1. Види СМС-вимагачів (Trojan-Ransom)
2. Обмежують роботу з оглядачем
3. Блокують доступ до Операційної системі
4. Спосіб лікування №1.
5. Спосіб лікування №2.
6. Спосіб лікування №3.
7. Спосіб лікування №4.
8. Обмежують дії користувача
9. Спосіб лікування №1.
10. Спосіб лікування №2.
11. Шифрувальні файли користувача
12. Сервіси деактивації здирників

blog: ikondrashov: 2010: Додати 01: 07_борьба_с_троянамі-вимагачами

Провідний виробник антивірусних рішень опублікував систематизовану інформацію по боротьбі з СМС-вимагачами і надав всім бажаючим безкоштовний сервіс для боротьби з ними.

Метою дій програм-вимагачів класу Trojan-Ransom є блокування доступу користувача до даних на комп'ютері або обмеження можливостей роботи на комп'ютері та вимогу викупу за повернення до вихідного стану системи.

Розглянемо види шкідливих програм класу Trojan-Ransom в порядку складності боротьби з ними вручну.

Види СМС-вимагачів (Trojan-Ransom)

Обмежують доступ до веб-сайтів

Прикладом програм такого виду може бути шкідлива програма Trojan-Ransom.BAT.Agent.c, яка представляє собою BAT-файл розміром 13 Кб. Після запуску цього шкідливого ПО блокується доступ користувача до багатьох веб-сайтах, в тому числі, сайтам Лабораторії Касперського, пошукових засобів Google, Яндекс, соціальної мережі «Однокласники» та інших (всього близько 200 доменних імен). Ввівши адресу веб-сайту замість очікуваної початкової сторінки, користувач бачить вікно з вимогою викупу. Для блокування доступу до сайтів, троянська програма змінює файл HOSTS: В даному випадку вимагання, вартість відправлення SMS, як правило, вказується явно і складає невелику суму, щоб мотивувати користувача заплатити. У відповідь автори обіцяють надіслати код для розблокування.

Якщо з яких-небудь причин антивірусне ПЗ не було встановлено або шкідливі програми цього типу не було видалено, то в якості альтернативного способу лікування фахівці Лабораторії Касперського рекомендують виконати наступні дії:

• відкрийте файл HOSTS за допомогою будь-якого текстового редактора, наприклад Notepad. Залежно від операційної системи цей файл розташовується:

  • для Windows-95/98 / ME: в кореневому каталозі диска, на якому встановлена ​​операційна система

  • для Windows NT / 2000 / XP / Vista: в папці Windows \ System32 \ drivers \ etc.

• самостійно виправте даний файл, видаливши всі рядки крім: 127.0.0.1 localhost

• встановіть антивірусне ПЗ, якщо воно не було встановлено раніше

• поновіть антивірусні бази

• запустіть перевірку на віруси

Обмежують роботу з оглядачем

В результаті дій таких програм-вимагачів в браузері створюється спливаюче вікно без можливості закриття, що заважає або повністю перешкоджає роботі в Інтернеті. наприклад: Найхарактерніші представники цього підвиду здирників - шкідливі програми сімейств Trojan-Ransom.Win32.Hexzone і Trojan-Ransom.Win32.BHO.

Якщо з яких-небудь причин антивірусне ПЗ не було встановлено або шкідливі програми цього типу не було видалено, то в якості альтернативного способу лікування фахівці Лабораторії Касперського рекомендують виконати наступні дії:

• в меню браузера Internet Explorer відкрийте вікно Керування додатковими компонентами з меню оглядача «Сервіс → Надбудови → Включення і відключення надбудов»

• у вікні Управління надбудовами перераховані всі встановлені і активні надбудови, серед яких слід виявити шкідливу. Для цього зверніть увагу на всі надбудови, у яких в графі Видавець або нічого не вказано, або є рядок (не підтверджено) - їх слід перевірити в першу чергу.

• в графі Файл перевірте розширення файлів таких підозрілих надбудов. Вимкніть підозрілі розширення, натиснувши кнопку Відключити.

• перезапустіть Internet Explorer і переконайтеся, що спливаюче вікно зникло.

Якщо описана процедура не допомогла, то можливо, причина в іншому розширення, і щоб його виявити, послідовно вимкніть усі розширення, перевіряючи результат.

Блокують доступ до Операційної системі

Цей вид шкідливої ​​програми класу Trojan-Ransom заснований на блокуванні доступу користувача до ресурсів операційної системи. У цьому випадку користувач не може завершити роботу шкідливої ​​програми або запустити будь-яку іншу програму, в тому числі Диспетчер завдань. Запустивши таку троянську програму, користувач побачить на екрані повідомлення з вимогою викупу. Клавіатура і мишка будуть продовжувати працювати, але на екрані з'явиться вікно, яке неможливо згорнути, з якого неможливо переключитися (наприклад, за допомогою поєднання клавіш «Alt-Tab»). Залишається тільки вікно, розташоване поверх інших, в якому сформульовані умови отримання пароля для відновлення працездатності системи.

