Десять способів позбавитися від троянів-вимагачів і розблокувати Windows

1. Голими руками
2. Простим коням - прості заходи
3. Військова хитрість
4. Стара школа
5. Операція під наркозом
6. Боротьба на ранньому етапі
7. У хрестовий похід з хрестовим викруткою

Наша взаимовыгодная связь https://banwar.org/

За допомогою троянів сімейства Winlock, відомих як «блокувальники Windows», у рядових користувачів вимагають гроші вже більше п'яти років. До теперішнього часу представники цього класу шкідливих програм серйозно еволюціонували і стали однією з найчастіших проблем. Нижче пропонуються способи самостійної боротьби з ними і даються рекомендації щодо запобігання зараження.

Поява трояна в системі зазвичай відбувається швидко і непомітно для користувача. Людина виконує звичний набір дій, переглядає веб-сторінки і не робить чогось особливого. В якийсь момент просто з'являється повноекранний банер, який не вдається прибрати звичайним способом.

Картинка може бути відверто порнографічної, або навпаки - оформлена максимально строго і грізно. Підсумок один: в повідомленні, розташованому поверх інших вікон, потрібно перерахувати вказану суму на такий-то номер або відправити платне SMS-повідомлення. Часто воно доповнюється погрозами кримінального переслідування або знищення всіх даних, якщо користувач не поквапиться з оплатою.

Приклад банера від імені МВС України. Особливо дивно його бачити користувачам з інших країн

Зрозуміло, платити здирникам не варто. Замість цього можна з'ясувати , Якого оператора стільникового зв'язку належить вказаний номер, і повідомити його службі безпеки. В окремих випадках вам навіть можуть сказати код розблокування по телефону, але дуже розраховувати на це не доводиться.

Методики лікування засновані на розумінні тих змін, які троян вносить в систему. Залишається виявити їх і скасувати будь-яким зручним способом.

Голими руками

Для деяких троянів дійсно існує код розблокування. У рідкісних випадках вони навіть чесно видаляють себе повністю після введення вірного коду. Дізнатися його можна на відповідних розділах сайтів антивірусних компаній - дивіться приклади нижче.

Сервіс розблокування Windows компанії «Доктор Веб» Сервіс розблокування Windows компанії «Лабораторія Касперського»

Зайти в спеціалізовані розділи сайтів "Доктор Веб" , "Лабораторії Касперського" і інших розробників антивірусного ПО можна з іншого комп'ютера або телефону.

Після розблокування не тіштеся тим передчасно і не вимикайте комп'ютер. Скачайте будь-який безкоштовний антивірус і виконайте повну перевірку системи. Для цього скористайтеся, наприклад, утилітою Dr.Web CureIt! або Kaspersky Virus Removal Tool .

Простим коням - прості заходи

Перш ніж використовувати складні методи і спецсофт, спробуйте обійтися наявними засобами. Викличте диспетчер задач комбінацією клавіш {CTRL} + {ALT} + {DEL} або {CTRL} + {SHIFT} + {ESC}. Якщо вийшло, то ми маємо справу з примітивним трояном, боротьба з яким не доставить проблем. Знайдіть його в списку процесів і примусово завершите.

Підозрілий процес в диспетчері завдань

Сторонній процес видає невиразне ім'я і відсутність опису. Якщо сумніваєтеся, просто по черзі вивантажуйте всі підозрілі до зникнення банера.

Якщо диспетчер задач не викликається, спробуйте використовувати сторонній менеджер процесів через команду «Виконати», що запускається натисканням клавіш {Win} + {R}. Ось як виглядає підозрілий процес в System Explorer .

Розширений менеджер запущених процесів System Explorer

Завантажити програму можна з іншого комп'ютера або навіть з телефону. Вона займає всього пару мегабайт. За посиланням «перевірити» відбувається пошук інформації про процес в онлайновій базі даних, але зазвичай і так все зрозуміло. Після закриття банера часто потрібно перезапустити «Провідник» (процес explorer.exe). У диспетчері завдань натисніть: Файл -> Нова задача (виконати) -> c: Windowsexplorer.exe.

Коли троян деактивовано на час сеансу, залишилося знайти його файли і видалити їх. Це можна зробити вручну або скористатися безкоштовним антивірусом.

Типове місце локалізації трояна - каталоги тимчасових файлів користувача, системи і браузера. Доцільно все ж виконувати повну перевірку, так як копії можуть перебувати де завгодно, а біда не приходить одна. Подивитися повний список об'єктів автозапуску допоможе безкоштовна утиліта Autoruns .

