С помощью троянов семейства Winlock, известных как «блокировщики Windows», у рядовых пользователей вымогают деньги уже более пяти лет. К настоящему времени представители этого класса вредоносных программ серьёзно эволюционировали и стали одной из самых частых проблем. Ниже предлагаются способы самостоятельной борьбы с ними и даются рекомендации по предотвращению заражения.
Вредоносное ПО - сокращение от вредоносного программного обеспечения - является зонтичным термином, который относится к любой программной программе, специально созданной для выполнения несанкционированного и часто вредного действия. Вирусы, бэкдоры, кейлогеры, шпионское ПО, рекламное ПО, руткиты и трояны - всего лишь несколько примеров того, что считается вредоносным ПО. Несколько лет назад было достаточно назвать что-то «вирусом» или «троянским конем», однако сегодня появились методы и векторы инфекции, и термины «вирус и троян» больше не дают удовлетворительного определения для всех типов Которые существуют.
Появление трояна в системе обычно происходит быстро и незаметно для пользователя. Человек выполняет привычный набор действий, просматривает веб-страницы и не делает чего-то особенного. В какой-то момент просто появляется полноэкранный баннер, который не удаётся убрать обычным способом.
Картинка может быть откровенно порнографической, или наоборот – оформлена максимально строго и грозно. Итог один: в сообщении, расположенном поверх других окон, требуется перечислить указанную сумму на такой-то номер или отправить платное SMS-сообщение. Часто оно дополняется угрозами уголовного преследования или уничтожения всех данных, если пользователь не поторопится с оплатой.
Обновляйте программное обеспечение. Это особенно актуально для таких вещей, как ваша операционная система, программное обеспечение для обеспечения безопасности и веб-браузер, но также верно для любой программы, которую вы часто используете. Вирусы часто используют преимущества ошибок или эксплойтов в коде этих программ для распространения на новые машины, и, хотя компании, которые делают программы, обычно быстро исправляют дыры, эти исправления работают, только если они были загружены на ваш компьютер.
Как разблокировать свой компьютер от вируса
Также важно избегать действий, которые могут поставить под угрозу ваш компьютер. К ним относятся открытие нежелательных вложений электронной почты, посещение неизвестных веб-сайтов или загрузка программного обеспечения с ненадежных веб-сайтов или сетей передачи файлов однорангового доступа.
Разумеется, платить вымогателям не стоит. Вместо этого можно выяснить , какому оператору сотовой связи принадлежит указанный номер, и сообщить его службе безопасности. В отдельных случаях вам даже могут сказать код разблокировки по телефону, но очень рассчитывать на это не приходится.
Методики лечения основаны на понимании тех изменений, которые троян вносит в систему. Остаётся выявить их и отменить любым удобным способом.
Однако самопомощь по-прежнему доступна через статьи на этом портале поддержки. Следует также отметить, что наши агенты технической поддержки не имеют доступа к Ваш пароль разблокировки. Когда это произойдет, вы увидите сообщение, подобное приведенному ниже на экране блокировки вашего устройства. Время Осталось ввести пароль: 2 секунды Для восстановления платформы выберите один из следующих вариантов:. 1 - Пароль пользователя 2 - Пароль маркера сервера.
Это устройство заблокировано и может быть потеряно. Если найдено, пожалуйста, используйте следующую информацию, чтобы вернуть устройство. Выберите один из приведенных выше вариантов, чтобы продолжить. Хотя блокировка может возникать по нескольким причинам, шаги для разблокировки одинаковы. Ниже приводятся некоторые возможные причины блокировки.
Голыми руками
Для некоторых троянов действительно существует код разблокировки. В редких случаях они даже честно удаляют себя полностью после ввода верного кода. Узнать его можно на соответствующих разделах сайтов антивирусных компаний – смотрите примеры ниже.
Зайти в специализированные разделы сайтов «Доктор Веб» , «Лаборатории Касперского» и других разработчиков антивирусного ПО можно с другого компьютера или телефона.
Компьютер отмечен как украденный компьютер физически подделан. . Чтобы ввести пароль на заблокированном устройстве, выберите экранную опцию для ввода пароля, кода доступа или кодовой фразы и введите свой пароль. Если пароль будет принят, компьютер начнет работу.