Спосіб лікування №1.

Для вирішення проблеми необхідно завершити шкідливий процес, який блокує екран. Якщо комп'ютер перебуває в мережі, то можна підключитися до комп'ютера за допомогою засобів віддаленого адміністрування. Наведемо приклад з використанням стандартного кошти WMIC (Windows Management Instrumentation Command-line).

wmic / NODE: <ім'я комп'ютера або мережеву адресу> (наприклад «/NODE:192.168.10.128») / USER: <ім'я користувача на зараженій машині> (наприклад «/ USER: Analyst»)

• з'явиться пропозиція ввести пароль користувача на комп'ютері, заблокованому програмою-здирником, який також треба ввести

• далі виконайте команду process

• після цього буде виведений список запущених процесів на віддаленій машині

• знайдіть в списку підозрілий процес, який не відноситься до ОС і призначеним для користувача додатків, наприклад, aers0997.exe

process where name = "<ім'я шкідливого процесу>" delete (наприклад, process where name = "aers0997.exe" delete)

• після завершення шкідливого процесу, на зараженій машині зникне вікно з вимогою викупу

• встановіть антивірусне ПЗ і проведіть перевірку на віруси.

Спосіб лікування №2.

Іншим варіантом функціонування шкідливих програм сімейств Blocker є блокування роботи не відразу після запуску шкідливого ПО, а після перезавантаження комп'ютера. Якщо спосіб лікування №1 не допоміг, можна скористатися вбудованою можливістю відновлення ОС Windows. Розглянемо послідовність кроків на прикладі ОС Windows 7 з використанням установочного DVD-диска. Інсталяційний диск знадобиться Windows в процесі роботи.

• завантажте комп'ютер у безпечному режимі

• в меню на екрані виберіть пункт «Repair Your Computer».

• в процесі запуску вам буде запропоновано вибрати розкладку клавіатури і ввести пароль користувача Windows

• в який з'явився далі діалоговому вікні виберіть пункт «System Restore» ( «Відновлення системи»)

• майстер відновлення запропонує вам відкотити систему до однієї з точок відновлення. Виберіть останню точку відновлення і дочекайтеся закінчення роботи майстра

• по завершенні вам буде запропоновано перевантажитися, після чого швидше за все обмеження будуть зняті.

Спосіб лікування №3.

Якщо попередній спосіб лікування не допоміг, можна скористатися методом ручного видалення шкідливої ​​програми з безпечного режиму.

Увага! Метод видалення шкідливого ПО вручну підходить тільки в тому випадку, якщо ви чітко уявляєте наслідки своїх дій.

Для видалення шкідливої ​​програми вручну виконайте такі дії:

• перезавантажте комп'ютер в безпечному режимі

• в меню виберіть пункт «Safe mode with Command Prompt» (безпечний режим із запуском командного рядка)

• дочекайтеся завантаження системи в безпечному режимі

• введіть пароль для входу в систему (якщо це необхідно)

• після введення пароля з'явиться вікно командного рядка. З вікна командного рядка можна запускати будь-які утиліти і програми. В цьому випадку шукати, де прописалася шкідлива програма доведеться самостійно, наприклад, це можна зробити за допомогою безкоштовної утиліти Autoruns.

Спосіб лікування №4.

Якщо попередній спосіб лікування не допоміг або можливість завантаження Windows з безпечного режиму відключена шкідливою програмою, можна скористатися методом ручного видалення шкідливої ​​програми з використанням завантажувального компакт-диска, так званого LiveCD, наприклад, ERD Commander. Шкідливі програми класу Trojan-Ransom зазвичай використовують системний реєстр Windows. Розглянемо найпоширеніший випадок - зміна значення «Userinit» в гілці «HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon». При такій автозавантаженні блокування комп'ютера відбувається відразу після введення пароля при вході в систему.

Для вирішення цієї ситуації виконайте наступні дії:

• завантажте диск ERD Commander

• зайдіть в меню «Start» → «Administrative Tools» → «Registry Editor»

• знайдіть ключ Userinit в гілці реєстру «HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon»

• відновіть значення на «C: \ Windows \ system32 \ userinit.exe,»

Увага! Будьте обережні і уважні при роботі з системним реєстром!