AutoRuns покаже всі об'єкти автозапуску (на скріншоті видно лише мала частина)

Військова хитрість

Справитися з трояном на першому етапі допоможе особливість в поведінці деяких стандартних програм. При вигляді банера спробуйте запустити «наосліп» Блокнот або WordPad. Натисніть {WIN} + {R}, напишіть notepad і натисніть {ENTER}. Під банером відкриється новий текстовий документ. Наберіть будь-яку абракадабру і потім коротко натисніть кнопку вимкнення живлення на системному блоці. Всі процеси, включаючи троянський, почнуть завершуватися, але виключення комп'ютера не відбудеться.

Блокнот - коня на скаку зупинить і доступ адміну поверне!

Чи залишиться діалогове вікно «Зберегти зміни у файлі?». З цього моменту на час сеансу ми позбулися банера і можемо добити трояна до перезавантаження.

Стара школа

Більш просунуті версії троянів мають засоби протидії спробам позбутися від них. Вони блокують запуск диспетчера завдань, підміняють інші системні компоненти.

В цьому випадку перезавантажте комп'ютер і утримуйте {F8} в момент завантаження Windows. З'явиться вікно вибору способу завантаження. Нам потрібно «Безпечний режим з підтримкою командного рядка» (Safe Mode with Command Prompt). Після появи консолі пишемо explorer і натискаємо {ENTER} - запуститься провідник. Далі пишемо regedit, натискаємо {ENTER} і бачимо редактор реєстру. Тут можна знайти створені трояном записи і виявити місце, звідки походить його автозапуск.

Ключі реєстру, часто модифікуються троянами сімейства Winlock

Частіше за все ви побачите повні шляхи до файлів трояна в ключах Shell і Userinit в гілці

HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon

В "Shell" троян записується замість explorer.exe, а в "Userinit" вказується після коми. Копіюємо повне ім'я троянського файлу в буфер обміну з першої виявленої записи. У командному рядку пишемо del, робимо пробіл і викликаємо правою клавішею миші контекстне меню.

Видалення трояна з консолі (повне ім'я файлу взято з реєстру і скопійовано в буфер обміну)

У ньому вибираємо команду «вставити» та натискаємо {ENTER}. Один файл трояна що знаходиться на відстані, робимо те ж саме для другого і наступних.

Видалення трояна з консолі - файл знаходився в тимчасовій папці.

Потім виконуємо в реєстрі пошук по імені файлу трояна, уважно переглядаємо всі знайдені записи і видаляємо підозрілі. Очищаємо всі тимчасові папки і кошик. Навіть якщо все пройшло ідеально, не полінуйтеся потім виконати повну перевірку будь-яким антивірусом.

Якщо через трояна перестали працювати мережеві підключення, спробуйте відновити настройки Windows Sockets API утилітою AVZ.

Відновлення мережевих сервісів за допомогою AVZ

Операція під наркозом

З випадками серйозного зараження марно боротися з-під інфікованої системи. Логічніше завантажитися з явно чистої і спокійно вилікувати основну. Існують десятки способів зробити це, але один з найпростіших - скористатися безкоштовною утилітою Kaspersky WindowsUnlocker, що входить до складу Kaspersky Rescue Disk . як і DrWeb LiveCD, він заснований на Gentoo Linux. Файл-образ можна записати на болванку або зробити з нього завантажувальний флешку утилітою Kaspersky USB Rescue Disk Maker .

Створення завантажувальної флешки з образу Kaspersky Rescue Disk

Завбачливі користувачі роблять це завчасно, а решта звертаються до друзів або йдуть в найближчим інтернет-кафе вже під час зараження.

При включенні зараженого комп'ютера утримуйте для входу в BIOS. Зазвичай це {DEL} або {F2}, а відповідне запрошення відображається внизу екрана. Вставте Kaspersky Rescue Disk або завантажувальний флешку. В налаштуваннях завантаження (Boot options) виберіть першим завантажувальним пристроєм привід оптичних дисків або флешку (іноді вона може відображатися в списку, що розкривається HDD). Збережіть зміни {F10} і вийдіть з BIOS.

Сучасні версії BIOS дозволяють вибирати завантажувальний пристрій на льоту, без входу в основні настройки. Для цього потрібно натиснути {F12}, {F11} або поєднання клавіш - докладніше дивіться в повідомленні на екрані, в інструкції до материнської плати або ноутбука. Після перезавантаження почнеться запуск Kaspersky Rescue Disk.

Завантаження Kaspersky Rescue Disk Kaspersky Rescue Disk в графічному режимі

Доступний російську мову, а лікування можна виконати в автоматичному або ручному режимі - дивіться покрокову інструкцію на сайті розробника.