Будьте осторожны при чтении и вводе кода восстановления, гарантируя, что вы не ошибаетесь в символах для других. Если код восстановления принят, компьютер начнет работу. Глоссарий терминов, используемых в этой статье. Эта афера предполагает, что интернет-пользователи обнаруживают, что их компьютер был заморожен, и на экране появляется всплывающее предупреждение. Мошенник утверждает, что они разблокируют компьютер, если плата будет уплачена.
После разблокировки не радуйтесь преждевременно и не выключайте компьютер. Скачайте любой бесплатный антивирус и выполните полную проверку системы. Для этого воспользуйтесь, например, утилитой Dr.Web CureIt! или Kaspersky Virus Removal Tool .
Простым коням — простые меры
Прежде чем использовать сложные методы и спецсофт, попробуйте обойтись имеющимися средствами. Вызовите диспетчер задач комбинацией клавиш {CTRL}+{ALT}+{DEL} или {CTRL}+{SHIFT}+{ESC}. Если получилось, то мы имеем дело с примитивным трояном, борьба с которым не доставит проблем. Найдите его в списке процессов и принудительно завершите.
Не позволяйте мошеннику выкупать вас - если вы платите, вам не гарантируется, что вы восстановите контроль над своим компьютером, и при удалении вируса или разблокировке компьютера, вероятно, будут значительные потери данных. Внезапно ваш компьютер зависает, и вы получаете всплывающее предупреждение из того, что, по-видимому, является авторитетным авторитетом, таким как австралийская федеральная полиция. В предупреждении указано, что ваш компьютер заблокирован, потому что вы нарушили закон или посетили незаконный сайт. Эти услуги включают в себя покупку ваучера на деньги из магазина, который затем можно использовать для онлайн-платежей. Если вы платите, мошенники могут или не могут разблокировать ваш компьютер. Даже если вы восстановите доступ к своему компьютеру, вредоносное ПО может продолжать работать, чтобы мошенники могли использовать ваши личные и финансовые данные для совершения мошенничества. Будьте осторожны с сайтами, которые вы посещаете, и не открывайте электронные письма от неизвестных отправителей - электронные письма могут содержать вредоносное ПО, а некоторые сайты могут автоматически загружать вредоносное программное обеспечение на ваш компьютер. Всегда сохраняйте безопасность своего компьютера с антивирусным и антишпионским программным обеспечением и хорошим брандмауэром. Покупайте компьютерное и антивирусное программное обеспечение от авторитетного источника. Будьте осторожны, что вы храните на своем компьютере - если мошенник получает доступ к вашим личным данным, они могут использовать его, чтобы украсть вашу личность и ваши деньги. Если вы считаете, что ваш компьютер заражен, немедленно свяжитесь с вашим банком или финансовым учреждением и измените свои пароли. Если вы получаете всплывающее предупреждение и не можете выполнять какие-либо функции на своем компьютере, оно может быть заражено, и вам может понадобиться специалист по компьютеру для удаления вредоносного ПО. Если вы можете выполнять некоторые функции безопасности на своем компьютере, используйте программное обеспечение безопасности для запуска проверки на вирусы. Если вы получили эту аферу, к сожалению, безопасность вашего компьютера была скомпрометирована. Даже если вам удалось восстановить контроль над своим компьютером - будь то по собственному усмотрению или заплатив мошеннику - он все равно может быть заражен вредоносным ПО. Используйте свое программное обеспечение безопасности для запуска проверки на вирусы, но если у вас есть какие-либо сомнения, обратитесь к поставщику антивирусного программного обеспечения или специалисту по компьютеру.
- Предупреждение может включать логотип полиции, чтобы он казался законным.
- Перед тем как скачать файл, убедитесь, что он из уважаемого источника.
- Если файл, это программа, убедитесь, что вы точно знаете, что она будет делать.
Посторонний процесс выдаёт невнятное имя и отсутствие описания. Если сомневаетесь, просто поочерёдно выгружайте все подозрительные до исчезновения баннера.
Если диспетчер задач не вызывается, попробуйте использовать сторонний менеджер процессов через команду «Выполнить», запускаемую нажатием клавиш {Win}+{R}. Вот как выглядит подозрительный процесс в System Explorer .
