Боротьба з троянами-вимагачами [Центр комп'ютерної допомоги «1 2 3»]
- Види СМС-вимагачів (Trojan-Ransom)
- Обмежують роботу з оглядачем
- Блокують доступ до Операційної системі
- Спосіб лікування №1.
- Спосіб лікування №2.
- Спосіб лікування №3.
- Спосіб лікування №4.
- Обмежують дії користувача
- Спосіб лікування №1.
- Спосіб лікування №2.
- Шифрувальні файли користувача
- Сервіси деактивації здирників
blog: ikondrashov: 2010: Додати 01: 07_борьба_с_троянамі-вимагачами
Провідний виробник антивірусних рішень опублікував систематизовану інформацію по боротьбі з СМС-вимагачами і надав всім бажаючим безкоштовний сервіс для боротьби з ними.
Метою дій програм-вимагачів класу Trojan-Ransom є блокування доступу користувача до даних на комп'ютері або обмеження можливостей роботи на комп'ютері та вимогу викупу за повернення до вихідного стану системи.
Розглянемо види шкідливих програм класу Trojan-Ransom в порядку складності боротьби з ними вручну.
Види СМС-вимагачів (Trojan-Ransom)
Обмежують доступ до веб-сайтів
Прикладом програм такого виду може бути шкідлива програма Trojan-Ransom.BAT.Agent.c, яка представляє собою BAT-файл розміром 13 Кб. Після запуску цього шкідливого ПО блокується доступ користувача до багатьох веб-сайтах, в тому числі, сайтам Лабораторії Касперського, пошукових засобів Google, Яндекс, соціальної мережі «Однокласники» та інших (всього близько 200 доменних імен). Ввівши адресу веб-сайту замість очікуваної початкової сторінки, користувач бачить вікно з вимогою викупу. Для блокування доступу до сайтів, троянська програма змінює файл HOSTS: В даному випадку вимагання, вартість відправлення SMS, як правило, вказується явно і складає невелику суму, щоб мотивувати користувача заплатити. У відповідь автори обіцяють надіслати код для розблокування.
Якщо з яких-небудь причин антивірусне ПЗ не було встановлено або шкідливі програми цього типу не було видалено, то в якості альтернативного способу лікування фахівці Лабораторії Касперського рекомендують виконати наступні дії:
відкрийте файл HOSTS за допомогою будь-якого текстового редактора, наприклад Notepad. Залежно від операційної системи цей файл розташовується:
для Windows-95/98 / ME: в кореневому каталозі диска, на якому встановлена операційна система
для Windows NT / 2000 / XP / Vista: в папці Windows \ System32 \ drivers \ etc.
самостійно виправте даний файл, видаливши всі рядки крім: 127.0.0.1 localhost
встановіть антивірусне ПЗ, якщо воно не було встановлено раніше
поновіть антивірусні бази
запустіть перевірку на віруси
Обмежують роботу з оглядачем
В результаті дій таких програм-вимагачів в браузері створюється спливаюче вікно без можливості закриття, що заважає або повністю перешкоджає роботі в Інтернеті. наприклад: Найхарактерніші представники цього підвиду здирників - шкідливі програми сімейств Trojan-Ransom.Win32.Hexzone і Trojan-Ransom.Win32.BHO.
Якщо з яких-небудь причин антивірусне ПЗ не було встановлено або шкідливі програми цього типу не було видалено, то в якості альтернативного способу лікування фахівці Лабораторії Касперського рекомендують виконати наступні дії:
в меню браузера Internet Explorer відкрийте вікно Керування додатковими компонентами з меню оглядача «Сервіс → Надбудови → Включення і відключення надбудов»
у вікні Управління надбудовами перераховані всі встановлені і активні надбудови, серед яких слід виявити шкідливу. Для цього зверніть увагу на всі надбудови, у яких в графі Видавець або нічого не вказано, або є рядок (не підтверджено) - їх слід перевірити в першу чергу.
в графі Файл перевірте розширення файлів таких підозрілих надбудов. Вимкніть підозрілі розширення, натиснувши кнопку Відключити.
перезапустіть Internet Explorer і переконайтеся, що спливаюче вікно зникло.
Якщо описана процедура не допомогла, то можливо, причина в іншому розширення, і щоб його виявити, послідовно вимкніть усі розширення, перевіряючи результат.
Блокують доступ до Операційної системі
Цей вид шкідливої програми класу Trojan-Ransom заснований на блокуванні доступу користувача до ресурсів операційної системи. У цьому випадку користувач не може завершити роботу шкідливої програми або запустити будь-яку іншу програму, в тому числі Диспетчер завдань. Запустивши таку троянську програму, користувач побачить на екрані повідомлення з вимогою викупу. Клавіатура і мишка будуть продовжувати працювати, але на екрані з'явиться вікно, яке неможливо згорнути, з якого неможливо переключитися (наприклад, за допомогою поєднання клавіш «Alt-Tab»). Залишається тільки вікно, розташоване поверх інших, в якому сформульовані умови отримання пароля для відновлення працездатності системи.
