Донецкий техникум промышленной автоматики

Банер-вимагач

  1. З ким боремося?
  2. Шляхи поширення Trojan.Winlock
  3. Шкідливі звички Trojan.Winlock
  4. Лікування. Спосіб 1-й. Підбір кодової комбінації за платіжними реквізитами або номером телефону
  5. Спосіб 2. Пошук потрібного коду розблокування по зображенню в базі даних сервісу Dr.Web
  6. Спосіб 3. Програми - розблокувальників
  7. AntiWinLockerLiveCD
  8. профілактика

Автор admin На читання 11 хв.

Банери «Windows заблокований - для розблокування відправляти СМС» та їхні численні варіації безмірно люблять обмежувати права доступу вільних користувачів ОС Windows. При цьому найчастіше стандартні способи виходу з неприємної ситуації - коригування проблеми з Безпечного режиму, коди розблокування на сайтах ESET і DR Web, як і перенесення часу на годиннику BIOS в майбутнє далеко не завжди спрацьовують.

Невже доведеться встановлювати заново систему або платити здирникам? Звичайно, можна піти і найпростішим шляхом, але чи не краще нам спробувати впоратися з нав'язливим монстром на ім'я Trojan.WinLock власними силами і наявними засобами, тим більше що проблему можна спробувати вирішити досить швидко і абсолютно безкоштовно.

WinLock власними силами і наявними засобами, тим більше що проблему можна спробувати вирішити досить швидко і абсолютно безкоштовно

З ким боремося?

Перші програми-вимагачі активізувалися в грудні 1989 року. Багато користувачів отримали тоді поштою дискетки, що надають інформацію про вірус СНІДу. Після установки невеликої програми система приходила в неробочий стан. За її реанімацію користувачам пропонували розщедритися. Шкідлива діяльність першого SMS-блокера, що познайомив користувачів з поняттям "синій екран смерті" була відзначена в жовтні 2007 року.

Trojan.Winlock (Вінлокер) - представник великого сімейства шкідливих програм, установка яких призводить до повного блокування або суттєвого ускладнення роботи з операційною системою. Використовуючи успішний досвід попередників і передові технології розробники вінлокеров стрімко перевернули нову сторінку в історії інтернет-шахрайства. Найбільше модифікацій вірусу користувачі отримали взимку 2009-2010 рр, коли за даними статистики був заражений ні один мільйон персональних комп'ютерів і ноутбуків. Другий пік активності припав на травень 2010 року. Незважаючи на те, що число жертв цілого покоління троянців Trojan.Winlock останнім часом значно скоротилося, а батьки ідеї поміщені під варту, проблема як і раніше актуальна.

Число різних версій вінлокеров перевищило тисячі. У ранніх версіях (Trojan.Winlock 19 і ін.) Зловмисники вимагали за розблокування доступу 10 рублів. Відсутність будь-якої активності користувача через 2 години призводило до самоудаленіе програми, яка залишала після себе лише неприємні спогади. З роками апетити росли, і для розблокування можливостей Windows в більш пізніх версіях потрібно вже 300 - 1000 рублів і вище, про самоудаленіе програми розробники скромно забули.

Як варіанти оплати користувачеві пропонується СМС - платіж на короткий номер або ж електронний гаманець в системах WebMoney, Яндекс Гроші. Фактором, "стимулюючим" недосвідченого користувача зробити платіж стає ймовірний перегляд порносайтів, використання неліцензійного ПЗ ... А для підвищення ефективності текст-звернення вимагача містить загрози знищити дані на комп'ютері користувача при спробі обдурити систему.

Шляхи поширення Trojan.Winlock

У більшості випадків зараження відбувається в зв'язку з вразливістю браузера. Зона ризику - все ті ж "дорослі" ресурси. Класичний варіант зараження - ювілейний відвідувач з цінним призом. Ще один традиційний шлях інфікування - програми, що маскуються під авторитетні інсталятори, архіви, поновлення - Adobe Flash і ін. Інтерфейс троянів барвистий і різноманітний, традиційно використовується техніка маскування під вікна антивірусної програми, рідше - анімація і ін.