Это страшно, особенно если вы не копировали свои данные. «Киберпреступность развивается, поскольку плохие парни становятся умнее и используют более новые технологии», - отметил Майкл Кайзер, исполнительный директор Национального кибербезопасного альянса. «Они всегда ищут новые способы украсть ваши деньги».
Решение проблемы через интернет
Обычно они могут быть удалены, что восстанавливает доступ к вашим файлам и документам. Есть только один ключ дешифрования, и плохие парни имеют это на своем сервере. Если вы не заплатите выкуп - в течение трех дней этот ключ будет уничтожен. Чтобы придать ощущение безотлагательности, цифровые часы на экране подсчитываются с 72 часов, чтобы показать много времени, оставшегося до уничтожения уникального ключа дешифрования.
Скачать программу можно с другого компьютера или даже с телефона. Она занимает всего пару мегабайт. По ссылке «проверить» происходит поиск информации о процессе в онлайновой базе данных, но обычно и так всё понятно. После закрытия баннера часто требуется перезапустить «Проводник» (процесс explorer.exe). В диспетчере задач нажмите: Файл -> Новая задача (выполнить) -> c:\Windows\explorer.exe.
Разблокировать компьютер от баннера с помощью антивируса
Обратите внимание на желтые обратные часы в левом нижнем углу. Это дает время, оставшееся до уничтожения уникального ключа дешифрования, и зашифрованные файлы навсегда недоступны. У меня есть обезумевшая жена, которая меня обвиняет! Открыть этот файл и плохие вещи начнут происходить, хотя может потребоваться несколько дней, чтобы спрос на выкуп появлялся на вашем экране после заражения машины.
Устаревший способ разблокировки
Автор или это гений. Другой писал: «Эта вещь противна и имеет потенциал для нанесения огромного ущерба во всем мире». Кибер-мошенники ориентированы как на бизнес, так и на отдельных пользователей компьютеров - всех, кто будет платить за восстановление доступа к своим файлам.
Когда троян деактивирован на время сеанса, осталось найти его файлы и удалить их. Это можно сделать вручную или воспользоваться бесплатным антивирусом.
Типичное место локализации трояна – каталоги временных файлов пользователя, системы и браузера. Целесообразно всё же выполнять полную проверку, так как копии могут находиться где угодно, а беда не приходит одна. Посмотреть полный список объектов автозапуска поможет бесплатная утилита Autoruns .
Наша компания была заражена этим утром. Вирус попал в машину 4 дня назад, и сегодня мы получили всплывающее сообщение о выкупе. Все файлы на сетевом диске, к которым пользователь имел доступ, теперь зашифрованы. У нас были резервные копии, хотя они не были достаточно свежими, поэтому, несмотря на все чувства против этого, мы заплатили выкуп, и все начиналось дешифровать за одну ночь. Конечно, нет никакой гарантии, что будет счастливый конец, если вы заплатите выкуп. И тогда есть большая проблема - делая это, вы помогаете финансировать преступную операцию.
Военная хитрость
Справиться с трояном на первом этапе поможет особенность в поведении некоторых стандартных программ. При виде баннера попробуйте запустить «вслепую» Блокнот или WordPad. Нажмите {WIN}+{R}, напишите notepad и нажмите {ENTER}. Под баннером откроется новый текстовый документ. Наберите любую абракадабру и затем коротко нажмите кнопку выключения питания на системном блоке. Все процессы, включая троянский, начнут завершаться, но выключения компьютера не произойдёт.
Как убрать баннер с помощью кодов разблокировки
Идите в Интернет, и нет никакого способа гарантировать, что вредоносное ПО не попадет на ваш компьютер - даже если вы будете соблюдать все правила безопасной работы. Поэтому вам нужно действовать защитно, а это означает регулярное резервное копирование.
«Резервное копирование, назад, вверх, резервное копирование», - сказал Шмидт. «Это единственный способ снизить риск потери ваших файлов навсегда». Эта резервная копия должна быть моментальным снимком всего в системе, а не простой синхронизацией, как это происходит с большинством автоматизированных внешних жестких дисков и многими облачными сервисами. С помощью этих синхронизированных резервных копий сохраненные файлы, которые были изменены на главном диске, перезаписываются новыми. Если вредоносная программа шифрует ваши основные файлы, эти резервные копии также будут зашифрованы и бесполезны.
Блокнот — коня на скаку остановит и доступ админу вернёт!
