• Главная
  • Карта сайта
Не найдено

Боротьба з троянами-вимагачами [Центр комп'ютерної допомоги «1 2 3»]

  1. Види СМС-вимагачів (Trojan-Ransom)
  2. Обмежують роботу з оглядачем
  3. Блокують доступ до Операційної системі
  4. Спосіб лікування №1.
  5. Спосіб лікування №2.
  6. Спосіб лікування №3.
  7. Спосіб лікування №4.
  8. Обмежують дії користувача
  9. Спосіб лікування №1.
  10. Спосіб лікування №2.
  11. Шифрувальні файли користувача
  12. Сервіси деактивації здирників

blog: ikondrashov: 2010: Додати 01: 07_борьба_с_троянамі-вимагачами

Провідний виробник антивірусних рішень опублікував систематизовану інформацію по боротьбі з СМС-вимагачами і надав всім бажаючим безкоштовний сервіс для боротьби з ними Провідний виробник антивірусних рішень опублікував систематизовану інформацію по боротьбі з СМС-вимагачами і надав всім бажаючим безкоштовний сервіс для боротьби з ними.

Метою дій програм-вимагачів класу Trojan-Ransom є блокування доступу користувача до даних на комп'ютері або обмеження можливостей роботи на комп'ютері та вимогу викупу за повернення до вихідного стану системи.

Розглянемо види шкідливих програм класу Trojan-Ransom в порядку складності боротьби з ними вручну.

Види СМС-вимагачів (Trojan-Ransom)

Обмежують доступ до веб-сайтів

Прикладом програм такого виду може бути шкідлива програма Trojan-Ransom.BAT.Agent.c, яка представляє собою BAT-файл розміром 13 Кб. Після запуску цього шкідливого ПО блокується доступ користувача до багатьох веб-сайтах, в тому числі, сайтам Лабораторії Касперського, пошукових засобів Google, Яндекс, соціальної мережі «Однокласники» та інших (всього близько 200 доменних імен). Ввівши адресу веб-сайту замість очікуваної початкової сторінки, користувач бачить вікно з вимогою викупу. Прикладом програм такого виду може бути шкідлива програма Trojan-Ransom Для блокування доступу до сайтів, троянська програма змінює файл HOSTS: В даному випадку вимагання, вартість відправлення SMS, як правило, вказується явно і складає невелику суму, щоб мотивувати користувача заплатити. У відповідь автори обіцяють надіслати код для розблокування.

Якщо з яких-небудь причин антивірусне ПЗ не було встановлено або шкідливі програми цього типу не було видалено, то в якості альтернативного способу лікування фахівці Лабораторії Касперського рекомендують виконати наступні дії:

  • відкрийте файл HOSTS за допомогою будь-якого текстового редактора, наприклад Notepad. Залежно від операційної системи цей файл розташовується:

    • для Windows-95/98 / ME: в кореневому каталозі диска, на якому встановлена ​​операційна система

    • для Windows NT / 2000 / XP / Vista: в папці Windows \ System32 \ drivers \ etc.

  • самостійно виправте даний файл, видаливши всі рядки крім: 127.0.0.1 localhost

  • встановіть антивірусне ПЗ, якщо воно не було встановлено раніше

  • поновіть антивірусні бази

  • запустіть перевірку на віруси

Обмежують роботу з оглядачем

В результаті дій таких програм-вимагачів в браузері створюється спливаюче вікно без можливості закриття, що заважає або повністю перешкоджає роботі в Інтернеті. наприклад: В результаті дій таких програм-вимагачів в браузері створюється спливаюче вікно без можливості закриття, що заважає або повністю перешкоджає роботі в Інтернеті Найхарактерніші представники цього підвиду здирників - шкідливі програми сімейств Trojan-Ransom.Win32.Hexzone і Trojan-Ransom.Win32.BHO.

Якщо з яких-небудь причин антивірусне ПЗ не було встановлено або шкідливі програми цього типу не було видалено, то в якості альтернативного способу лікування фахівці Лабораторії Касперського рекомендують виконати наступні дії:

  • в меню браузера Internet Explorer відкрийте вікно Керування додатковими компонентами з меню оглядача «Сервіс → Надбудови → Включення і відключення надбудов»

  • у вікні Управління надбудовами перераховані всі встановлені і активні надбудови, серед яких слід виявити шкідливу. Для цього зверніть увагу на всі надбудови, у яких в графі Видавець або нічого не вказано, або є рядок (не підтверджено) - їх слід перевірити в першу чергу.

