- Голими руками
- Простим коням - прості заходи
- Військова хитрість
- Стара школа
- Операція під наркозом
- Боротьба на ранньому етапі
- У хрестовий похід з хрестовим викруткою
Наша взаимовыгодная связь https://banwar.org/
За допомогою троянів сімейства Winlock, відомих як «блокувальники Windows», у рядових користувачів вимагають гроші вже більше п'яти років. До теперішнього часу представники цього класу шкідливих програм серйозно еволюціонували і стали однією з найчастіших проблем. Нижче пропонуються способи самостійної боротьби з ними і даються рекомендації щодо запобігання зараження.
Поява трояна в системі зазвичай відбувається швидко і непомітно для користувача. Людина виконує звичний набір дій, переглядає веб-сторінки і не робить чогось особливого. В якийсь момент просто з'являється повноекранний банер, який не вдається прибрати звичайним способом.
Картинка може бути відверто порнографічної, або навпаки - оформлена максимально строго і грізно. Підсумок один: в повідомленні, розташованому поверх інших вікон, потрібно перерахувати вказану суму на такий-то номер або відправити платне SMS-повідомлення. Часто воно доповнюється погрозами кримінального переслідування або знищення всіх даних, якщо користувач не поквапиться з оплатою.
Приклад банера від імені МВС України. Особливо дивно його бачити користувачам з інших країн
Зрозуміло, платити здирникам не варто. Замість цього можна з'ясувати , Якого оператора стільникового зв'язку належить вказаний номер, і повідомити його службі безпеки. В окремих випадках вам навіть можуть сказати код розблокування по телефону, але дуже розраховувати на це не доводиться.
Методики лікування засновані на розумінні тих змін, які троян вносить в систему. Залишається виявити їх і скасувати будь-яким зручним способом.
Голими руками
Для деяких троянів дійсно існує код розблокування. У рідкісних випадках вони навіть чесно видаляють себе повністю після введення вірного коду. Дізнатися його можна на відповідних розділах сайтів антивірусних компаній - дивіться приклади нижче.
Сервіс розблокування Windows компанії «Доктор Веб» Сервіс розблокування Windows компанії «Лабораторія Касперського»
Зайти в спеціалізовані розділи сайтів "Доктор Веб" , "Лабораторії Касперського" і інших розробників антивірусного ПО можна з іншого комп'ютера або телефону.
Після розблокування не тіштеся тим передчасно і не вимикайте комп'ютер. Скачайте будь-який безкоштовний антивірус і виконайте повну перевірку системи. Для цього скористайтеся, наприклад, утилітою Dr.Web CureIt! або Kaspersky Virus Removal Tool .
Простим коням - прості заходи
Перш ніж використовувати складні методи і спецсофт, спробуйте обійтися наявними засобами. Викличте диспетчер задач комбінацією клавіш {CTRL} + {ALT} + {DEL} або {CTRL} + {SHIFT} + {ESC}. Якщо вийшло, то ми маємо справу з примітивним трояном, боротьба з яким не доставить проблем. Знайдіть його в списку процесів і примусово завершите.
Підозрілий процес в диспетчері завдань
Сторонній процес видає невиразне ім'я і відсутність опису. Якщо сумніваєтеся, просто по черзі вивантажуйте всі підозрілі до зникнення банера.
Якщо диспетчер задач не викликається, спробуйте використовувати сторонній менеджер процесів через команду «Виконати», що запускається натисканням клавіш {Win} + {R}. Ось як виглядає підозрілий процес в System Explorer .
Розширений менеджер запущених процесів System Explorer
Завантажити програму можна з іншого комп'ютера або навіть з телефону. Вона займає всього пару мегабайт. За посиланням «перевірити» відбувається пошук інформації про процес в онлайновій базі даних, але зазвичай і так все зрозуміло. Після закриття банера часто потрібно перезапустити «Провідник» (процес explorer.exe). У диспетчері завдань натисніть: Файл -> Нова задача (виконати) -> c: Windowsexplorer.exe.
Коли троян деактивовано на час сеансу, залишилося знайти його файли і видалити їх. Це можна зробити вручну або скористатися безкоштовним антивірусом.
Типове місце локалізації трояна - каталоги тимчасових файлів користувача, системи і браузера. Доцільно все ж виконувати повну перевірку, так як копії можуть перебувати де завгодно, а біда не приходить одна. Подивитися повний список об'єктів автозапуску допоможе безкоштовна утиліта Autoruns .