Старая школа
Более продвинутые версии троянов имеют средства противодействия попыткам избавиться от них. Они блокируют запуск диспетчера задач, подменяют другие системные компоненты.
В этом случае перезагрузите компьютер и удерживайте клавишу {F8} в момент загрузки Windows. Появится окно выбора способа загрузки. Нам требуется «Безопасный режим с поддержкой командной строки» (Safe Mode with Command Prompt). После появления консоли пишем explorer и нажимаем {ENTER} – запустится проводник. Далее пишем regedit, нажимаем {ENTER} и видим редактор реестра. Здесь можно найти созданные трояном записи и обнаружить место, откуда происходит его автозапуск.
Убрать баннер из автозагрузки Windows
Ваша резервная копия должна быть отключена от вашего компьютера до следующего раза, когда вам нужно получить к ней доступ. В сообщении утверждается, что вы незаконно посещали или распространяли защищенный авторским правом контент, такой как видео, музыка и программное обеспечение. Следовательно, для того, чтобы снять запрет на ваш компьютер, требуется оплата в течение 48-72 часов. Этот тип вредоносного ПО вызывается и используется для запроса платежа от жертвы. В свою очередь, мошенник «обещает» разблокировать ваш компьютер.
Чаще всего вы увидите полные пути к файлам трояна в ключах Shell и Userinit в ветке
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
В «Shell» троян записывается вместо explorer.exe, а в «Userinit» указывается после запятой. Копируем полное имя троянского файла в буфер обмена из первой обнаруженной записи. В командной строке пишем del, делаем пробел и вызываем правой клавишей мыши контекстное меню.
Загрузите зараженный компьютер в безопасный режим с помощью сети
Появится окно «Дополнительные параметры загрузки». В безопасном режиме вы заметите, что фон рабочего стола заменен сплошным черным цветом.
Сканирование компьютера с помощью антивирусного программного обеспечения
Если вы уже установили на свой компьютер, загрузите последние определения вредоносных программ и выполните полную проверку вашего компьютера. Однако, если у вас нет программного обеспечения для удаления вредоносных программ, загрузите его и установите. Какой инструмент вы решите использовать, убедитесь, что вы загружаете самые последние определения вредоносных программ.В нём выбираем команду «вставить» и нажимаем {ENTER}. Один файл трояна удалён, делаем тоже самое для второго и последующих.
Удаление трояна из консоли — файл находился во временной папке.
Затем выполняем в реестре поиск по имени файла трояна, внимательно просматриваем все найденные записи и удаляем подозрительные. Очищаем все временные папки и корзину. Даже если всё прошло идеально, не поленитесь затем выполнить полную проверку любым антивирусом.
Если из-за трояна перестали работать сетевые подключения, попробуйте восстановить настройки Windows Sockets API утилитой AVZ.
Операция под наркозом
Со случаями серьёзного заражения бесполезно бороться из-под инфицированной системы. Логичнее загрузиться с заведомо чистой и спокойно вылечить основную. Существуют десятки способов сделать это, но один из самых простых – воспользоваться бесплатной утилитой Kaspersky WindowsUnlocker, входящей в состав Kaspersky Rescue Disk . Как и DrWeb LiveCD, он основан на Gentoo Linux. Файл-образ можно записать на болванку или сделать из него загрузочную флэшку утилитой Kaspersky USB Rescue Disk Maker .
Предусмотрительные пользователи делают это заблаговременно, а остальные обращаются к друзьям или идут в ближайшее интернет-кафе уже во время заражения.
При включении заражённого компьютера удерживайте клавишу для входа в BIOS. Обычно это {DEL} или {F2}, а соответствующее приглашение отображается внизу экрана. Вставьте Kaspersky Rescue Disk или загрузочную флэшку. В настройках загрузки (Boot options) выберите первым загрузочным устройством привод оптических дисков или флэшку (иногда она может отображаться в раскрываемом списке HDD). Сохраните изменения {F10} и выйдите из BIOS.
Современные версии BIOS позволяют выбирать загрузочное устройство на лету, без входа в основные настройки. Для этого требуется нажать {F12}, {F11} либо сочетание клавиш – подробнее смотрите в сообщении на экране, в инструкции к материнской плате или ноутбуку. После перезагрузки начнётся запуск Kaspersky Rescue Disk.