  • в графі Файл перевірте розширення файлів таких підозрілих надбудов. Вимкніть підозрілі розширення, натиснувши кнопку Відключити.

  • перезапустіть Internet Explorer і переконайтеся, що спливаюче вікно зникло.

Якщо описана процедура не допомогла, то можливо, причина в іншому розширення, і щоб його виявити, послідовно вимкніть усі розширення, перевіряючи результат Якщо описана процедура не допомогла, то можливо, причина в іншому розширення, і щоб його виявити, послідовно вимкніть усі розширення, перевіряючи результат.

Блокують доступ до Операційної системі

Цей вид шкідливої ​​програми класу Trojan-Ransom заснований на блокуванні доступу користувача до ресурсів операційної системи. У цьому випадку користувач не може завершити роботу шкідливої ​​програми або запустити будь-яку іншу програму, в тому числі Диспетчер завдань. Запустивши таку троянську програму, користувач побачить на екрані повідомлення з вимогою викупу. Клавіатура і мишка будуть продовжувати працювати, але на екрані з'явиться вікно, яке неможливо згорнути, з якого неможливо переключитися (наприклад, за допомогою поєднання клавіш «Alt-Tab»). Залишається тільки вікно, розташоване поверх інших, в якому сформульовані умови отримання пароля для відновлення працездатності системи. Цей вид шкідливої ​​програми класу Trojan-Ransom заснований на блокуванні доступу користувача до ресурсів операційної системи

Спосіб лікування №1.

Для вирішення проблеми необхідно завершити шкідливий процес, який блокує екран. Якщо комп'ютер перебуває в мережі, то можна підключитися до комп'ютера за допомогою засобів віддаленого адміністрування. Наведемо приклад з використанням стандартного кошти WMIC (Windows Management Instrumentation Command-line).

wmic / NODE: <ім'я комп'ютера або мережеву адресу> (наприклад «/NODE:192.168.10.128») / USER: <ім'я користувача на зараженій машині> (наприклад «/ USER: Analyst»)

  • з'явиться пропозиція ввести пароль користувача на комп'ютері, заблокованому програмою-здирником, який також треба ввести

  • далі виконайте команду process

  • після цього буде виведений список запущених процесів на віддаленій машині

  • знайдіть в списку підозрілий процес, який не відноситься до ОС і призначеним для користувача додатків, наприклад, aers0997.exe

exe

process where name = "<ім'я шкідливого процесу>" delete (наприклад, process where name = "aers0997.exe" delete)

  • після завершення шкідливого процесу, на зараженій машині зникне вікно з вимогою викупу

  • встановіть антивірусне ПЗ і проведіть перевірку на віруси.

Спосіб лікування №2.

Іншим варіантом функціонування шкідливих програм сімейств Blocker є блокування роботи не відразу після запуску шкідливого ПО, а після перезавантаження комп'ютера. Якщо спосіб лікування №1 не допоміг, можна скористатися вбудованою можливістю відновлення ОС Windows. Розглянемо послідовність кроків на прикладі ОС Windows 7 з використанням установочного DVD-диска. Інсталяційний диск знадобиться Windows в процесі роботи.

  • завантажте комп'ютер у безпечному режимі

  • в меню на екрані виберіть пункт «Repair Your Computer».

  • в процесі запуску вам буде запропоновано вибрати розкладку клавіатури і ввести пароль користувача Windows

  • в який з'явився далі діалоговому вікні виберіть пункт «System Restore» ( «Відновлення системи»)

  • майстер відновлення запропонує вам відкотити систему до однієї з точок відновлення. Виберіть останню точку відновлення і дочекайтеся закінчення роботи майстра

  • по завершенні вам буде запропоновано перевантажитися, після чого швидше за все обмеження будуть зняті.

Спосіб лікування №3.

Якщо попередній спосіб лікування не допоміг, можна скористатися методом ручного видалення шкідливої ​​програми з безпечного режиму.

Увага Увага! Метод видалення шкідливого ПО вручну підходить тільки в тому випадку, якщо ви чітко уявляєте наслідки своїх дій.

