Hari ini tidak ada biaya untuk menangkap virus di komputer. Cukup pergi ke situs yang dipertanyakan atau membuka file yang tidak dikenal - dan Anda selesai. Sekarang ada banyak dari mereka, tetapi salah satu virus yang paling berbahaya adalah spanduk ransomware. Pertama-tama, karena hampir sepenuhnya memblokir pekerjaan PC. Oleh karena itu, komputer atau laptop kedua biasanya sangat diperlukan di sini.
Jadi, data awal adalah sebagai berikut. Saya didekati dengan permintaan untuk membantu menangani laptop. Setelah restart, tiba-tiba, ketika memasuki Windows, sistem mulai meminta kata sandi. Meskipun tidak ada yang meletakkannya (kemarin semuanya dihidupkan tanpa kata sandi). Pengguna mencoba semua kata sandinya, tetapi tentu saja tidak cocok.
Sebenarnya, informasi ini tidak memberi tahu saya banyak - saya pikir saya harus melewati kata sandi. Tidak ada gunanya melewati beberapa kombinasi, jadi saya tidak memasukkan apa pun dan hanya menekan Enter. Dan kemudian - voila, sistem boot. Hore, apakah masalahnya terpecahkan? Tidak sama sekali - itu bahkan lebih baik.
Anda diblokir, bayar denda!
Setelah menyalakan laptop, spanduk besar muncul di desktop di seluruh layar. Dikatakan bahwa sistem Windows diblokir untuk menonton "film menarik" dan semua itu.
Sejujurnya, saya terkadang mengerti orang tua saya. Ketika Anda membaca spanduk seperti itu di laptop anak Anda dan melihat alasan penyumbatan itu, pikiran itu segera muncul di kepala Anda: "Oh, Anda orang iseng ini." Dan tangan itu sendiri meraih sabuk. Ini mungkin mengapa anak-anak takut untuk melaporkannya dan melakukan hal-hal yang sama sekali tidak perlu - misalnya, membayar denda kepada penyusup.
Jadi, dari spanduk itu langsung menjadi jelas bahwa ini adalah virus. Sebenarnya, Anda hanya perlu mencari dan menghapusnya. Tapi ada satu masalah: spanduk memblokir sistem, dan tidak ada yang bisa dilakukan di desktop.
Coba dulu. Jika virus tidak mengizinkan Anda melakukan ini, maka satu-satunya pilihan yang tersisa - perawatan dengan utilitas antivirus dari USB flash drive yang diluncurkan melalui BIOS.
Mencoba menghapus virus dengan utilitas antivirus
Jadi, untuk menghilangkan virus, Anda perlu membakar semua utilitas antivirus Live CD ke USB flash drive. Bisa jadi dr. Web, Avast, Kaspersky - terserah.
Karena laptop yang terinfeksi terkunci, Anda akan memerlukan PC lain di sini. Dengan bantuannya, dimungkinkan untuk menemukan utilitas ini dan menulisnya ke USB flash drive. Ada baiknya hari ini hampir setiap rumah memiliki 2-3 komputer/laptop
Flash drive harus dapat di-boot. Itu. itu harus direkam menggunakan program khusus. Misalnya, Anda bisa.
Jika Anda melakukan semuanya dengan benar, utilitas antivirus akan mulai, bukan Windows. Kemudian Anda hanya perlu menjalankan pemindaian virus dan menunggu hingga selesai.
Dalam kasus saya, cek memakan waktu lebih dari satu jam. Atau lebih. Lalu aku lelah menunggu. Dan ekspresi sedih seseorang yang mengkhawatirkan laptopnya dan data di dalamnya menunjukkan bahwa ada sesuatu yang perlu diubah. Pada akhirnya, saya membatalkan cek naas ini dan memutuskan untuk mencari cara lain.
Menghapus spanduk menggunakan AntiSMS
Ada satu utilitas AntiSMS yang sangat baik. Sempurna untuk pengguna yang tidak berpengalaman yang menghadapi masalah serupa untuk pertama kalinya.
