Troienii din familia Winlock, cunoscuți ca „blocatori Windows”, storc bani de la utilizatorii obișnuiți de mai bine de cinci ani. Până acum, reprezentanții acestei clase malware a evoluat serios și a devenit unul dintre cele mai probleme frecvente... Mai jos sunt sugerate modalități de a le trata pe cont propriu și sunt oferite recomandări pentru prevenirea infecției.
Malware este prescurtarea pentru malware software- este un termen umbrelă care se referă la orice program software special conceput pentru a efectua o acțiune neautorizată și adesea dăunătoare. Virușii, backdoors, keylogger, spyware, adware, rootkit-uri și troieni sunt doar câteva exemple de ceea ce contează drept malware. Acum câțiva ani era suficient să numim ceva „virus” sau „cal troian”, dar astăzi au apărut metode și vectori de infecție, iar termenii „virus și troian” nu mai dau o definiție satisfăcătoare pentru toate tipurile care există.
Apariția unui troian pe sistem are loc de obicei rapid și neobservat de utilizator. Persoana realizează setul obișnuit de acțiuni, navighează pe web și nu face nimic special. La un moment dat, apare pur și simplu un banner pe ecran complet, care nu poate fi eliminat în mod obișnuit.
Poza poate fi sincer pornografică, sau invers - încadrată cât mai strict și amenințător posibil. Există un singur rezultat: într-un mesaj situat deasupra altor ferestre, trebuie să transferați suma specificată la un astfel de număr sau să trimiteți un mesaj SMS plătit. Este adesea însoțită de amenințări cu urmărirea penală sau cu distrugerea tuturor datelor dacă utilizatorul nu se grăbește să plătească.
Actualizați-vă software-ul. Acest lucru este valabil mai ales pentru lucruri precum sistemul dvs. de operare, software-ul de securitate și browserul dvs. web, dar este valabil și pentru orice program pe care îl utilizați frecvent. Virușii profită adesea de erorile sau exploatările din codul acestor programe pentru a se răspândi pe mașini noi și, în timp ce companiile care produc programele de obicei remediază rapid găurile, aceste remedieri funcționează numai dacă au fost descărcate pe computer.
Cum să vă deblocați computerul de un virus
De asemenea, este important să evitați activitățile care ar putea pune computerul în pericol. Acestea includ deschiderea atașamentelor nedorite E-mail, accesarea site-urilor web necunoscute sau descărcarea de software de pe site-uri web nede încredere sau rețele de transfer de fișiere peer-to-peer.
Bineînțeles, nu ar trebui să plătiți estorcatorii. În schimb, vă puteți da seama ce operator comunicare celulară aparține numărului specificat și raportați-l serviciului de securitate. În unele cazuri, s-ar putea chiar să vi se spună codul de deblocare prin telefon, dar nu vă puteți baza cu adevărat pe el.
Metodele de tratament se bazează pe înțelegerea modificărilor pe care troianul le face sistemului. Rămâne să le identificăm și să le anulăm în orice mod convenabil.
Cu toate acestea, auto-ajutorul este încă disponibil prin articolele de pe acest portal de asistență. De asemenea, trebuie remarcat faptul că agenții noștri suport tehnic nu aveți acces la parola de deblocare. Când se întâmplă acest lucru, veți vedea un mesaj similar cu cel de mai jos pe ecranul de blocare al dispozitivului dvs. Timp rămas pentru a introduce o parolă: 2 secunde Pentru a restabili platforma, selectați una dintre următoarele opțiuni :. 1 - Parolă utilizator 2 - Parolă simbol server.
Acest dispozitiv este blocat și se poate pierde. Dacă este găsit, vă rugăm să utilizați următoarele informații pentru a vă returna dispozitivul. Vă rugăm să selectați una dintre opțiunile de mai sus pentru a continua. Deși blocarea poate apărea din mai multe motive, pașii pentru deblocare sunt aceiași. Unele dintre motive posibile blocare.