Серед загального різноманіття зустрічаються модифікацій, Trojan.Winlock можна розділити на 3 типи:

  1. Порноіформери або банери, змушує тільки при відкриванні вікна браузера.
  2. Банери, що залишаються на робочому столі після закриття браузера.
  3. Банери, що з'являються після завантаження робочого столу Windows і блокують запуск диспетчера завдань, доступ до редактора реєстру, завантаження в безпечному режимі, а в окремих випадках - і клавіатуру.

В останньому випадку для здійснення мінімуму нехитрих маніпуляцій, потрібних зловмисникові, в розпорядженні користувача залишається миша для введення коду на цифровому екранному інтерфейсі.

Шкідливі звички Trojan.Winlock

Для забезпечення поширення і автозапуску віруси сімейства Trojan.Winlock модифікують ключі реєстру:

- [... \ Software \ Microsoft \ Windows \ CurrentVersion \ Run] 'svhost' = '% APPDATA% \ svhost \ svhost.exe'
- [... \ Software \ Microsoft \ Windows \ CurrentVersion \ Run] 'winlogon.exe' = '<SYSTEM 32> \ winlogon.exe'

З метою ускладнення виявлення в системі вірус блокує відображення зірвати файлів, створює і запускає на виконання:

% APPDATA% \ svhost \ svhost.exe

Запускає на виконання:

  • <SYSTEM 32> \ winlogon.exe
  • % WINDIR% \ explorer.exe
  • <SYSTEM 32> \ cmd.exe / c «» »% TEMP% \ uAJZN.bat» »«
  • <SYSTEM 32> \ reg.exe ADD «HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run» / v «svhost» / t REG_SZ / d «% APPDATA% \ svhost \ svhost.exe» / f

Завершує або намагається завершити системний процес:

Вносить зміни в файлову систему:

Створює такі файли:

  • % APPDATA% \ svhost \ svhost.exe
  • % TEMP% \ uAJZN.bat

Присвоює атрибут 'прихований' для файлів:

% APPDATA% \ svhost \ svhost.exe

Шукає вікна:

  • ClassName: 'Shell_TrayWnd' WindowName: »
  • ClassName: 'Indicator' WindowName: »

Лікування. Спосіб 1-й. Підбір кодової комбінації за платіжними реквізитами або номером телефону

Поширеність і гострота проблеми підштовхнула розробників антивірусних програм до пошуку ефективних шляхів вирішення проблеми. Так на сайті Dr.Web у відкритому доступі представлений інтерфейс розблокування у вигляді віконця, куди потрібно ввести номер телефону або електронного гаманця, що використовуються для здирництва. Введення відповідних даних в віконце (див. Рис. Нижче) при наявності вірусу в базі дозволить отримати бажаний код.

Спосіб 2. Пошук потрібного коду розблокування по зображенню в базі даних сервісу Dr.Web

На іншій сторінці сайту автори представили ще один варіант вибору - готову базу кодів розблокування для поширених версій Trojan.Winlock, що класифікуються по зображеннях .

Аналогічний сервіс пошуку кодів представлений антивірусної студією ESET , Де зібрана база з майже 400 000 тисяч варіантів кодів розблокування і лабораторією Касперського, що запропонувала не тільки доступ до бази кодів, а й власну лікує утиліту - Kaspersky WindowsUnlocker .

Спосіб 3. Програми - розблокувальників

Часто-густо зустрічаються ситуації, коли через активність вірусу або збою системи Безпечний режим з підтримкою командного рядка, що дозволяє провести необхідні оперативні маніпуляції виявляється недоступним, а відкат системи по якимось причинам також виявляється неможливим. У таких випадках та усунення несправностей комп'ютера і Диск відновлення Windows виявляються марні, і доводиться задіяти можливості відновлення з Live CD.

Для вирішення ситуації рекомендується використовувати спеціалізовану лікує утиліту, образ якої потрібно завантажити з компакт диска або USB-накопичувача. Для цього відповідна можливість завантаження повинна бути передбачена в BIOS. Після того, як завантажувального диска з образом в налаштуваннях БІОС буде поставлено вищий пріоритет, першими зможуть завантажитися CD-диск або флешка з образом лечащей утиліти.