Kelebihannya adalah ia tidak memindai seluruh sistem dari virus, tetapi segera menghapus spanduk yang mengganggu ini. Anda dapat menyingkirkannya secara manual, tetapi untuk ini Anda perlu tahu caranya. Utilitas AntiSMS melakukan semua tindakan ini secara otomatis. Akibatnya, spanduk ransomware dihapus hanya dalam 10 menit.
Sekali lagi: Anda perlu menulis utilitas ke flash drive USB yang dapat di-boot, boot melalui BIOS dan jalankan. Kemudian tunggu beberapa menit hingga Anda melihat pesan bahwa virus berhasil dihapus. Nyalakan kembali PC atau laptop Anda - itu akan menyala dan spanduk akan hilang. Sebenarnya, dalam kasus saya, masalahnya diselesaikan hanya dengan bantuan AntiSMS.
Utilitas ini gratis dan dapat ditemukan di situs web resmi. Plus, program baru dari pengembang yang sama telah muncul - SmartFix.
Ini adalah bagaimana ternyata untuk membuka kunci komputer dari virus. Omong-omong, dari kata-kata pengguna, infeksi ini kemungkinan besar diambil di situs web abstrak. Spanduk iklan keluar: ketika Anda mencoba menutupnya, sistem membeku, kemudian reboot diikuti - dan voila, ketika Anda masuk ke Windows, itu sudah meminta kata sandi. Dan kemudian, ternyata, virus sedang menunggu kami dengan pesan yang kuat untuk membayar denda untuk membuka kunci PC.
Tentu saja, tidak ada yang perlu membayar - spanduk tidak akan hilang dari ini. Satu-satunya keuntungan hanya untuk penyerang: dia akan mengerti bahwa metode "menghasilkan uang" ini bekerja dan akan terus menyebarkan virusnya di semua jenis situs.
Pada awal September, salinan terkenal dari program jahat dijuluki Trojan.Bioskit.1... Secara umum, ini adalah fungsi Trojan standar yang menginfeksi MBR (area bootable disk) dan mencoba mengunduh sesuatu dari jaringan. Setelah penelitian yang dilakukan oleh spesialis Web Dokter, ternyata juga mengandung mekanisme yang memungkinkan menginfeksi BIOS dari motherboard komputer.
Semakin detail operasi program jahat ini terungkap selama proses penelitian, semakin kami menjadi yakin bahwa itu lebih merupakan pengembangan eksperimental daripada program jahat penuh, atau "bocor" lebih awal dari yang diinginkan penulis. Ini, khususnya, dapat dibuktikan dengan fakta-fakta berikut:
- Memeriksa parameter baris perintah (meluncurkan instance Trojan ini dengan kunci -u menyembuhkan sistem);
- menggunakan utilitas pihak ketiga;
- kode penonaktifan virus yang dinonaktifkan setelah 50 hari;
- adanya dua varian berbeda dari file sistem yang menginfeksi (yang hanya satu yang digunakan);
- kesalahan dalam kode yang terlihat seperti salah eja.
Tapi semua keadaan ini sama sekali tidak mengurangi potensi bahaya Trojan ini. Mari kita segera membuat reservasi bahwa hanya motherboard yang dilengkapi dengan BIOS Award yang dapat terinfeksi.
Infeksi
Awalnya penetes Trojan Trojan.Bioskit.1 memeriksa apakah proses beberapa antivirus Cina berjalan di sistem operasi: jika terdeteksi, Trojan membuat kotak dialog transparan dari mana fungsi utamanya dipanggil. Kemudian Trojan.Bioskit.1 menentukan versi sistem operasi dan, jika itu adalah Windows 2000 atau lebih tinggi (kecuali untuk Windows Vista), melanjutkan infeksi. Trojan memeriksa status baris perintah, dari mana ia dapat diluncurkan dengan berbagai sakelar:
- -D- kunci ini tidak berfungsi (fungsi ini mungkin telah dihapus di "release build");
- -w- menginfeksi sistem (digunakan secara default);
- -u- menyembuhkan sistem (termasuk MBR dan BIOS).
