Igor48
20.11.2010, 11:53
http://www.strack.xaker.ru/img/news/troyan.jpg
Ведущий производитель антивирусных решений опубликовал систематизированную информацию по борьбе с СМС-вымогателями и предоставил всем желающим бесплатный сервис для борьбы с ними. Целью действий программ-вымогателей класса Trojan-Ransom является блокирование доступа пользователя к данным на компьютере или ограничение возможностей работы на компьютере и требование выкупа за возврат к исходному состоянию системы.
Рассмотрим виды вредоносных программ класса Trojan-Ransom в порядке сложности борьбы с ними вручную.
Виды СМС-вымогателей (Trojan-Ransom)
Ограничивающие доступ к веб-сайтам
Примером программ такого вида может быть вредоносная программа Trojan-Ransom.BAT.Agent.c , которая представляет собой BAT-файл размером 13 Кб. После запуска этого вредоносного ПО блокируется доступ пользователя ко многим веб-сайтам, в том числе, сайтам Лаборатории Касперского, поисковых средств Google (http://topics.nytimes.com/top/news/business/companies/google_inc/index.html), Яндекс, социальной сети «Одноклассники» и других (всего около 200 доменных имен). Введя адрес веб-сайта вместо ожидаемой начальной страницы, пользователь видит окно с требованием выкупа.
http://www.vrn123.ru/wiki/_media/blog/ikondrashov/2010/01/ransom1.gif (http://www.vrn123.ru/wiki/_detail/blog/ikondrashov/2010/01/ransom1.gif?id=blog%3Aikondrashov%3A2010%3A01%3A07 _%D0%B1%D0%BE%D1%80%D1%8C%D0%B1%D0%B0_%D1%81_%D1%8 2%D1%80%D0%BE%D1%8F%D0%BD%D0%B0%D0%BC%D0%B8-%D0%B2%D1%8B%D0%BC%D0%BE%D0%B3%D0%B0%D1%82%D0%B5%D 0%BB%D1%8F%D0%BC%D0%B8)
Для блокирования доступа к сайтам, троянская программа изменяет файл HOSTS:
http://www.vrn123.ru/wiki/_media/blog/ikondrashov/2010/01/ransom2.gif (http://www.vrn123.ru/wiki/_detail/blog/ikondrashov/2010/01/ransom2.gif?id=blog%3Aikondrashov%3A2010%3A01%3A07 _%D0%B1%D0%BE%D1%80%D1%8C%D0%B1%D0%B0_%D1%81_%D1%8 2%D1%80%D0%BE%D1%8F%D0%BD%D0%B0%D0%BC%D0%B8-%D0%B2%D1%8B%D0%BC%D0%BE%D0%B3%D0%B0%D1%82%D0%B5%D 0%BB%D1%8F%D0%BC%D0%B8)
В данном случае вымогательства, стоимость отправки SMS, как правило, указывается явно и составляет небольшую сумму, чтобы мотивировать пользователя заплатить. В ответ авторы обещают прислать код для разблокировки.
Если по каким-либо причинам антивирусное ПО не было установлено или вредоносное ПО этого типа не было удалено, то в качестве альтернативного способа лечения специалисты Лаборатории Касперского рекомендуют проделать следующие действия:
откройте файл HOSTS с помощью любого текстового редактора, например Notepad. В зависимости от используемой вами операционной системы этот файл располагается:
для Windows-95/98/ME: в корневом каталоге диска, на котором установлена операционная система
для Windows NT/2000/XP/Vista: в папке Windows\System32\drivers\etc.
самостоятельно исправьте данный файл, удалив все строчки кроме: 127.0.0.1 localhost
установите антивирусное ПО, если оно не было установлено ранее
обновите антивирусные базы
запустите проверку на вирусы
Ограничивающие работу с обозревателем
В результате действий таких программ-вымогателей в браузере создается всплывающее окно без возможности закрытия, мешающее или полностью препятствующее работе в Интернете. Например:
http://www.vrn123.ru/wiki/_media/blog/ikondrashov/2010/01/ransom3.gif (http://www.vrn123.ru/wiki/_detail/blog/ikondrashov/2010/01/ransom3.gif?id=blog%3Aikondrashov%3A2010%3A01%3A07 _%D0%B1%D0%BE%D1%80%D1%8C%D0%B1%D0%B0_%D1%81_%D1%8 2%D1%80%D0%BE%D1%8F%D0%BD%D0%B0%D0%BC%D0%B8-%D0%B2%D1%8B%D0%BC%D0%BE%D0%B3%D0%B0%D1%82%D0%B5%D 0%BB%D1%8F%D0%BC%D0%B8)
Наиболее характерные представители этого подвида вымогателей – вредоносные программы семейств Trojan-Ransom.Win32.Hexzone и Trojan-Ransom.Win32.BHO.