У загальному випадку зайти в БІОС на ноутбуці найчастіше вдається за допомогою клавіші F2, на ПК - DEL / DELETE, але клавіші і їх поєднання для входу можуть відрізнятися (F1, F8, рідше F10, F12 ..., поєднання клавіш Ctrl + Esc, Ctrl + Ins, Ctrl + Alt, Ctrl + Alt + Esc і ін.). Дізнатися поєднання клавіш для входу можна, відслідковуючи текстову інформацію в нижній лівій частині екрану в перші секунди входу. Докладніше про налаштування та можливості BIOS різних версій можна дізнатися тут .

Оскільки роботу мишки підтримують тільки пізні версії BIOS, переміщатися вгору і вниз по меню найімовірніше доведеться за допомогою стрілок "вгору" - "вниз", кнопок "+" "-", "F5" і "F6".

AntiWinLockerLiveCD

Одна з найпопулярніших і простих утиліт, ефективно справляється з банерами-вимагачами - "вбивця банерів" AntiWinLockerLiveCD цілком заслужила свою репутацію.

Основні функції програми:

  • Фіксування змін найважливіших параметрів Операційної системи;
  • Фіксування присутності в області автозавантаження не підписалися файлів;
  • Захист від заміни деяких системних файлів в WindowsXP userinit.exe, taskmgr.exe;
  • Захист від відключення вірусами Диспетчера завдань і редактора реєстру;
  • Захист завантажувального сектора від вірусів типу Trojan.MBR.lock;
  • Захист області підміни образу програми на інший. Якщо банер не дає завантажиться Вашому комп'ютеру, AntiWinLocker LiveCD / USB допоможе його прибрати в автоматичному режимі і відновить нормальне завантаження.

Автоматичне відновлення системи:

  • Відновлює коректні значення у всіх критичних областях оболонки;
  • Відключає не підписані файли з автозавантаження;
  • Усуває блокування Диспетчера завдань і редактора реєстру;
  • Очищення всіх тимчасових файлів і виконуваних файлів з профілю користувачів;
  • Усунення всіх системних отладчиков (HiJack);
  • Відновлення файлів HOSTS до первісного стану;
  • Відновлення системних файлів, якщо він не підписані (Userinit, taskmgr, logonui, ctfmon);
  • Переміщення всіх непідписаних завдань (.job) в папку AutorunsDisabled;
  • Видалення всіх знайдених файлів Autorun.inf на всіх дисках;
  • Відновлення завантажувального сектора (в середовищі WinPE).

Лікування з використанням утиліти AntiWinLocker LiveCD - не панацея, але один з найпростіших і швидких способів позбутися від вірусу. Дистрибутив LiveCD, навіть у своїй полегшеної безкоштовної Lite версії має для цього всі необхідні інструменти - файловим менеджером FreeCommander, що забезпечує доступ до системних файлів, доступом до файлів автозавантаження, доступом до реєстру.

Програма - справжня знахідка для початківців користувачів, оскільки дозволяє вибрати режим автоматичної перевірки і корекції, в процесі якої вірус і наслідки його активності будуть знайдені і нейтралізовані за кілька хвилин практично без участі користувача. Після перезавантаження машина буде готова продовжити роботу в нормальному режимі.

Послідовність дій гранично проста:

Викачуємо файл AntiWinLockerLiveCD потрібної версії на сторонній комп'ютер в форматі ISO, вставляємо CD компакт-диск в його дисковод і потім, клацнувши правою кнопкою мишки по файлу вибираємо "Відкрити за допомогою", далі вибираємо "Засіб запису образів дисків Windows" - "Записати" і переписуємо образ на CD-диск. Завантажувальний диск готовий.

Завантажувальний диск готовий

  • Розміщуємо диск з образом в дисковод заблокованого ПК / ноутбука з попередньо налаштованими параметрами BIOS (див. Вище);
  • Очікуємо завантаження образу LiveCD в оперативну пам'ять.