Доступен русский язык, а лечение можно выполнить в автоматическом или ручном режиме – пошаговую инструкцию на сайте разработчика.
Борьба на раннем этапе
Отдельный подкласс составляют трояны, поражающие главную загрузочную запись (MBR). Они появляются до загрузки Windows, и в секциях автозапуска вы их не найдёте.
Первый этап борьбы с ними заключается в восстановлении исходного кода MBR. В случае XP для этого загружаемся с установочного диска Windows, нажатием клавиши {R} вызываем консоль восстановления и пишем в ней команду fixmbr. Подтверждаем её клавишей {Y} и выполняем перезагрузку. Для Windows 7 аналогичная утилита называется BOOTREC.EXE, а команда fixmbr передаётся в виде параметра:
После этих манипуляций система вновь загружается. Можно приступать к поиску копий трояна и средств его доставки любым антивирусом.
В крестовый поход с крестовой отвёрткой
На маломощных компьютерах и особенно ноутбуках борьба с троянами может затянуться, так как загрузка с внешних устройств затруднена, а проверка выполняется очень долго. В таких случаях просто извлеките заражённый винчестер и подключите его для лечения к другому компьютеру. Для этого удобнее воспользоваться боксами с интерфейсом eSATA или USB 3.0/2.0.
Чтобы не разносить заразу, предварительно отключаем на «лечащем» компьютере автозапуск с HDD (да и с других типов носителей не мешало бы). Сделать это удобнее всего бесплатной утилитой AVZ, но саму проверку лучше выполнять чем-то другим. Зайдите в меню «Файл», выберите «Мастер поиска и устранения проблем». Отметьте «Системные проблемы», «Все» и нажмите «Пуск». После этого отметьте пункт «Разрешён автозапуск с HDD» и нажмите «Исправить отмеченные проблемы».
Также перед подключением заражённого винчестера стоит убедиться, что на компьютере запущен резидентный антивирусный мониторинг с адекватными настройками и есть свежие базы.
Если разделы внешнего жёсткого диска не видны, зайдите в «Управление дисками». Для этого в окне «Пуск» -> «Выполнить» напишите diskmgmt.msc и затем нажмите {ENTER}. Разделам внешнего жёсткого диска должны быть назначены буквы. Их можно добавить вручную командой «изменить букву диска…». После этого проверьте внешний винчестер целиком.
Для предотвращения повторного заражения следует установить любой антивирус с компонентом мониторинга в режиме реального времени и придерживаться общих правил безопасности:
- старайтесь работать из-под учётной записи с ограниченными правами;
- пользуйтесь альтернативными браузерами – большинство заражений происходит через Internet Explorer;
- отключайте Java-скрипты на неизвестных сайтах;
- отключите автозапуск со сменных носителей;
- устанавливайте программы, дополнения и обновления только с официальных сайтов разработчиков;
- всегда обращайте внимание на то, куда на самом деле ведёт предлагаемая ссылка;
- блокируйте нежелательные всплывающие окна с помощью дополнений для браузера или отдельных программ;
- своевременно устанавливайте обновления браузеров, общих и системных компонентов;
- выделите под систему отдельный дисковый раздел, а пользовательские файлы храните на другом.
Следование последней рекомендации даёт возможность делать небольшие образы системного раздела (программами Symantec Ghost, Acronis True Image, Paragon Backup and Recovery или хотя бы стандартным средством Windows «Архивация и восстановление»). Они помогут гарантированно восстановить работу компьютера за считанные минуты независимо от того, чем он заражён и могут ли антивирусы определить трояна.
В статье приведены лишь основные методы и общие сведения. Если вас заинтересовала тема, посетите сайт проекта GreenFlash. На страницах форума вы найдёте множество интересных решений и советы по созданию мультизагрузочной флэшки на все случаи жизни.
Распространение троянов Winlock не ограничено Россией и ближним зарубежьем. Их модификации существуют практически на всех языках, включая арабский. Помимо Windows, заражать подобными троянами пытаются и Mac OS X. Пользователям Linux не дано испытать радость от победы над коварным врагом. Архитектура данного семейства операционных систем не позволяет написать сколь-нибудь эффективный и универсальный X-lock. Впрочем, «поиграть в доктора» можно и на виртуальной машине с гостевой ОС Windows.
