- Тепер опишу сьогоднішній випадок
- Механізм зараження, роботи вірусу і спосіб його видалення
- остаточна зачистка
Наша взаимовыгодная связь https://banwar.org/
Якщо при завантаженні операційної системи замість звичного робочого столу Ви бачите таке або подібне повідомлення та ще й з погрозами знищення даних, пошкодження комп'ютера, арешту, розстрілу і т.д в разі несплати протягом короткого часу, при цьому дане повідомлення неможливо ніяк прибрати або згорнути (неможливі ніякі дії крім як ввести код розблокування), знайте: Ви стали жертвою шахраї-здирників, але платити їм НІ В ЯКОМУ РАЗІ не можна. Цим Ви тільки проспонсіруете подальші розробки шкідливого ПО, крім того, відправка грошей куди-небудь зовсім не означає що Вам надішлють рятівний код, а якщо і надішлють, то не факт, що ситуація через тиждень не повториться знову. У даній статті я опишу як не допустити таке зараження і вилікувати комп'ютер, якщо вже сталося, на прикладі однієї подібної ситуації.
В даний час таке зараження можна зустріти відносно рідко, але люди все одно примудряються десь його знаходити і тоді доводиться згадувати колишньої досвід і братися за знищення цієї напасті. Два роки тому ситуація з вірусами-вінлокерамі була просто катастрофічною: заражалися практично всі і неодноразово. Вражала винахідливість вірусів: були випадки, коли ситуація дозволялася тільки повної перевстановлення системи. Після арешту в минулому році в Москві банди таких «програмістів» становище різко поліпшилося. Вразила сума, яку вони заробили за півроку: мільярд (!!!) рублів.
Тепер опишу сьогоднішній випадок
Симптоми: вікно вірусу поверх всіх інших, заблокований Диспетчер завдань, стандартний набір загроз. З нововведень слід відзначити те, що автори таких вірусів більше не пропонують відправити гроші по СМС. Замість цього потрібно поповнювати їх WebMoney-гаманець (в цьому випадку відстежити автора вірусу практично неможливо), ну і суми зросли: якщо раніше вимагачі просили по 30 гривень, то зараз по 100 (а кримінальна відповідальність в Україні починається від 60 гривень). Розсмішило абсолютно убоге виконання вірусу: вони не змогли реалізувати навіть повноекранний режим (мабуть дозвіл екрана 1200 × 800 - з розряду малоймовірних))) тому побороти його не склало особливих труднощів (але якщо жертви почнуть перерахують їм гроші, то вони накуплять дуже багато розумних книг з програмування і в наступний раз напишуть щось більш витончене!), купа граматичних помилок ( «... повідомляє про блокування і ...»))).
Механізм зараження, роботи вірусу і спосіб його видалення
В автозавантаженні присутній файл «superclubber.bat» з текстом:
@echo off
Title superclubber
start superclubber.exe
Виявлення troyan winlock за допомогою утиліти Sysinternals Autoruns в автозавантаженні Windows
тобто він запускає файл «superclubber.exe», який і є власне цим вірусом. Відповідно вся процедура лікування зводиться до видалення цього запису в реєстрі і двох файлів (на жаль такі прості віруси зустрічаються дуже рідко, зазвичай доводиться дуже міцно попотіти щоб його вапна). Аналіз даного файлу на сайті virustotal.com показав, що його в даний момент визначають тільки 14 антивірусів з 43. (невисокий відсоток (!)). Avira (TR / Crypt.CFI.Gen), Avast (Win32: Rootkit-gen [Rtk]), AVG (Generic23.AMUX), DrWeb (Trojan.Winlock.3724), Kaspersky (Trojan-Ransom.Win32.Blocker.apz ), NOD32 (a variant of Win32 / LockScreen.AHP trojan) виявилися в числі тих, хто визначає. З тих хто його досі не визначає, і, відповідно пропускають слід зазначити антивіруси Microsoft, Panda, Symantec, McAfee, GData.
Після перезавантаження віконце більше не вискакує, значить вірус більше не активний.
Причина зараження даного комп'ютера виявилася в тому, що остання дата оновлення антивіруса Avast була 13 червня (тобто він не оновлювався більше місяця), а станом на то число він цей вірус ще не знав і тому пропустив.
Спосіб зараження: подальший аналіз показав, що людина все попереднє зараження час провів в на різних порносайтах (більше 100 шт. Поспіль). Один з цих сайтів містив шкідливий код (java-експлоїт), який і зробив зараження.
Перегляд Історії браузера Opera показав, що в день зараження користувач відвідав велику кількість порносайтів
остаточна зачистка
Оновлюємо антивірус і робимо повне сканування системи:
У результатах сканування виявляємо файли за допомогою яких відбулося зараження
У результатах сканування виявляємо файли за допомогою яких відбулося зараження. В даному випадку воно сталося зовсім непомітно для користувача і не вимагало від нього ніяких дій. Ще раз зазначу: якби користувач вчасно потурбувався про підтримці антивіруса в актуальному стані, то цього зараження б не сталося!
Те ж саме робимо програмою Malwarebytes Anti-Malware:
Результат сканування програмою Malwarebytes Anti-Malware
Результат схожий на попередній. Видаляємо всі знайдені об'єкти, перезавантажується. Отримуємо чисту, нормально працюючу систему, ну і економимо заодно 100 гривень.)
Наша взаимовыгодная связь https://banwar.org/. Запустив новый сайт, "Пари Матч" обещает своим клиентам незабываемый опыт и возможность выиграть крупные суммы.