• видаліть шкідливий файл, який був прописаний в «Userinit» (в разі, зображеному на малюнку, це файл: «C: \ blocker.exe»)

Обмежують дії користувача

В операційних системах сімейства Windows є гнучкий механізм політик безпеки, що дозволяє системним адміністраторам налаштовувати користувальницький оточення. Використовуючи системний реєстр, можна відключити пункти системного меню, Панель Завдань, змінити вид папок і т.д. Вірусописьменники використовують функцію системи в своїх цілях, створивши ціле сімейство шкідливих програм, що обмежують дії користувача в операційній системі. Зміна системних налаштувань, таких як заборона запуску редагування реєстру, заборона запуску Диспетчера завдань і т.д., вже давно використовується різними шкідливими програмами. До цього виду програм-вимагачів можна віднести сімейства Trojan-Ransom.Win32.Krotten і Trojan-Ransom.Win32.Taras. Як правило, після запуску такої програми на комп'ютері можна запустити тільки Інтернет-браузер, щоб можна було заплатити викуп.

Спосіб лікування №1.

Видалення профілю заблокованого користувача.

• перезавантажте комп'ютер в безпечному режимі

• Увійдіть під іншим користувачем, наприклад, користувачем «Адміністратор»

• у випадках деяких програм-вимагачів (наприклад, Trojan-Ransom.Win32.Taras.e) ви побачите, що можливості цього користувача нічим не обмежені, тому що дія троянської програми поширюється тільки на того користувача, який запустив цю шкідливу програму

• скопіювати вміст робочого столу заблокованого користувача та інші потрібні файли, щоб не втратити важливу інформацію, а потім видаліть профіль заблокованого користувача

• створіть нового користувача і увійдіть в систему під новим аккаунтом.

Спосіб лікування №2.

Деякі здирники (наприклад, Trojan-Ransom.Win32.Krotten.kq) змінюють системні налаштування, які надають ефект на всіх користувачів в системі. Наприклад, шкідлива програма запускається при старті Windows і застосовує настройки для кожного нового користувача, крім того, забороняючи вхід в безпечному режимі Windows. У цьому випадку може допомогти лікування з використанням завантажувального диска LiveCD.

• скачайте архів з утилітою AVZ

• розпакуйте архів з утилітою за допомогою програми-архіватора, наприклад, WinZip

• скопіюйте утиліту на flash-носій

• завантажити з LiveCD. Як правило, шкідливі програми даного виду залишають можливість запуску на заблокованому комп'ютері лише декількох додатків: Internet Explorer, Outlook Express, щоб користувач міг відправити лист зловмисникам

• скопіювати вміст каталогу з утилітою AVZ на робочий стіл користувача заблокованого комп'ютера

• перейменуйте виконуваний файл утиліти з AVZ.exe на iexplore.exe (назва файлу Internet Explorer)

• перезавантажте комп'ютер

• Увійдіть під заблокованим користувачем

• запустіть з робочого столу утиліту AVZ під ім'ям iexplore.exe. Утиліта запуститься, тому що програмі Internet Explorer запуск дозволений.

• у вікні утиліти виберіть пункт меню «Файл» → «Відновлення системи»

• відзначте всі пункти, крім пунктів "Повне пересозданіе налаштувань SPI (небезпечно)» і «Очистити ключі MountPoints & MountPoints2»

• натисніть кнопку Виконати зазначені операції

Шифрувальні файли користувача

Останній вид програм-вимагачів непомітно шифрує дані користувача. Пізніше користувач виявляє, що не може отримати доступ до потрібних файлів. Умови викупу «даних-заручників» або поміщаються в текстовий файл в кожному каталозі з зашифрованими файлами (наприклад, в разі Trojan-Ransom.Win32.GPCode), або розміщуються на шпалерах робочого столу (наприклад, так надходить Trojan-Ransom.Win32.Encore ). Зазвичай програми-вимагачі цього виду шифрують файли вибірково - з розширеннями doc, xls, txt і т.д., тобто ті, які потенційно можуть містити важливу для користувача інформацію. Найбільш відоме сімейство таких програм Trojan-Ransom.Win32.Gpcode.

Спосіб лікування. Так як алгоритми шифрування даних варіюються від програми до програми, універсальних способів лікування привести не можна. Для розшифровки файлів як мінімум треба мати екземпляр троянської програми, хоча і цього може бути недостатньо. У разі зараження програмою-здирником подібного виду, зверніться в Службу технічної підтримки виробника вашого антивіруса.

Сервіси деактивації здирників

Провідні вітчизняні антивірусні компанії, «Лабораторія Касперського» і «Доктор Веб» представляють безкоштовні сервіси для боротьби з програмами, що блокують комп'ютер і пропонують відправити платну СМС на певний номер.

Адреси сервісів:
Касперський: http://support.kaspersky.ru/viruses/deblocker
Др.ВЕБ: http://www.drweb.com/unlocker/index

Текст новини практично повністю взяли з сайту support.kaspersky.ru і розміщений на нашому ресурсі для ознайомлення з прийомами боротьби з СМС-вимагачами. Величезне спасибі фахівцям лабораторії за систематизацію відомостей і викладання їх у вільний доступ.

blog / ikondrashov / 2010/01 / 07_борьба_с_троянамі-вимогателямі.txt · Останні зміни: 2010/01/24 14:47 - Kondrashov Igor