Cu mâinile goale
Pentru unii troieni, există într-adevăr un cod de deblocare. În rare ocazii, chiar se vor șterge complet după introducerea codului corect. O puteți afla în secțiunile corespunzătoare ale site-urilor web ale companiilor antivirus - vedeți exemplele de mai jos.
Puteți accesa secțiuni specializate ale Doctor Web, Kaspersky Lab și alți dezvoltatori de software antivirus de pe alt computer sau telefon.
Computerul este marcat ca fiind un computer furat modificat fizic. ... Pentru a introduce o parolă pe un dispozitiv blocat, selectați opțiunea de pe ecran pentru o parolă, un cod de acces sau o expresie de acces și introduceți parola. Dacă parola este acceptată, computerul va începe să funcționeze.
Aveți grijă când citiți și introduceți codul de recuperare, asigurându-vă că nu vă confundați simbolurile cu altele. Dacă codul de recuperare este acceptat, computerul va începe să funcționeze. Glosar de termeni folosiți în acest articol. Această înșelătorie presupune că utilizatorii de internet descoperă că computerul lor a fost înghețat și pe ecran apare un avertisment pop-up. Escrocul susține că va debloca computerul dacă se plătește taxa.
După deblocare, nu fiți încântați și nu opriți computerul. Descărcați oricare antivirus gratuitși efectuați o scanare completă a sistemului. Pentru a face acest lucru, utilizați, de exemplu, Dr.Web CureIt! sau Kaspersky Virus Removal Tool.
Cai simpli - măsuri simple
Înainte de a utiliza metode complexe și software special, încercați să vă descurcați cu instrumentele disponibile. Deschideți Task Manager cu combinația de taste (CTRL) + (ALT) + (DEL) sau (CTRL) + (SHIFT) + (ESC). Dacă funcționează, atunci avem de-a face cu un troian primitiv, a cărui luptă nu va cauza probleme. Găsiți-l în lista de procese și forțați închiderea.
Nu lăsați un escroc să vă răscumpere - dacă plătiți, nu aveți garanția că veți recâștiga controlul asupra computerului și, probabil, va exista o pierdere semnificativă de date atunci când eliminați un virus sau deblocați computerul. Dintr-o dată, computerul se blochează și primești un avertisment pop-up de la ceea ce pare a fi o autoritate de renume precum Poliția Federală Australiană. Avertismentul spune că computerul dvs. este blocat deoarece ați încălcat legea sau ați vizitat un site ilegal. Aceste servicii includ achiziționarea unui voucher de numerar dintr-un magazin, care poate fi apoi folosit pentru plăți online. Dacă plătiți, escrocii vă pot debloca sau nu computerul. Chiar dacă redobândiți accesul la computer, malware-ul poate continua să ruleze, astfel încât fraudatorii să vă poată folosi datele personale și financiare pentru a comite fraude. Aveți grijă cu site-urile pe care le vizitați și nu deschideți e-mailuri de la expeditori necunoscuți - E-mailurile pot conține programe malware, iar unele site-uri pot descărca automat software rău intenționat pe computer. Păstrați-vă întotdeauna computerul în siguranță cu software antivirus și anti-spyware și un firewall bun. Cumpărați software pentru computer și antivirus dintr-o sursă de renume. Aveți grijă ce stocați pe computerul dvs. - dacă un fraudator obține acces la datele dvs. personale, le poate folosi pentru a vă fura identitatea și banii. Dacă credeți că computerul dvs. este infectat, contactați imediat banca sau instituția financiară și schimbați-vă parolele. Dacă primiți un avertisment pop-up și nu puteți efectua nicio funcție pe computerul dvs., acesta poate fi infectat și este posibil să aveți nevoie de un specialist în computer pentru a elimina malware-ul. Dacă puteți efectua unele funcții de securitate pe computer, utilizați un software de securitate pentru a rula o scanare antivirus. Dacă ați primit această înșelătorie, din păcate, securitatea computerului dvs. a fost compromisă. Chiar dacă ați reușit să recâștigați controlul asupra computerului dumneavoastră – fie la propria discreție, fie plătind o fraudă – acesta poate fi totuși infectat cu malware. Utilizați software-ul dvs. de securitate pentru a rula o scanare antivirus, dar dacă aveți vreo îndoială, contactați furnizorul de software antivirus sau specialistul în computer.