Beberapa file dikemas dalam sumber daya penetes:
- cbrom.exe
- hook.rom
- my.sys
- flash.dll
- bios.sys
Dalam perjalanan kerjanya, penetes membongkar dan menyimpan driver pada hard disk % windir% \ system32 \ drivers \ bios.sys... Jika sistem memiliki perangkat \\. \ MyDeviceDriver(penetes yang diselidiki tidak memiliki driver yang mengimplementasikan perangkat seperti itu), Trojan membuang perpustakaan ke disk % windir% \ flash.dll dan, kemungkinan besar, secara konsisten mencoba menerapkannya ke dalam proses sistem layanan.exe, svchost.exe dan explorer.exe... Tujuan dari perpustakaan ini adalah untuk meluncurkan driver bios.sys sarana biasa ( manajer kontrol layanan) untuk membuat layanan bios... Saat perpustakaan dibongkar, layanan ini dihapus. Jika perangkat \\.\ MyDeviceDriver hilang, Trojan diinstal pada sistem dengan menimpa driver sistem beep.sys. Setelah dimulai, beep.sys dipulihkan dari salinan yang dibuat sebelumnya. Satu-satunya pengecualian untuk aturan ini dibuat untuk Microsoft Windows 7: dalam sistem ini, penetes mem-flush perpustakaan ke disk % windir% \ flash.dll dan memuatnya sendiri.
Kemudian penetes menyimpan driver rootkit ke root drive C: my.sys... Jika pengemudi bios.sys gagal memulai atau BIOS komputer berbeda dengan Menghadiahkan, Trojan mulai menginfeksi MBR... Sebuah file di-flush ke disk % temp% \ hook.rom, yang merupakan modul ekspansi lengkap ( ROM Ekspansi PCI). Tetapi pada tahap ini, ini hanya digunakan sebagai wadah dari mana data diekstraksi untuk penulisan selanjutnya ke disk. Setelah itu, 14 sektor pertama dari hard disk ditimpa, termasuk MBR... Asli MBR tetap berada di sektor kedelapan.
Sopir my.sys
Menurut standar saat ini, ini adalah driver yang agak primitif: ia memotong dari driver sistem disk.sys penangan IRP_MJ_READ, IRP_MJ_WRITE dan IRP_MJ_DEVICE_CONTROL, di mana:
- IRP_MJ_READ mengembalikan nol alih-alih 63 sektor pertama dari hard drive;
- IRP_MJ_WRITE tidak mengizinkan penulisan ke 63 sektor pertama. Pada saat yang sama, virus mencoba membiarkan penetesnya menimpa MBR dan sektor lainnya, tetapi karena kesalahan yang jelas dalam kode, triknya tidak berfungsi. Dengan demikian, penulis Trojan mengizinkan penimpaan 0x14(20) sektor, dan penetes hanya menulis 0xE (14);
- IRP_MJ_DEVICE_CONTROL kembali STATUS_UNSUCCESSFUL dalam menanggapi permintaan IOCTL_DISK_GET_DRIVE_LAYOUT_EX, IOCTL_STORAGE_GET_MEDIA_TYPES_EX dan IOCTL_DISK_GET_DRIVE_GEOMETRY_EX.
Infeksi BIOS
Tapi kembali ke kasus ketika pengemudi bios.sys berhasil mengidentifikasi Penghargaan BIOS... Harus dikatakan bahwa kehadiran driver inilah yang membedakan program jahat ini dari daftar besar Trojan serupa yang menginfeksi MBR.
Pengemudi yang disebutkan sangat kecil dan menakutkan destruktif potensi. Ini menerapkan tiga metode:
- Mengenali Penghargaan BIOS(sepanjang jalan, tentukan ukuran gambarnya dan, yang paling penting, Saya / O port di mana Anda dapat memaksa untuk menghasilkan IKM (Interupsi Manajemen Sistem) dan dengan demikian mengeksekusi kode dalam mode SMK);
- Menyimpan gambar BIOS ke disk ke file C: \ bios.bin;
- Bakar gambar BIOS dari file C: \ bios.bin.