Вище);   Очікуємо завантаження образу LiveCD в оперативну пам'ять

  • Після запуску вікна програми вибираємо заблоковану обліковий запис;
  • Вибираємо для обробки даних версію Professional або Lite. Безкоштовна версія (Lite) підходить для вирішення майже всіх поставлених завдань;
  • Після вибору версії вибираємо диск, на якому встановлений заблокований Windows (якщо Ви не оберете програмою автоматично), обліковий запис Користувача,
  • використовувану ОС і встановлюємо параметри пошуку.

Для чистоти експерименту можна відзначити галочками всі пункти меню, крім останнього (відновити завантажувальний сектор).

Натискаємо "Старт" / "Почати лікування".

Очікуємо результатів перевірки. Проблемні файли по її закінченні будуть підсвічені на екрані червоним кольором.

Як ми і припускали, особливу увагу при пошуку вірусу в наведеному прикладі програма приділила традиційним ареалам його проживання. Утилітою зафіксовані зміни в параметрах Shell, що відповідають за графічну оболонку ОС. Після лікування і закриття всіх вікон програми в зворотному порядку, натискання кнопки "Вихід" і перезавантаження знайома заставка Windows знову зайняла своє звичне положення. Наша проблема вирішена успішно.

У числі додаткових корисних інструментів програми:

  • Редактор реєстру;
  • Командний рядок;
  • Диспетчер завдань;
  • Дискова утиліта TestDisk;
  • AntiSMS.

Перевірка в автоматичному режимі утилітою AntiWinLockerLiveCD не завжди дає можливість виявити блокувальника.
Якщо автоматична чистка не принесла результатів, ви завжди можете скористатися можливостями Менеджера фото, перевіривши шляху C: або D: \ Documents and Settings \ Ім'я користувача \ Local Settings \ Temp (Для ОС Windows XP) і С: або D: \ Users \ Ім'я користувача \ AppData \ Local \ Temp (Для Windows 7). Якщо банер прописався в автозавантаженні, є можливість аналізу результатів перевірки в ручному режимі, що дозволяє відключити елементи автозавантаження.

Trojan.Winlock, як правило, не зривається занадто глибоко, і досить передбачуваний. Все, що потрібно для того, щоб нагадати йому своє місце - пару хороших програм і рад, ну і, звичайно ж, обачність в безмежному кіберпросторі.

профілактика

Чисто не там, де часто прибирають, а там, де не смітять! - Вірно сказано, а в випадку з веселим троянцем, як ніколи! Для того, щоб звести до мінімуму ймовірність зарази варто дотримуватися кількох простих і цілком здійсненних правил.

Пароль для облікового запису Адміністратора придумайте складніша, що не дозволить прямолінійним зловредів підібрати його методом найпростішого перебору.

В налаштуваннях браузера відзначте опцію очищення кеша після сеансу, заборона на виконання файлів з тимчасових папок браузера тощо.

Завжди майте під рукою лечайщій диск / флешку LiveCD (LiveUSB), записану з довіреної ресурсу (торрента).

Збережіть інсталяційний диск з виндой і завжди пам'ятайте, де він знаходиться. В час «Ч» з командного рядка ви зможете відновити життєво важливі файли системи до вихідного стану.

Не рідше ніж раз на два тижні створюйте контрольну точку відновлення.

Будь сумнівний софт - кряки, Кайги тощо. Запускайте під віртуальним ПК (VirtualBox та ін.). Це забезпечить можливість легко відновити пошкоджені сегменти засобами оболонки віртуального ПК.

Регулярно робіть резервні копії на зовнішній носій. Забороніть запис у файли сумнівним програмами.
Удачі вам в починаннях і тільки приємних, а головне - безпечних зустрічей!

Післямова від команди iCover

Сподіваємося, що надана в цьому матеріалі інформація буде корисна читачам блогу компанії iCover і допоможе без особливих зусиль впоратися з описаної проблемою за лічені хвилини. А ще сподіваємося, що в нашому блозі ви знайдете багато корисного і цікавого, зможете познайомитися з результатами унікальних тестів і експертиз новітніх гаджетів, знайдете відповіді на найактуальніші питання, вирішення яких часто було потрібно ще вчора.).

джерело: http://geektimes.ru/company/icover/blog/259968/

Оцініть статтю: Поділіться з друзями!

З ким боремося?
Невже доведеться встановлювати заново систему або платити здирникам?
З ким боремося?