Для видалення шкідливої ​​програми вручну виконайте такі дії:

  • перезавантажте комп'ютер в безпечному режимі

  • в меню виберіть пункт «Safe mode with Command Prompt» (безпечний режим із запуском командного рядка)

  • дочекайтеся завантаження системи в безпечному режимі

  • введіть пароль для входу в систему (якщо це необхідно)

  • після введення пароля з'явиться вікно командного рядка. З вікна командного рядка можна запускати будь-які утиліти і програми. В цьому випадку шукати, де прописалася шкідлива програма доведеться самостійно, наприклад, це можна зробити за допомогою безкоштовної утиліти Autoruns.

Спосіб лікування №4.

Якщо попередній спосіб лікування не допоміг або можливість завантаження Windows з безпечного режиму відключена шкідливою програмою, можна скористатися методом ручного видалення шкідливої ​​програми з використанням завантажувального компакт-диска, так званого LiveCD, наприклад, ERD Commander. Шкідливі програми класу Trojan-Ransom зазвичай використовують системний реєстр Windows. Розглянемо найпоширеніший випадок - зміна значення «Userinit» в гілці «HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon». При такій автозавантаженні блокування комп'ютера відбувається відразу після введення пароля при вході в систему.

Для вирішення цієї ситуації виконайте наступні дії:

  • завантажте диск ERD Commander

  • зайдіть в меню «Start» → «Administrative Tools» → «Registry Editor»

  • знайдіть ключ Userinit в гілці реєстру «HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon»

  • відновіть значення на «C: \ Windows \ system32 \ userinit.exe,»

Увага Увага! Будьте обережні і уважні при роботі з системним реєстром!

  • видаліть шкідливий файл, який був прописаний в «Userinit» (в разі, зображеному на малюнку, це файл: «C: \ blocker.exe»)

exe»)

Обмежують дії користувача

В операційних системах сімейства Windows є гнучкий механізм політик безпеки, що дозволяє системним адміністраторам налаштовувати користувальницький оточення. Використовуючи системний реєстр, можна відключити пункти системного меню, Панель Завдань, змінити вид папок і т.д. Вірусописьменники використовують функцію системи в своїх цілях, створивши ціле сімейство шкідливих програм, що обмежують дії користувача в операційній системі. Зміна системних налаштувань, таких як заборона запуску редагування реєстру, заборона запуску Диспетчера завдань і т.д., вже давно використовується різними шкідливими програмами. До цього виду програм-вимагачів можна віднести сімейства Trojan-Ransom.Win32.Krotten і Trojan-Ransom.Win32.Taras. Як правило, після запуску такої програми на комп'ютері можна запустити тільки Інтернет-браузер, щоб можна було заплатити викуп.

Спосіб лікування №1.

Видалення профілю заблокованого користувача.

  • перезавантажте комп'ютер в безпечному режимі

  • Увійдіть під іншим користувачем, наприклад, користувачем «Адміністратор»

  • у випадках деяких програм-вимагачів (наприклад, Trojan-Ransom.Win32.Taras.e) ви побачите, що можливості цього користувача нічим не обмежені, тому що дія троянської програми поширюється тільки на того користувача, який запустив цю шкідливу програму

  • скопіювати вміст робочого столу заблокованого користувача та інші потрібні файли, щоб не втратити важливу інформацію, а потім видаліть профіль заблокованого користувача

  • створіть нового користувача і увійдіть в систему під новим аккаунтом.

Спосіб лікування №2.

Деякі здирники (наприклад, Trojan-Ransom.Win32.Krotten.kq) змінюють системні налаштування, які надають ефект на всіх користувачів в системі. Наприклад, шкідлива програма запускається при старті Windows і застосовує настройки для кожного нового користувача, крім того, забороняючи вхід в безпечному режимі Windows. У цьому випадку може допомогти лікування з використанням завантажувального диска LiveCD.

  • скачайте архів з утилітою AVZ

  • розпакуйте архів з утилітою за допомогою програми-архіватора, наприклад, WinZip

  • скопіюйте утиліту на flash-носій

  • завантажити з LiveCD. Як правило, шкідливі програми даного виду залишають можливість запуску на заблокованому комп'ютері лише декількох додатків: Internet Explorer, Outlook Express, щоб користувач міг відправити лист зловмисникам

  • скопіювати вміст каталогу з утилітою AVZ на робочий стіл користувача заблокованого комп'ютера

  • перейменуйте виконуваний файл утиліти з AVZ.exe на iexplore.exe (назва файлу Internet Explorer)

  • перезавантажте комп'ютер

  • Увійдіть під заблокованим користувачем

  • запустіть з робочого столу утиліту AVZ під ім'ям iexplore.exe. Утиліта запуститься, тому що програмі Internet Explorer запуск дозволений.