Dapatkan akses dan terlebih lagi timpa sirkuit mikro dengan BIOS- tugas ini tidak sepele. Untuk melakukan ini, pertama-tama Anda perlu mengatur interaksi dengan chipset motherboard untuk memungkinkan akses ke chip, kemudian Anda perlu mengidentifikasi chip itu sendiri dan menerapkan protokol penghapusan / penulisan data yang familiar dengannya. Tetapi pembuat program jahat ini mengambil jalan yang lebih mudah, mengalihkan semua tugas ini ke dirinya sendiri. BIOS... Dia memanfaatkan karya seorang peneliti Tiongkok yang dikenal dengan julukan tuan es... Pekerjaan itu dilakukan kembali pada tahun 2007: kemudian, ketika menganalisis utilitas Winflash untuk Penghargaan BIOS cara sederhana untuk mem-flash sirkuit mikro ditemukan melalui layanan yang disediakan sendiri BIOS v SMK (Mode Manajemen Sistem). Kode program SMK v SMARAM tidak terlihat oleh sistem operasi (jika BIOS ditulis dengan benar, maka akses ke memori ini diblokir olehnya) dan dijalankan secara independen. Tujuan dari kode ini sangat beragam: emulasi kemampuan motherboard yang tidak diimplementasikan dalam perangkat keras, menangani kesalahan perangkat keras, mengelola mode daya, fungsi layanan, dll.
Untuk memodifikasi gambar itu sendiri BIOS program jahat ini menggunakan utilitas cbrom.exe(dari Teknologi Phoenix), yang, seperti semua file lainnya, membawa sumber dayanya. Menggunakan utilitas ini, Trojan menyuntikkan modul hook.rom ke dalam gambar sebagai ISA BIOS ROM... Kemudian Trojan.Bioskit.1 menginstruksikan pengemudinya untuk melakukan reflash BIOS dari file yang diperbarui.
Lain kali komputer restart selama proses inisialisasi BIOS akan memanggil semua yang tersedia ROM Ekspansi PCI termasuk hook.rom... Kode berbahaya dari modul ini memeriksa infeksi setiap saat MBR dan memuat ulang jika perlu. Perlu dicatat bahwa kehadiran dalam sistem Penghargaan BIOS tidak menjamin infeksi dengan Trojan ini sama sekali. Jadi, dari tiga motherboard yang diuji di laboratorium virus, hanya satu yang berhasil menginfeksi, dan di dua lainnya, tidak ada cukup ruang di memori BIOS untuk menulis modul baru.
Infeksi MBR
Trojan menempatkan kode di MBR, tugas utamanya adalah menginfeksi file winlogon.exe(pada sistem operasi Windows 2000 dan Windows XP) atau wininit.exe(Windows 7). Untuk mengatasi masalah ini Trojan.Bioskit.1 memiliki pengurai sendiri NTFS / FAT32... Trojan memelihara penghitung peluncuran yang diperbarui sekali sehari. Setelah 50 hari, modul yang terinfeksi diharapkan akan dinonaktifkan: modul tersebut akan dimodifikasi sedemikian rupa sehingga kode virus tidak lagi dapat dikendalikan. Namun dalam versi Trojan ini, mekanisme ini dinonaktifkan. Total Trojan.Bioskit.1 mencakup dua versi shellcode, yang saat ini hanya satu yang aktif.
Kesimpulan
Sulit untuk meremehkan bahaya dari ancaman semacam ini, terutama mengingat bahwa di masa depan, modifikasi yang lebih maju dari Trojan horse atau virus yang beroperasi menurut algoritma serupa mungkin muncul. Saat ini, deteksi dan perawatan MBR, file sistem, dan komponen file virus telah ditambahkan ke perangkat lunak anti-virus Dr.Web. Jika, setelah mendeteksi dan menangani ancaman ini, sistem menjadi terinfeksi lagi Trojan.Bioskit.1, sumber infeksi kemungkinan besar adalah BIOS komputer yang terinfeksi. Dokter spesialis Web terus mengerjakan masalah ini.