AutoRuns покаже всі об'єкти автозапуску (на скріншоті видно лише мала частина)
Військова хитрість
Справитися з трояном на першому етапі допоможе особливість в поведінці деяких стандартних програм. При вигляді банера спробуйте запустити «наосліп» Блокнот або WordPad. Натисніть {WIN} + {R}, напишіть notepad і натисніть {ENTER}. Під банером відкриється новий текстовий документ. Наберіть будь-яку абракадабру і потім коротко натисніть кнопку вимкнення живлення на системному блоці. Всі процеси, включаючи троянський, почнуть завершуватися, але виключення комп'ютера не відбудеться.
Блокнот - коня на скаку зупинить і доступ адміну поверне!
Чи залишиться діалогове вікно «Зберегти зміни у файлі?». З цього моменту на час сеансу ми позбулися банера і можемо добити трояна до перезавантаження.
Стара школа
Більш просунуті версії троянів мають засоби протидії спробам позбутися від них. Вони блокують запуск диспетчера завдань, підміняють інші системні компоненти.
В цьому випадку перезавантажте комп'ютер і утримуйте {F8} в момент завантаження Windows. З'явиться вікно вибору способу завантаження. Нам потрібно «Безпечний режим з підтримкою командного рядка» (Safe Mode with Command Prompt). Після появи консолі пишемо explorer і натискаємо {ENTER} - запуститься провідник. Далі пишемо regedit, натискаємо {ENTER} і бачимо редактор реєстру. Тут можна знайти створені трояном записи і виявити місце, звідки походить його автозапуск.
Ключі реєстру, часто модифікуються троянами сімейства Winlock
Частіше за все ви побачите повні шляхи до файлів трояна в ключах Shell і Userinit в гілці
HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon
В "Shell" троян записується замість explorer.exe, а в "Userinit" вказується після коми. Копіюємо повне ім'я троянського файлу в буфер обміну з першої виявленої записи. У командному рядку пишемо del, робимо пробіл і викликаємо правою клавішею миші контекстне меню.
Видалення трояна з консолі (повне ім'я файлу взято з реєстру і скопійовано в буфер обміну)
У ньому вибираємо команду «вставити» та натискаємо {ENTER}. Один файл трояна що знаходиться на відстані, робимо те ж саме для другого і наступних.
Видалення трояна з консолі - файл знаходився в тимчасовій папці.
Потім виконуємо в реєстрі пошук по імені файлу трояна, уважно переглядаємо всі знайдені записи і видаляємо підозрілі. Очищаємо всі тимчасові папки і кошик. Навіть якщо все пройшло ідеально, не полінуйтеся потім виконати повну перевірку будь-яким антивірусом.
Якщо через трояна перестали працювати мережеві підключення, спробуйте відновити настройки Windows Sockets API утилітою AVZ.
Відновлення мережевих сервісів за допомогою AVZ
Операція під наркозом
З випадками серйозного зараження марно боротися з-під інфікованої системи. Логічніше завантажитися з явно чистої і спокійно вилікувати основну. Існують десятки способів зробити це, але один з найпростіших - скористатися безкоштовною утилітою Kaspersky WindowsUnlocker, що входить до складу Kaspersky Rescue Disk . як і DrWeb LiveCD, він заснований на Gentoo Linux. Файл-образ можна записати на болванку або зробити з нього завантажувальний флешку утилітою Kaspersky USB Rescue Disk Maker .
Створення завантажувальної флешки з образу Kaspersky Rescue Disk
Завбачливі користувачі роблять це завчасно, а решта звертаються до друзів або йдуть в найближчим інтернет-кафе вже під час зараження.
При включенні зараженого комп'ютера утримуйте для входу в BIOS. Зазвичай це {DEL} або {F2}, а відповідне запрошення відображається внизу екрана. Вставте Kaspersky Rescue Disk або завантажувальний флешку. В налаштуваннях завантаження (Boot options) виберіть першим завантажувальним пристроєм привід оптичних дисків або флешку (іноді вона може відображатися в списку, що розкривається HDD). Збережіть зміни {F10} і вийдіть з BIOS.
Сучасні версії BIOS дозволяють вибирати завантажувальний пристрій на льоту, без входу в основні настройки. Для цього потрібно натиснути {F12}, {F11} або поєднання клавіш - докладніше дивіться в повідомленні на екрані, в інструкції до материнської плати або ноутбука. Після перезавантаження почнеться запуск Kaspersky Rescue Disk.
Завантаження Kaspersky Rescue Disk Kaspersky Rescue Disk в графічному режимі
Доступний російську мову, а лікування можна виконати в автоматичному або ручному режимі - дивіться покрокову інструкцію на сайті розробника.