Боротьба на ранньому етапі

Окремий підклас складають трояни, що вражають головний завантажувальний запис (MBR). Вони з'являються до завантаження Windows, і в секціях автозапуску ви їх не знайдете.

Троян сімейства Winlock, що заразив MBR

Перший етап боротьби з ними полягає у відновленні вихідного коду MBR. У разі XP для цього завантажується з інсталяційного диска Windows, натисканням клавіші {R} викликаємо консоль відновлення і пишемо в ній команду fixmbr. Підтверджуємо її клавішею {Y} і виконуємо перезавантаження. Для Windows 7 аналогічна утиліта називається BOOTREC.EXE, а команда fixmbr передається у вигляді параметра:

Bootrec.exe / FixMbr

Після цих маніпуляцій система знову завантажується. Можна приступати до пошуку копій трояна і засобів його доставки будь-яким антивірусом.

У хрестовий похід з хрестовим викруткою

На малопотужних комп'ютерах і особливо ноутбуках боротьба з троянами може затягнутися, оскільки завантаження з зовнішніх пристроїв утруднена, а перевірка виконується дуже довго. У таких випадках просто витягніть заражений вінчестер і підключите його для лікування до іншого комп'ютера. Для цього зручніше скористатися боксами з інтерфейсом eSATA або USB 3.0 / 2.0.

Антивірусна перевірка жорстких дисків на іншому комп'ютері

Щоб не розносити заразу, попередньо відключаємо на "лікуючим" комп'ютері автозапуск з HDD (та й з інших типів носіїв не завадило б). Зробити це найзручніше безкоштовною утилітою AVZ, але саму перевірку краще виконувати чимось іншим. Зайдіть в меню «Файл», виберіть «Майстер пошуку та усунення проблем». Відзначте «Системні проблеми», «Все» і натисніть «Пуск». Після цього відзначте пункт "Дозволено автозапуск з HDD" та натисніть "Виправити зазначені проблеми".

Відключення автозапуску за допомогою AVZ

Також перед підключенням зараженого вінчестера варто переконатися, що на комп'ютері запущено резидентний антивірусний моніторинг з адекватними настройками і є свіжі бази.

Якщо розділи зовнішнього жорсткого диска не помітні, зайдіть в "Керування дисками". Для цього у вікні «Пуск» -> «Виконати» напишіть diskmgmt.msc і потім натисніть {ENTER}. Розділом зовнішнього жорсткого диска повинні бути призначені літери. Їх можна додати вручну командою «змінити букву диска ...». Після цього перевірте зовнішній вінчестер цілком.

Для запобігання повторного зараження слід встановити будь-який антивірус з компонентом моніторингу в режимі реального часу і дотримуватися загальних правил безпеки:

• намагайтеся працювати з-під облікового запису з обмеженими правами;
• користуйтеся альтернативними браузерами - більшість заражень відбувається через Internet Explorer;
• відключайте Java-скрипти на невідомих сайтах;
• вимкніть автозапуск зі змінних носіїв;
• встановлюйте програми, доповнення та оновлення тільки з офіційних сайтів розробників;
• завжди звертайте увагу на те, куди насправді веде пропонована посилання;
• блокуйте небажані спливаючі вікна за допомогою додатків для браузера або окремих програм;
• своєчасно встановлюйте оновлення браузерів, загальних і системних компонентів;
• виділіть під систему окремий дисковий розділ, а призначені для користувача файли зберігайте на іншому.

Дотримання останньої рекомендації дає можливість робити невеликі образи системного розділу (програмами Symantec Ghost, Acronis True Image, Paragon Backup and Recovery або хоча б стандартним засобом Windows "Архівація і відновлення"). Вони допоможуть гарантовано відновити роботу комп'ютера за лічені хвилини незалежно від того, чим він заражений і чи можуть антивіруси визначити трояна.

У статті наведено лише основні методи і загальні відомості. Якщо вас зацікавила тема, відвідайте сайт проекту GreenFlash. На сторінках форуму ви знайдете безліч цікавих рішень і поради щодо створення Мультізагрузочний флешки на всі випадки життя.

Поширення троянів Winlock не обмежена Росією і ближнім зарубіжжям. Їх модифікації існують практично на всіх мовах, включаючи арабську. Крім Windows, заражати подібними троянами намагаються і Mac OS X. Користувачам Linux не дано відчути радість від перемоги над підступним ворогом. Архітектура даного сімейства операційних систем не дозволяє написати скільки-небудь ефективний і універсальний X-lock. Втім, "пограти в доктора" можна і на віртуальній машині з гостьової ОС Windows.