому «безпечному режимі», який викликається натисканням клавіші F8 при запуску системи. Ці ж методи доведеться використовувати в тому випадку, якщо жоден антивірусний сайт не зміг підібрати вам код розблокування Windows.
Отже, знову підемо від простого до складного. Для початку, незалежно від того, чи змогли ви підібрати код розблокування, пробуємо завантажити «Безпечний режим». Якщо Windows стартувала, то скануємо систему за допомогою безкоштовних утиліт:
Подібних безкоштовних сканерів дуже багато - великий їх список ви найдетё, наприклад, на сайті comss.ru [16]. Спробуйте завантажити кілька штук і проскануйте ними диски зараженого комп'ютера.
Є і утиліти, націлені на лікування якогось одного сімейства троянів, наприклад - Digita_Cure.exe [17]. видаляє Trojan-Ransom.Win32.Digitala.
Перевага сканування за допомогою LiveCD полягає в тому, що при цьому повністю виключається можливість запуску трояна, крім того, сканування проводиться повноцінним антивірусом з повним набором антивірусних баз, а не усіченої його версією як у випадку зі спеціальними лечащими утилітами. Відповідно, ймовірність успішного позбавлення від «зарази» набагато вище.
Причому в складі Kaspersky Rescue Disk, наприклад, передбачена навіть спеціальна утиліта для боротьби з програмами-вимагачами Kaspersky WindowsUnlocker. Вона проводить лікування реєстру всіх операційних систем, встановлених на комп'ютері.
Нарешті, ще один безпрограшний варіант - тупо зняти з заблокованого ПК вінчестер, підключити його до іншого комп'ютера (можна навіть за допомогою переносного USB-боксу) і просканувати його вже з-під свідомо незаражених системи. Знову ж - хорошим антивірусом, зі свіжими базами і з найбільш жорсткими настройками евристики. Зрозуміло, вкрай бажано відстежити дії антивіруса, щоб зрозуміти, чи знайшов він щось, чи зміг вилікувати, і взагалі - схоже чи все це на видалення саме подцепленний вами блокера.
видалення вручну
В принципі, вже на цьому етапі у вас має все працювати, і система повинна бути чистою. Але знову ж таки, гладко буває тільки на папері. У житті можуть бути варіанти. Наприклад, блокер може виявитися настільки новим і хитрим, що навіть самий свіжий антивірус при повному режимі сканування не зможе його виявити. Або ж процес лікування виявиться за своїми наслідками не менше фатальним для ОС, ніж дії вірусу, оскільки при цьому можуть виявитися пошкоджені або видалені якісь важливі системні файли (з огляду на їх зараження або підміни вірусом) і система знову ж відмовиться завантажуватися. При такому розкладі, якщо ви, звичайно, не хочете встановлювати заново ОС, доведеться розбиратися в усьому вручну.
Зміна значення параметрів
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
HKEY_CURRENT_USER \ Software \ Microsoft \ WindowsNT \ CurrentVersion \ Winlogon
Зміна значення параметра "AppInit_DLLs" = "" в розділі
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Windows
І, зрозуміло, параметри в стандартних розділах автозапуску в реєстрі:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
Зрозуміло, якщо ви знайдете в цих гілках реєстру (або інших, теж дозволяють зробити автозапуск, але рідше використовуваних) згадки якихось незрозумілих додатків (типу "Shell" = "C: \ Windows \ svvghost.exe" або програм з іменами на кшталт aers0997 .exe. складеними з випадкових букв і цифр) і видаліть їх, привівши значення параметрів до стандартного вигляду, треба буде згодом видалити і самі файли вірусу. Шлях до них ви побачите в реєстрі, в значенні все тих же змінених параметрів. Самі улюблені місця, де вони зазвичай «ховаються» - папки тимчасових файлів Documents and Settings \ <имя_юзера>\ Local Settings \ Temp і Temporary Internet Files. папка служби відновлення системи System Volume Information і навіть папка кошика $ RECYCLE.BIN або RECYCLER. Якщо зараження відбулося щойно, файли вірусу легко шукати за датою створення.
Втім, на базі ERD Commander або BartPE умільці наробили безліч ще більш просунутих інструментів відновлення системи, що містять в собі і пакет антивірусних сканерів і полезнейшие утиліти начебто програми Autoruns [26]. Якщо вам попадеться такий диск, то з Autoruns інспектувати можливі місця автозапуску в сотні разів зручніше і швидше, до того ж не потрібно ніяких знань структури реєстру. Просто шукаєш в списку явно «ліві» програми і знімаєш навпаки них прапорець - як в штатному MSCONFIG.EXE.
Дуже непогано підходить для пошуку слідів зловредів програма Trend Micro HijackThis [28]. Вона, наприклад, дозволяє зручно переглядати файл HOSTS (його трояни змінюють для того, щоб заблокувати вам доступ до антивірусних сайтів) і навіть альтернативні потоки файлової системи NTFS. Хороший, особливо при пошуку «руткітів», і досить відомий GMER [29].
Словом, чим більш просунутий LiveCD ви знайдете, тим більш глибоко ви зможете проникнути в систему для пошуку шкідливого засланця.