Спосіб лікування №1.
Для вирішення проблеми необхідно завершити шкідливий процес, який блокує екран. Якщо комп'ютер перебуває в мережі, то можна підключитися до комп'ютера за допомогою засобів віддаленого адміністрування. Наведемо приклад з використанням стандартного кошти WMIC (Windows Management Instrumentation Command-line).
wmic / NODE: <ім'я комп'ютера або мережеву адресу> (наприклад «/NODE:192.168.10.128») / USER: <ім'я користувача на зараженій машині> (наприклад «/ USER: Analyst»)
з'явиться пропозиція ввести пароль користувача на комп'ютері, заблокованому програмою-здирником, який також треба ввести
далі виконайте команду process
після цього буде виведений список запущених процесів на віддаленій машині
знайдіть в списку підозрілий процес, який не відноситься до ОС і призначеним для користувача додатків, наприклад, aers0997.exe
process where name = "<ім'я шкідливого процесу>" delete (наприклад, process where name = "aers0997.exe" delete)
після завершення шкідливого процесу, на зараженій машині зникне вікно з вимогою викупу
встановіть антивірусне ПЗ і проведіть перевірку на віруси.
Спосіб лікування №2.
Іншим варіантом функціонування шкідливих програм сімейств Blocker є блокування роботи не відразу після запуску шкідливого ПО, а після перезавантаження комп'ютера. Якщо спосіб лікування №1 не допоміг, можна скористатися вбудованою можливістю відновлення ОС Windows. Розглянемо послідовність кроків на прикладі ОС Windows 7 з використанням установочного DVD-диска. Інсталяційний диск знадобиться Windows в процесі роботи.
завантажте комп'ютер у безпечному режимі
в меню на екрані виберіть пункт «Repair Your Computer».
в процесі запуску вам буде запропоновано вибрати розкладку клавіатури і ввести пароль користувача Windows
в який з'явився далі діалоговому вікні виберіть пункт «System Restore» ( «Відновлення системи»)
майстер відновлення запропонує вам відкотити систему до однієї з точок відновлення. Виберіть останню точку відновлення і дочекайтеся закінчення роботи майстра
по завершенні вам буде запропоновано перевантажитися, після чого швидше за все обмеження будуть зняті.
Спосіб лікування №3.
Якщо попередній спосіб лікування не допоміг, можна скористатися методом ручного видалення шкідливої програми з безпечного режиму.
Увага! Метод видалення шкідливого ПО вручну підходить тільки в тому випадку, якщо ви чітко уявляєте наслідки своїх дій.
Для видалення шкідливої програми вручну виконайте такі дії:
перезавантажте комп'ютер в безпечному режимі
в меню виберіть пункт «Safe mode with Command Prompt» (безпечний режим із запуском командного рядка)
дочекайтеся завантаження системи в безпечному режимі
введіть пароль для входу в систему (якщо це необхідно)
після введення пароля з'явиться вікно командного рядка. З вікна командного рядка можна запускати будь-які утиліти і програми. В цьому випадку шукати, де прописалася шкідлива програма доведеться самостійно, наприклад, це можна зробити за допомогою безкоштовної утиліти Autoruns.
Спосіб лікування №4.
Якщо попередній спосіб лікування не допоміг або можливість завантаження Windows з безпечного режиму відключена шкідливою програмою, можна скористатися методом ручного видалення шкідливої програми з використанням завантажувального компакт-диска, так званого LiveCD, наприклад, ERD Commander. Шкідливі програми класу Trojan-Ransom зазвичай використовують системний реєстр Windows. Розглянемо найпоширеніший випадок - зміна значення «Userinit» в гілці «HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon». При такій автозавантаженні блокування комп'ютера відбувається відразу після введення пароля при вході в систему.
Для вирішення цієї ситуації виконайте наступні дії:
завантажте диск ERD Commander
зайдіть в меню «Start» → «Administrative Tools» → «Registry Editor»
знайдіть ключ Userinit в гілці реєстру «HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon»
відновіть значення на «C: \ Windows \ system32 \ userinit.exe,»
Увага! Будьте обережні і уважні при роботі з системним реєстром!