Если по каким-либо причинам антивирусное ПО не было установлено или вредоносное ПО этого типа не было удалено, то в качестве альтернативного способа лечения специалисты Лаборатории Касперского рекомендуют проделать следующие действия:
в меню обозревателя Internet Explorer (http://en.wikipedia.org/wiki/Internet_explorer) откройте окно Управление надстройками из меню обозревателя «Сервис→ Надстройки→ Включение и отключение надстроек»
в окне Управление надстройками перечислены все установленные и активные надстройки, среди которых следует выявить вредоносную. Для этого обратите внимание на все надстройки, у которых в графе Издатель либо ничего не указано, либо есть строка (Не проверено) – их следует проверить в первую очередь.
в графе Файл проверьте расширения файлов таких подозрительных надстроек. Отключите подозрительные расширения, нажав кнопку Отключить.
перезапустите Internet Explorer и убедитесь, что всплывающее окно исчезло.
http://www.vrn123.ru/wiki/_media/blog/ikondrashov/2010/01/ransom4.gif (http://www.vrn123.ru/wiki/_detail/blog/ikondrashov/2010/01/ransom4.gif?id=blog%3Aikondrashov%3A2010%3A01%3A07 _%D0%B1%D0%BE%D1%80%D1%8C%D0%B1%D0%B0_%D1%81_%D1%8 2%D1%80%D0%BE%D1%8F%D0%BD%D0%B0%D0%BC%D0%B8-%D0%B2%D1%8B%D0%BC%D0%BE%D0%B3%D0%B0%D1%82%D0%B5%D 0%BB%D1%8F%D0%BC%D0%B8)
Если описанная процедура не помогла, то возможно, причина в другом расширении, и чтобы его выявить, последовательно отключите все расширения, проверяя результат.
Блокирующие доступ к Операционной системе
Этот вид вредоносной программы класса Trojan-Ransom основан на блокировке доступа пользователя к ресурсам операционной системы. В этом случае пользователь не может завершить работу вредоносной программы или запустить любую другую программу, в том числе Диспетчер задач. Запустив такую троянскую программу, пользователь увидит на экране сообщение с требованием выкупа. Клавиатура и мышка будут продолжать работать, но на экране появится окно, которое невозможно свернуть, с которого невозможно переключиться (например, с помощью сочетания клавиш «Alt-Tab»). Остается только окно, расположенное поверх остальных, в котором сформулированы условия получения пароля для восстановления работоспособности системы.
http://www.vrn123.ru/wiki/_media/blog/ikondrashov/2010/01/ransom5.gif (http://www.vrn123.ru/wiki/_detail/blog/ikondrashov/2010/01/ransom5.gif?id=blog%3Aikondrashov%3A2010%3A01%3A07 _%D0%B1%D0%BE%D1%80%D1%8C%D0%B1%D0%B0_%D1%81_%D1%8 2%D1%80%D0%BE%D1%8F%D0%BD%D0%B0%D0%BC%D0%B8-%D0%B2%D1%8B%D0%BC%D0%BE%D0%B3%D0%B0%D1%82%D0%B5%D 0%BB%D1%8F%D0%BC%D0%B8)
Способ лечения №1.
Для решения проблемы необходимо завершить вредоносный процесс, блокирующий экран. Если компьютер находится в сети, то можно подключиться к компьютеру с помощью средств удаленного администрирования. Приведем пример с использованием стандартного средства WMIC (Windows Management Instrumentation Command-line (http://en.wikipedia.org/wiki/Windows_Management_Instrumentation_Command-line)).
на удаленной машине запустите командную оболочку cmd.exe
выполните следующие команды:
wmic /NODE:<имя компьютера или сетевой адрес> (например «/NODE:192.168.10.128») /USER:<имя пользователя на зараженной машине> (например «/USER:Analyst»)
появится предложение ввести пароль пользователя на компьютере, заблокированном программой-вымогателем, который также надо ввести
далее выполните команду process
после этого будет выведен список запущенных процессов на удаленной машине
найдите в списке подозрительный процесс, который не относится к ОС и пользовательским приложениям, например, aers0997.exe
http://www.vrn123.ru/wiki/_media/blog/ikondrashov/2010/01/ransom6.gif (http://www.vrn123.ru/wiki/_detail/blog/ikondrashov/2010/01/ransom6.gif?id=blog%3Aikondrashov%3A2010%3A01%3A07 _%D0%B1%D0%BE%D1%80%D1%8C%D0%B1%D0%B0_%D1%81_%D1%8 2%D1%80%D0%BE%D1%8F%D0%BD%D0%B0%D0%BC%D0%B8-%D0%B2%D1%8B%D0%BC%D0%BE%D0%B3%D0%B0%D1%82%D0%B5%D 0%BB%D1%8F%D0%BC%D0%B8)
выполните следующую команду:
process where name=”<имя зловредного процесса>” delete (например, process where name=”aers0997.exe” delete)
после завершения вредоносного процесса, на зараженной машине исчезнет окно с требованием выкупа
установите антивирусное ПО и проведите проверку на вирусы.