- Avertismentul poate include un logo al poliției pentru a face să pară legal.
- Înainte de a descărca fișierul, asigurați-vă că este dintr-o sursă de încredere.
- Dacă fișierul este un program, asigurați-vă că știți exact ce va face.
Terțul produce un nume neclar și nicio descriere. Dacă aveți îndoieli, descărcați toate cele suspecte una câte una până când bannerul dispare.
Dacă Managerul de activități nu este invocat, încercați să utilizați un manager de proces terță parte prin comanda Run lansată prin apăsarea (Win) + (R). Așa arată un proces suspect în System Explorer.
Acest lucru este înfricoșător, mai ales dacă nu ați făcut o copie de rezervă a datelor. „Criminalitatea cibernetică evoluează pe măsură ce băieții răi devin mai inteligenți și folosesc tehnologii mai noi”, a spus Michael Kaiser, director executiv al Alianței Naționale pentru Securitate Cibernetică. „Ei caută mereu noi modalități de a-ți fura banii”.
Rezolvarea problemei prin Internet
De obicei, acestea pot fi șterse, ceea ce restabilește accesul la fișierele și documentele dvs. Există o singură cheie de decriptare, iar băieții răi o au pe serverul lor. Dacă nu plătiți răscumpărarea, această cheie va fi distrusă în trei zile. Pentru a da un sentiment de urgență, ceasul digital de pe ecran este numărat de la 72 de ore pentru a arăta cât timp mai rămâne până când cheia unică de decriptare este distrusă.
Puteți descărca programul de pe alt computer sau chiar de pe telefon. Durează doar câțiva megaocteți. Linkul „verificare” caută în baza de date online informații despre proces, dar de obicei totul este clar. După închiderea bannerului, deseori trebuie să reporniți Explorer (procesul explorer.exe). În Task Manager, faceți clic pe: File -> New Task (Run) -> c: \ Windows \ explorer.exe.
Deblocați computerul de la banner folosind antivirus
Observați ceasul galben invers în colțul din stânga jos. Acest lucru oferă timpul rămas până când cheia unică de decriptare este distrusă și fișierele criptate sunt permanent inaccesibile. Am o soție tulburată care mă acuză! Deschideți acest fișier și vor începe să se întâmple lucruri rele, deși poate dura câteva zile până când cererea de răscumpărare să apară pe ecran după ce mașina este infectată.
Mod învechit de deblocare
Autorul sau este un geniu. Un altul a scris: „Acest lucru este dezgustător și are potențialul de a provoca pagube enorme în întreaga lume”. Fraudatorii cibernetici vizează atât companiile, cât și utilizatorii individuali de computere - oricine va plăti pentru a restabili accesul la fișierele lor.
Când troianul este dezactivat pe durata sesiunii, tot ce rămâne este să-i găsiți fișierele și să le ștergeți. Puteți face acest lucru manual sau puteți utiliza un antivirus gratuit.
O locație tipică pentru un troian este în directoarele fișierelor temporare ale utilizatorului, sistemului și browserului. Este totuși recomandabil să efectuați o verificare completă, deoarece copiile pot fi localizate oriunde, iar problema nu vine de la sine. Uite lista plina obiectele autorun vor ajuta utilitarul gratuit Autoruns.