видаліть шкідливий файл, який був прописаний в «Userinit» (в разі, зображеному на малюнку, це файл: «C: \ blocker.exe»)
Обмежують дії користувача
В операційних системах сімейства Windows є гнучкий механізм політик безпеки, що дозволяє системним адміністраторам налаштовувати користувальницький оточення. Використовуючи системний реєстр, можна відключити пункти системного меню, Панель Завдань, змінити вид папок і т.д. Вірусописьменники використовують функцію системи в своїх цілях, створивши ціле сімейство шкідливих програм, що обмежують дії користувача в операційній системі. Зміна системних налаштувань, таких як заборона запуску редагування реєстру, заборона запуску Диспетчера завдань і т.д., вже давно використовується різними шкідливими програмами. До цього виду програм-вимагачів можна віднести сімейства Trojan-Ransom.Win32.Krotten і Trojan-Ransom.Win32.Taras. Як правило, після запуску такої програми на комп'ютері можна запустити тільки Інтернет-браузер, щоб можна було заплатити викуп.
Спосіб лікування №1.
Видалення профілю заблокованого користувача.
перезавантажте комп'ютер в безпечному режимі
Увійдіть під іншим користувачем, наприклад, користувачем «Адміністратор»
у випадках деяких програм-вимагачів (наприклад, Trojan-Ransom.Win32.Taras.e) ви побачите, що можливості цього користувача нічим не обмежені, тому що дія троянської програми поширюється тільки на того користувача, який запустив цю шкідливу програму
скопіювати вміст робочого столу заблокованого користувача та інші потрібні файли, щоб не втратити важливу інформацію, а потім видаліть профіль заблокованого користувача
створіть нового користувача і увійдіть в систему під новим аккаунтом.
Спосіб лікування №2.
Деякі здирники (наприклад, Trojan-Ransom.Win32.Krotten.kq) змінюють системні налаштування, які надають ефект на всіх користувачів в системі. Наприклад, шкідлива програма запускається при старті Windows і застосовує настройки для кожного нового користувача, крім того, забороняючи вхід в безпечному режимі Windows. У цьому випадку може допомогти лікування з використанням завантажувального диска LiveCD.
скачайте архів з утилітою AVZ
розпакуйте архів з утилітою за допомогою програми-архіватора, наприклад, WinZip
скопіюйте утиліту на flash-носій
завантажити з LiveCD. Як правило, шкідливі програми даного виду залишають можливість запуску на заблокованому комп'ютері лише декількох додатків: Internet Explorer, Outlook Express, щоб користувач міг відправити лист зловмисникам
скопіювати вміст каталогу з утилітою AVZ на робочий стіл користувача заблокованого комп'ютера
перейменуйте виконуваний файл утиліти з AVZ.exe на iexplore.exe (назва файлу Internet Explorer)
перезавантажте комп'ютер
Увійдіть під заблокованим користувачем
запустіть з робочого столу утиліту AVZ під ім'ям iexplore.exe. Утиліта запуститься, тому що програмі Internet Explorer запуск дозволений.
у вікні утиліти виберіть пункт меню «Файл» → «Відновлення системи»
відзначте всі пункти, крім пунктів "Повне пересозданіе налаштувань SPI (небезпечно)» і «Очистити ключі MountPoints & MountPoints2»
натисніть кнопку Виконати зазначені операції
Шифрувальні файли користувача
Останній вид програм-вимагачів непомітно шифрує дані користувача. Пізніше користувач виявляє, що не може отримати доступ до потрібних файлів. Умови викупу «даних-заручників» або поміщаються в текстовий файл в кожному каталозі з зашифрованими файлами (наприклад, в разі Trojan-Ransom.Win32.GPCode), або розміщуються на шпалерах робочого столу (наприклад, так надходить Trojan-Ransom.Win32.Encore ). Зазвичай програми-вимагачі цього виду шифрують файли вибірково - з розширеннями doc, xls, txt і т.д., тобто ті, які потенційно можуть містити важливу для користувача інформацію. Найбільш відоме сімейство таких програм Trojan-Ransom.Win32.Gpcode.
Спосіб лікування. Так як алгоритми шифрування даних варіюються від програми до програми, універсальних способів лікування привести не можна. Для розшифровки файлів як мінімум треба мати екземпляр троянської програми, хоча і цього може бути недостатньо. У разі зараження програмою-здирником подібного виду, зверніться в Службу технічної підтримки виробника вашого антивіруса.
Сервіси деактивації здирників
Провідні вітчизняні антивірусні компанії, «Лабораторія Касперського» і «Доктор Веб» представляють безкоштовні сервіси для боротьби з програмами, що блокують комп'ютер і пропонують відправити платну СМС на певний номер.
Адреси сервісів:
Касперський: http://support.kaspersky.ru/viruses/deblocker
Др.ВЕБ: http://www.drweb.com/unlocker/index
Текст новини практично повністю взяли з сайту support.kaspersky.ru і розміщений на нашому ресурсі для ознайомлення з прийомами боротьби з СМС-вимагачами. Величезне спасибі фахівцям лабораторії за систематизацію відомостей і викладання їх у вільний доступ.
blog / ikondrashov / 2010/01 / 07_борьба_с_троянамі-вимогателямі.txt · Останні зміни: 2010/01/24 14:47 - Kondrashov Igor