Найнеприємніше - якщо троянець підмінить собою ще й частина системних файлів Windows (taskmgr.exe. Userinit.exe. Explorer.exe тощо) - в цьому випадку вам доведеться скористатися такими механізмами, як «Відновлення системи» і «Перевірка системних файлів» (sfc.exe. команда на його запуск виглядає так: sfc / scannow). Також можна пошукати в інтернеті комплект «рідних» файлів для вашої версії Windows. Відновлювати їх доведеться після завантаження ПК з LiveCD.
Не відходячи від каси
Але далеко не завжди є можливість завантажити ПК з LiveCD. Іноді треба «прибити» заразу прямо не виходячи із зараженої системи, маючи на екрані тільки вікно вірусу з ласкавим пропозицією поділитися зарплатою. Або ж просто немає можливості і часу шукати якісь додаткові інструменти. Що робити в цьому випадку? Виявляється, є ряд трюків, що дозволяють «обдурити» вірус.
reg add "HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon" / v Shell / d explorer.exe reg add "HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon" / v Userinit / d C: \ Windows \ system32 \ userinit.exe,
Якщо ж треба прибрати з екрану вікно троянця, можна спробувати через диспетчер задач (якщо він викликається), «вбити» процес explorer. Якщо троян не дає запустити, скажімо, ту ж Autoruns, то спробуйте перейменувати файл цієї програми в щось типу game.exe.
Не забуваємо про комбінації клавіш Win + R, CTRL + Shift + Esc, а також команди tasklist і taskkill.
Якщо ви можете запустити Microsoft Word, наберіть в ньому який-небуть короткий текст і без збереження документ, виберіть «Пуск» - «Завершення роботи». Всі програми почнуть закриватися, в тому числі і троян, а Microsoft Word видасть повідомлення «Хочете закрити не збереглося?», Натисніть кнопку «Скасувати» і приступайте до очищення системи.
Якщо вірус прописався в звичайні місця автозавантаження, спробуйте включити ПК з затиснутою клавішею SHIFT - це забороняє запуск автоматично завантажуваних програм.
Якщо можете створити користувача з обмеженими правами або такий вже є у вашій системі, спробуйте увійти з-під нього - вірус може не запуститися, ви ж зможете від імені Адміністратора скористатися будь-який лікує утилітою.
профілактика
Ну добре, «заразу» «прішібла», «хвости» підчистили, все працює. Але, згадуючи кожен раз, скількох це коштувало нервів і зусиль, ви вирішили більше не повторювати таких помилок. Що ж потрібно зробити, щоб уникнути зараження в майбутньому? Зрозуміло, найголовніше - хороший антивірус і фаєрвол, причому бажано з можливістю примусового блокування скриптів в браузері (ActiveX, JAVA Applets, Jscript, VBS, але, на жаль, таке в фаєрвол зараз майже не зустрічається, хоча в браузері блокувати це можна - використовуйте хоча б кошти браузера або блокують скрипти плагіни, такі як NoScript [31] і Adblock Plus [32] для Firefox [33]).
Друге важливе засіб захисту - повсякденна робота з-під облікового запису з обмеженими правами, хоча це багато і не люблять (я в тому числі). Але тут можна піти на невелику хитрість - навіть для облікового запису Адміністратора обмежити можливість зміни гілки реєстру
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon.
До речі, не варто відключати і функцію відновлення системи Windows - вона дуже сильно допомагає якраз в таких випадках.
Не забувайте оновлювати систему, встановлювати нові версії постійно використовуваних програм - це позбавить від деяких вразливостей. Переконайтеся, що на диску з операційною системою у вас використовує файлову систему NTFS.
Пам'ятайте, що перевіряти на наявність вірусів можна не тільки файли, але навіть знаходяться в інтернеті веб-сторінки - в цьому вам допоможуть вбудовані функції браузерів (SmartScreen в IE, розширення LinkExtend [37] для Firefox) і такі сервіси, як:
І, нарешті, ніколи не слід надсилати СМС зловмисникові, який створив вірус. Пам'ятайте, що гроші ви втратите майже напевно, а код розблокування можете і не отримати. Простіше отримати код у оператора компанії, що відповідає за роботу даного короткого номера. Завжди після зараження вірусами міняйте свої паролі і «явки» - не виключено, що крім блокування системи троянець виконує і якісь інші шкідливі функції.
Злодій повинен сидіти у в'язниці!
Пам'ятайте, що ви завжди можете звернутися до постачальника, який обслуговує короткий номер, вимагаючи видати код деактивації. Зокрема, крім свого стільникового оператора, вам знадобляться такі контакти:
- А1: Перший альтернативний контент-провайдер (alt1.ru, a1agregator.ru)
- ІнкорМедіа (incoremedia.ru)
Телефонуйте, лайтеся, погрожуєте подати заяву в прокуратуру, вимагайте покарати зловмисника, заодно повідомте дані блокера і отримаєте разблокіровочний код. А якщо ви дійсно подасте заяву в міліцію, громадськість поставить вам пам'ятник!
Корисні посилання
Якщо не запускаються exe-файли, імпортуйте до реєстру:
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT \ exefile \ shell]
[HKEY_CLASSES_ROOT \ exefile \ shell \ open]
"EditFlags" = hex: 00,00,00,00
[HKEY_CLASSES_ROOT \ exefile \ shell \ open \ command]
@ = ""% 1 "% *"
[HKEY_CLASSES_ROOT \ exefile \ shell \ runas]
[HKEY_CLASSES_ROOT \ exefile \ shell \ runas \ command]
@ = ""% 1 "% *"
Всі згадувані на сайті торгові марки належать їх шановним власникам