Compania noastră a fost infectată în această dimineață. Virusul a lovit mașina în urmă cu 4 zile și astăzi am primit un mesaj pop-up de răscumpărare. Toate fișierele de pe unitatea de rețea la care utilizatorul a avut acces sunt acum criptate. Aveam copii de rezervă, deși nu erau suficient de proaspete, așa că, în ciuda tuturor sentimentelor noastre împotriva, am plătit răscumpărarea și totul a început să se decripteze peste noapte. Desigur, nu există nicio garanție că va exista un sfârșit fericit dacă plătiți răscumpărarea. Și apoi există marea problemă - făcând asta, ajuți la finanțarea unei operațiuni criminale.
Stealth militar
La prima etapă, o trăsătură în comportamentul unora programe standard... Când vedeți bannerul, încercați să lansați orbește Notepad sau WordPad. Apăsați (WIN) + (R), scrieți notepad și apăsați (ENTER). Se va deschide unul nou sub banner. Document text... Formați orice farfurie și apoi apăsați scurt butonul de oprire unitate de sistem... Toate procesele, inclusiv troianul, vor începe să se termine, dar computerul nu se va opri.
Cum să eliminați un banner folosind codurile de deblocare
Conectați-vă și nu există nicio modalitate de a vă asigura că malware-ul nu ajunge pe computer - chiar dacă respectați toate regulile munca sigura... Prin urmare, trebuie să acționați defensiv, ceea ce înseamnă obișnuit backup.
„Înapoi, înapoi, înapoi, înapoi”, a spus Schmidt. „Acesta este singurul mod de a reduce riscul de a vă pierde definitiv fișierele.” Acest copie de rezervă ar trebui să fie un instantaneu al tuturor lucrurilor din sistem, nu o simplă sincronizare, așa cum este cazul celor mai multe automate externe. hard disk-uriși multe servicii cloud... Cu aceste copii de siguranță sincronizate, fișierele salvate care s-au modificat pe unitatea principală sunt suprascrise cu altele noi. Dacă programele malware criptează fișierele esențiale, aceste copii de siguranță vor fi, de asemenea, criptate și inutile.
Notepad - va opri calul în galop și va returna accesul la administrator!
Şcoala veche
Versiunile mai avansate ale troienilor au un mijloc de a contracara încercările de a scăpa de ei. Ele blochează lansarea managerului de activități, înlocuiesc alte componente ale sistemului.
În acest caz, reporniți computerul și țineți apăsată tasta (F8) pentru un moment. pornire Windows... Va apărea fereastra de selectare a metodei de descărcare. Avem nevoie de Safe Mode cu Command Prompt. După ce apare consola, scrieți explorer și apăsați (ENTER) - exploratorul va porni. Apoi, scrieți regedit, apăsați (ENTER) și vedeți editorul de registry. Aici puteți găsi intrările create de troian și puteți afla de unde începe.
Eliminați bannerul de la pornirea Windows
Backup-ul dvs. ar trebui să fie deconectat de la computer până la data viitoare când trebuie să îl accesați. Mesajul susține că ați vizitat sau distribuit ilegal conținut protejat prin drepturi de autor, cum ar fi videoclipuri, muzică și software. Prin urmare, pentru a elimina interdicția de pe computer, plata este necesară în 48-72 de ore. Acest tip de malware este invocat și utilizat pentru a solicita plata de la victimă. La rândul său, fraudatorul promite să vă deblocheze computerul.
Cel mai adesea, veți vedea căile complete către fișierele troiene în cheile Shell și Userinit din ramură
HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
În Shell, troianul este scris în loc de explorer.exe, iar în Userinit, este indicat după virgulă. Copiați numele complet al fișierului troian în clipboard de la prima intrare detectată. V Linie de comanda scrieți del, faceți un spațiu și faceți clic dreapta pe meniul contextual.
Porniți computerul infectat în modul sigur folosind rețeaua
Fereastra " Opțiuni suplimentare descărcări". V modul sigur veți observa că fundalul desktopului este înlocuit cu o culoare neagră solidă.