Способ лечения №2.
Другим вариантом функционирования вредоносных программ семейств Blocker является блокирование работы не сразу после запуска вредоносного ПО, а после перезагрузки компьютера. Если способ лечения №1 не помог, можно воспользоваться встроенной возможностью восстановления ОС Windows. Рассмотрим последовательность шагов на примере ОС Windows 7 (http://www.amazon.com/gp/product/B002MV2MG0?ie=UTF8&tag=mash03-20&linkCode=as2&camp=1789&creative=9325&creativeASIN=B002MV2MG0) с использованием установочного DVD-диска. Инсталляционный диск понадобится Windows в процессе работы.
загрузите компьютер в Безопасном режиме
в меню на экране выберите пункт «Repair Your Computer».
в процессе запуска вам будет предложено выбрать раскладку клавиатуры и ввести пароль пользователя Windows
в появившемся далее диалоговом окне выберите пункт «System Restore» («Восстановление системы»)
мастер восстановления предложит вам откатить систему к одной из точек восстановления. Выберите последнюю точку восстановления и дождитесь окончания работы мастера
по завершении вам будет предложено перегрузиться, после чего скорее всего ограничения будут сняты.
Способ лечения №3.
Если предыдущий способ лечения не помог, можно воспользоваться методом ручного удаления вредоносной программы из безопасного режима.
http://www.vrn123.ru/wiki/lib/images/smileys/icon_exclaim.gifВнимание! Метод удаления вредоносного ПО вручную подходит только в том случае, если вы четко представляете последствия своих действий.
Для удаления вредоносной программы вручную проделайте следующие действия:
перезагрузите компьютер в Безопасном режиме
в меню выберите пункт «Safe mode with Command Prompt» (безопасный режим с запуском командной строки)
дождитесь загрузки системы в безопасном режиме
введите пароль для входа в систему (если это необходимо)
после ввода пароля появится окно командной строки. Из окна командной строки можно запускать любые утилиты и программы. В этом случае искать, где прописалась вредоносная программа придется самостоятельно, например, это можно сделать с помощью бесплатной утилиты Autoruns.
Способ лечения №4.
Если предыдущий способ лечения не помог или возможность загрузки Windows из безопасного режима отключена вредоносной программой, можно воспользоваться методом ручного удаления вредоносной программы с использованием загрузочного компакт-диска, так называемого LiveCD, например, ERD Commander. Вредоносные программы класса Trojan-Ransom обычно используют системный реестр Windows. Рассмотрим самый распространенный случай – изменение значения «Userinit» в ветке «HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon». При такой автозагрузке блокировка компьютера происходит сразу после ввода пароля при входе в систему.
Для разрешения возникшей ситуации проделайте следующие действия:
загрузите диск ERD Commander
зайдите в меню «Start»→«Administrative Tools»→«Registry Editor»
найдите ключ Userinit в ветке реестра «HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon»
восстановите значение на «C:\Windows\system32\userinit.exe,»
http://www.vrn123.ru/wiki/lib/images/smileys/icon_exclaim.gifВнимание! Будьте осторожны и внимательны при работе с системным реестром!
удалите вредоносный файл, который был прописан в «Userinit» (в случае, изображенном на рисунке, это файл: «C:\blocker.exe»)
http://www.vrn123.ru/wiki/_media/blog/ikondrashov/2010/01/ransom7.gif (http://www.vrn123.ru/wiki/_detail/blog/ikondrashov/2010/01/ransom7.gif?id=blog%3Aikondrashov%3A2010%3A01%3A07 _%D0%B1%D0%BE%D1%80%D1%8C%D0%B1%D0%B0_%D1%81_%D1%8 2%D1%80%D0%BE%D1%8F%D0%BD%D0%B0%D0%BC%D0%B8-%D0%B2%D1%8B%D0%BC%D0%BE%D0%B3%D0%B0%D1%82%D0%B5%D 0%BB%D1%8F%D0%BC%D0%B8)
загрузите компьютер в обычном режиме.