Боротьба на ранньому етапі
Окремий підклас складають трояни, що вражають головний завантажувальний запис (MBR). Вони з'являються до завантаження Windows, і в секціях автозапуску ви їх не знайдете.
Троян сімейства Winlock, що заразив MBR
Перший етап боротьби з ними полягає у відновленні вихідного коду MBR. У разі XP для цього завантажується з інсталяційного диска Windows, натисканням клавіші {R} викликаємо консоль відновлення і пишемо в ній команду fixmbr. Підтверджуємо її клавішею {Y} і виконуємо перезавантаження. Для Windows 7 аналогічна утиліта називається BOOTREC.EXE, а команда fixmbr передається у вигляді параметра:
Bootrec.exe / FixMbr
Після цих маніпуляцій система знову завантажується. Можна приступати до пошуку копій трояна і засобів його доставки будь-яким антивірусом.
У хрестовий похід з хрестовим викруткою
На малопотужних комп'ютерах і особливо ноутбуках боротьба з троянами може затягнутися, оскільки завантаження з зовнішніх пристроїв утруднена, а перевірка виконується дуже довго. У таких випадках просто витягніть заражений вінчестер і підключите його для лікування до іншого комп'ютера. Для цього зручніше скористатися боксами з інтерфейсом eSATA або USB 3.0 / 2.0.
Антивірусна перевірка жорстких дисків на іншому комп'ютері
Щоб не розносити заразу, попередньо відключаємо на "лікуючим" комп'ютері автозапуск з HDD (та й з інших типів носіїв не завадило б). Зробити це найзручніше безкоштовною утилітою AVZ, але саму перевірку краще виконувати чимось іншим. Зайдіть в меню «Файл», виберіть «Майстер пошуку та усунення проблем». Відзначте «Системні проблеми», «Все» і натисніть «Пуск». Після цього відзначте пункт "Дозволено автозапуск з HDD" та натисніть "Виправити зазначені проблеми".
Відключення автозапуску за допомогою AVZ
Також перед підключенням зараженого вінчестера варто переконатися, що на комп'ютері запущено резидентний антивірусний моніторинг з адекватними настройками і є свіжі бази.
Якщо розділи зовнішнього жорсткого диска не помітні, зайдіть в "Керування дисками". Для цього у вікні «Пуск» -> «Виконати» напишіть diskmgmt.msc і потім натисніть {ENTER}. Розділом зовнішнього жорсткого диска повинні бути призначені літери. Їх можна додати вручну командою «змінити букву диска ...». Після цього перевірте зовнішній вінчестер цілком.
Для запобігання повторного зараження слід встановити будь-який антивірус з компонентом моніторингу в режимі реального часу і дотримуватися загальних правил безпеки:
- намагайтеся працювати з-під облікового запису з обмеженими правами;
- користуйтеся альтернативними браузерами - більшість заражень відбувається через Internet Explorer;
- відключайте Java-скрипти на невідомих сайтах;
- вимкніть автозапуск зі змінних носіїв;
- встановлюйте програми, доповнення та оновлення тільки з офіційних сайтів розробників;
- завжди звертайте увагу на те, куди насправді веде пропонована посилання;
- блокуйте небажані спливаючі вікна за допомогою додатків для браузера або окремих програм;
- своєчасно встановлюйте оновлення браузерів, загальних і системних компонентів;
- виділіть під систему окремий дисковий розділ, а призначені для користувача файли зберігайте на іншому.
Дотримання останньої рекомендації дає можливість робити невеликі образи системного розділу (програмами Symantec Ghost, Acronis True Image, Paragon Backup and Recovery або хоча б стандартним засобом Windows "Архівація і відновлення"). Вони допоможуть гарантовано відновити роботу комп'ютера за лічені хвилини незалежно від того, чим він заражений і чи можуть антивіруси визначити трояна.
У статті наведено лише основні методи і загальні відомості. Якщо вас зацікавила тема, відвідайте сайт проекту GreenFlash. На сторінках форуму ви знайдете безліч цікавих рішень і поради щодо створення Мультізагрузочний флешки на всі випадки життя.
Поширення троянів Winlock не обмежена Росією і ближнім зарубіжжям. Їх модифікації існують практично на всіх мовах, включаючи арабську. Крім Windows, заражати подібними троянами намагаються і Mac OS X. Користувачам Linux не дано відчути радість від перемоги над підступним ворогом. Архітектура даного сімейства операційних систем не дозволяє написати скільки-небудь ефективний і універсальний X-lock. Втім, "пограти в доктора" можна і на віртуальній машині з гостьової ОС Windows.
Чи залишиться діалогове вікно «Зберегти зміни у файлі?