Scanarea computerului cu software antivirus
Dacă ați instalat deja pe computer, descărcați cele mai recente definiții de malware și executați o scanare completă a computerului. Cu toate acestea, dacă nu aveți un software de eliminare a programelor malware, descărcați și instalați-l. Indiferent de instrumentul pe care alegeți să îl utilizați, asigurați-vă că descărcați cele mai recente definiții de malware.În ea, selectați comanda „inserare” și apăsați (ENTER). Un fișier troian a fost șters, procedăm la fel pentru al doilea și pentru cele ulterioare.
Eliminarea troianului din consolă - fișierul se afla într-un folder temporar.
Apoi efectuăm o căutare în registru după numele fișierului troian, revizuim cu atenție toate intrările găsite și le ștergem pe cele suspecte. Golim toate folderele temporare și coșul de gunoi. Chiar dacă totul a decurs perfect, nu fi prea leneș pentru a efectua apoi o scanare completă cu orice antivirus.
Dacă încetați să lucrați din cauza unui troian conexiuni de retea, încercați să restaurați Setări Windows Sockets API folosind utilitarul AVZ.
Operație sub anestezie generală
Este inutil să faceți față cazurilor de infecție gravă de sub sistemul infectat. Este mai logic să pornești de la unul curat cunoscut și să îl vindeci cu calm pe cel principal. Există zeci de moduri de a face acest lucru, dar una dintre cele mai simple este să utilizați utilitarul gratuit Kaspersky WindowsUnlocker inclus cu Kaspersky Rescue Disk. La fel ca DrWeb LiveCD, se bazează pe Gentoo Linux. Fișierul imagine poate fi scris pe un disc sau poate fi format dintr-o unitate flash bootabilă folosind utilitarul Kaspersky USB Rescue Disk Maker.
Utilizatorii prudenți fac acest lucru în avans, în timp ce restul se îndreaptă către prietenii lor sau merg la cel mai apropiat Internet cafe în timpul infecției.
Când porniți computerul infectat, țineți apăsată tasta pentru a intra în BIOS. Acesta este de obicei (DEL) sau (F2), iar promptul corespunzător este afișat în partea de jos a ecranului. Introduceți Kaspersky Rescue Disk sau o unitate flash USB bootabilă. În setările de descărcare ( Opțiuni de pornire) selectați unitatea de disc optic sau unitatea flash ca prim dispozitiv de pornire (uneori poate apărea în formatul extensibil Lista HDD-urilor). Salvați modificările (F10) și ieșiți din BIOS.
Modern Versiunea BIOS Vă permite să selectați un dispozitiv de pornire din mers, fără a intra în setările de bază. Pentru a face acest lucru, trebuie să apăsați (F12), (F11) sau o combinație de taste - pentru mai multe detalii, consultați mesajul de pe ecran, în instrucțiunile pentru placa de baza sau laptop. După repornire, Kaspersky Rescue Disk va începe să ruleze.
Limba rusă este disponibilă, iar tratamentul poate fi efectuat automat sau mod manual – instrucțiuni pas cu pas pe site-ul dezvoltatorului.
Luptă timpurie
Troieni care atacă principalul înregistrarea de pornire(MBR). Acestea apar înainte de pornirea Windows și nu le veți găsi în secțiunile de rulare automată.
Primul pas în tratarea lor este restaurarea cod sursa MBR. În cazul XP, pentru asta pornim de la disc de instalare Windows, apăsând tasta (R), apelăm consola de recuperare și scriem comanda fixmbr în ea. Confirmați-l cu tasta (Y) și reporniți. Pentru Windows 7, un utilitar similar se numește BOOTREC.EXE, iar comanda fixmbr este transmisă ca parametru:
După aceste manipulări, sistemul se repornește. Puteți începe să căutați copii ale troianului și ale vehiculelor sale de livrare cu orice software antivirus.