  • у вікні утиліти виберіть пункт меню «Файл» → «Відновлення системи»

  • відзначте всі пункти, крім пунктів "Повне пересозданіе налаштувань SPI (небезпечно)» і «Очистити ключі MountPoints & MountPoints2»

  • натисніть кнопку Виконати зазначені операції

у вікні утиліти виберіть пункт меню «Файл» → «Відновлення системи»   відзначте всі пункти, крім пунктів Повне пересозданіе налаштувань SPI (небезпечно)» і «Очистити ключі MountPoints & MountPoints2»   натисніть кнопку Виконати зазначені операції

Шифрувальні файли користувача

Останній вид програм-вимагачів непомітно шифрує дані користувача. Пізніше користувач виявляє, що не може отримати доступ до потрібних файлів. Умови викупу «даних-заручників» або поміщаються в текстовий файл в кожному каталозі з зашифрованими файлами (наприклад, в разі Trojan-Ransom.Win32.GPCode), або розміщуються на шпалерах робочого столу (наприклад, так надходить Trojan-Ransom.Win32.Encore ). Останній вид програм-вимагачів непомітно шифрує дані користувача Зазвичай програми-вимагачі цього виду шифрують файли вибірково - з розширеннями doc, xls, txt і т.д., тобто ті, які потенційно можуть містити важливу для користувача інформацію. Найбільш відоме сімейство таких програм Trojan-Ransom.Win32.Gpcode.

Спосіб лікування. Так як алгоритми шифрування даних варіюються від програми до програми, універсальних способів лікування привести не можна. Для розшифровки файлів як мінімум треба мати екземпляр троянської програми, хоча і цього може бути недостатньо. У разі зараження програмою-здирником подібного виду, зверніться в Службу технічної підтримки виробника вашого антивіруса.

Сервіси деактивації здирників

Провідні вітчизняні антивірусні компанії, «Лабораторія Касперського» і «Доктор Веб» представляють безкоштовні сервіси для боротьби з програмами, що блокують комп'ютер і пропонують відправити платну СМС на певний номер.

Адреси сервісів:
Касперський: http://support.kaspersky.ru/viruses/deblocker
Др.ВЕБ: http://www.drweb.com/unlocker/index

Текст новини практично повністю взяли з сайту support.kaspersky.ru і розміщений на нашому ресурсі для ознайомлення з прийомами боротьби з СМС-вимагачами. Величезне спасибі фахівцям лабораторії за систематизацію відомостей і викладання їх у вільний доступ.

blog / ikondrashov / 2010/01 / 07_борьба_с_троянамі-вимогателямі.txt · Останні зміни: 2010/01/24 14:47 - Kondrashov Igor

Новости
Провайдеры:
  • 08.09.2015

    Batyevka.NET предоставляет услуги доступа к сети Интернет на территории Соломенского района г. Киева.Наша миссия —... 
    Читать полностью

  • 08.09.2015
    IPNET

    Компания IPNET — это крупнейший оператор и технологический лидер на рынке телекоммуникаций Киева. Мы предоставляем... 
    Читать полностью

  • 08.09.2015
    Boryspil.Net

    Интернет-провайдер «Boryspil.net» начал свою работу в 2008 году и на данный момент является одним из крупнейших поставщиков... 
    Читать полностью

  • 08.09.2015
    4OKNET

    Наша компания работает в сфере телекоммуникационных услуг, а именно — предоставлении доступа в сеть интернет.Уже... 
    Читать полностью

  • 08.09.2015
    Телегруп

    ДП «Телегруп-Украина» – IT-компания с 15-летним опытом работы на рынке телекоммуникационных услуг, а также официальный... 
    Читать полностью

  • 08.09.2015
    Софтлинк

    Высокая скоростьМы являемся участником Украинского центра обмена трафиком (UA — IX) с включением 10 Гбит / сек... 
    Читать полностью