Într-o cruciadă cu o șurubelniță Phillips
Pe computerele cu consum redus și în special pe laptopuri, lupta împotriva troienilor poate dura mult timp, de la pornirea de la dispozitive externe dificil, iar verificarea durează foarte mult. În astfel de cazuri, pur și simplu scoateți hard disk-ul infectat și conectați-l la alt computer pentru tratament. Pentru aceasta, este mai convenabil să folosiți cutii cu o interfață eSATA sau USB 3.0 / 2.0.
Pentru a nu răspândi infecția, mai întâi dezactivăm rularea automată de pe HDD pe computerul care se „tratează” (și nu ar strica să pornim de pe alte tipuri de media). Cel mai convenabil este să faceți acest lucru cu utilitarul AVZ gratuit, dar verificarea în sine este mai bine făcută cu altceva. Accesați meniul „Fișier”, selectați „Asistent de depanare”. Bifați „Probleme de sistem”, „Toate” și faceți clic pe „Start”. După aceea, bifați elementul „Allowed autorun from HDD” și faceți clic pe „Remediați problemele marcate”.
De asemenea, înainte de a conecta un hard disk infectat, ar trebui să vă asigurați că monitorizarea antivirus rezidentă rulează pe computer cu setări adecvate și că există baze de date proaspete.
Dacă secţiunile din exterior Hard disk nu sunt vizibile, accesați „Gestionare disc”. Pentru a face acest lucru, în fereastra „Start” -> „Run” scrieți diskmgmt.msc și apoi apăsați (ENTER). Partițiile de pe hard diskul extern trebuie să aibă litere atribuite. Acestea pot fi adăugate manual folosind comanda „schimba litera unității...”. După acea verificare hard disc externîn întregime.
Pentru a preveni reinfectarea, ar trebui să instalați orice antivirus cu o componentă de monitorizare în timp real și să respectați regulile generale de securitate:
- incearca sa lucrezi de jos cont cu drepturi limitate;
- utilizați browsere alternative - majoritatea infecțiilor apar prin Internet Explorer;
- dezactivați scripturile Java pe site-uri necunoscute;
- dezactivați rularea automată de pe medii amovibile;
- instalați programe, suplimente și actualizări numai de pe site-urile web oficiale ale dezvoltatorilor;
- acordați întotdeauna atenție unde duce de fapt linkul sugerat;
- blocați ferestrele pop-up nedorite cu suplimente de browser sau programe independente;
- instalează în timp util actualizări pentru browsere, componente generale și de sistem;
- alocați o partiție separată de disc pentru sistem și stocați fișierele utilizator pe alta.
Urmărirea ultimei recomandări face posibilă realizarea de imagini mici ale partiției de sistem (cu programe Symantec Ghost, Acronis True Imagine, Paragon Backup și Recovery sau cel puțin standard instrument Windows„Arhivarea și restaurarea”). Vă vor ajuta cu o recuperare garantată a computerului în câteva minute, indiferent de ce este infectat și dacă antivirusurile pot detecta troianul.
Articolul oferă doar metode de bază și informații generale. Dacă sunteți interesat de subiect, vizitați site-ul web al proiectului GreenFlash. Pe paginile forumului veți găsi multe solutii interesanteși sfaturi pentru crearea unei unități flash multiboot pentru toate ocaziile.
Distribuția troienilor Winlock nu se limitează la Rusia și țările învecinate. Modificările există în aproape toate limbile, inclusiv în arabă. Pe lângă Windows, Mac OS X încearcă să infecteze astfel de troieni.Utilizatorii Linux nu pot experimenta bucuria de a învinge un inamic insidios. Arhitectura acestei familii de sisteme de operare nu permite scrierea niciunui X-lock eficient și universal. Cu toate acestea, puteți „juca doctorul”. mașină virtuală cu un sistem de operare Windows guest.