Ограничивающие действия пользователя
В операционных системах семейства Windows имеется гибкий механизм политик безопасности, позволяющий системным администраторам настраивать пользовательское окружение. Используя системный реестр, можно отключить пункты системного меню, Панель Задач, изменить вид папок и т.д. Вирусописатели используют функцию системы в своих целях, создав целое семейство вредоносных программ, ограничивающих действия пользователя в операционной системе. Изменение системных настроек, таких как запрет запуска редактирования реестра, запрет запуска Диспетчера задач и т.д., уже давно используется разнообразными вредоносными программами. К этому виду программ-вымогателей можно отнести семейства Trojan-Ransom.Win32.Krotten и Trojan-Ransom.Win32.Taras. Как правило, после запуска такой программы на компьютере можно запустить только Интернет-браузер, чтобы можно было заплатить выкуп.
Способ лечения №1.
Удаление профиля заблокированного пользователя.
перезагрузите компьютер в Безопасном режиме
войдите в систему под другим пользователем, например, пользователем «Администратор»
в случаях некоторых программ-вымогателей (например, Trojan-Ransom.Win32.Taras.e) вы увидите, что возможности этого пользователя ничем не ограничены, потому что действие троянской программы распространяется только на того пользователя, который запустил эту вредоносную программу
скопируйте содержимое рабочего стола заблокированного пользователя и другие нужные файлы, чтобы не потерять важную информацию, а затем удалите профиль заблокированного пользователя
создайте нового пользователя и войдите в систему под новым аккаунтом.
Способ лечения №2.
Некоторые вымогатели (например, Trojan-Ransom.Win32.Krotten.kq) изменяют системные настройки, оказывающие эффект на всех пользователей в системе. Например, вредоносная программа запускается при старте Windows и применяет настройки для каждого нового пользователя, кроме того, запрещая вход в безопасном режиме Windows. В этом случае может помочь лечение с использованием загрузочного диска LiveCD.
скачайте архив с утилитой AVZ
распакуйте архив с утилитой с помощью программы-архиватора, например, WinZip
скопируйте утилиту на flash-носитель
загрузитесь с LiveCD. Как правило, вредоносные программы данного вида оставляют возможность запуска на заблокированном компьютере только нескольких приложений: Internet Explorer (http://en.wikipedia.org/wiki/Internet_explorer), Outlook Express, чтобы пользователь мог отправить письмо злоумышленникам
скопируйте содержимое каталога с утилитой AVZ на рабочий стол пользователя заблокированного компьютера
переименуйте исполняемый файл утилиты с AVZ.exe на iexplore.exe (название исполняемого файла Internet Explorer)
перезагрузите компьютер
войдите в систему под заблокированным пользователем
запустите с рабочего стола утилиту AVZ под именем iexplore.exe. Утилита запустится, т.к. программе Internet Explorer запуск разрешен.
в окне утилиты выберите пункт меню «Файл»→«Восстановление системы»
отметьте все пункты, кроме пунктов «Полное пересоздание настроек SPI (опасно)» и «Очистить ключи MountPoints & MountPoints2»
нажмите кнопку Выполнить отмеченные операции
http://www.vrn123.ru/wiki/_media/blog/ikondrashov/2010/01/ransom9.gif (http://www.vrn123.ru/wiki/_detail/blog/ikondrashov/2010/01/ransom9.gif?id=blog%3Aikondrashov%3A2010%3A01%3A07 _%D0%B1%D0%BE%D1%80%D1%8C%D0%B1%D0%B0_%D1%81_%D1%8 2%D1%80%D0%BE%D1%8F%D0%BD%D0%B0%D0%BC%D0%B8-%D0%B2%D1%8B%D0%BC%D0%BE%D0%B3%D0%B0%D1%82%D0%B5%D 0%BB%D1%8F%D0%BC%D0%B8)
по завершении операции восстановления, перезагрузите компьютер. Все ограничения будут сняты.
Шифрующие файлы пользователя
Последний вид программ-вымогателей незаметно шифрует данные пользователя. Позже пользователь обнаруживает, что не может получить доступ к нужным файлам. Условия выкупа «данных-заложников» либо помещаются в текстовый файл в каждом каталоге с зашифрованными файлами (например, в случае Trojan-Ransom.Win32.GPCode), либо размещаются на обоях рабочего стола (например, так поступает Trojan-Ransom.Win32.Encore). http://www.vrn123.ru/wiki/_media/blog/ikondrashov/2010/01/ransom10.gif (http://www.vrn123.ru/wiki/_detail/blog/ikondrashov/2010/01/ransom10.gif?id=blog%3Aikondrashov%3A2010%3A01%3A0 7_%D0%B1%D0%BE%D1%80%D1%8C%D0%B1%D0%B0_%D1%81_%D1% 82%D1%80%D0%BE%D1%8F%D0%BD%D0%B0%D0%BC%D0%B8-%D0%B2%D1%8B%D0%BC%D0%BE%D0%B3%D0%B0%D1%82%D0%B5%D 0%BB%D1%8F%D0%BC%D0%B8)
Обычно программы-вымогатели этого вида шифруют файлы избирательно – с расширениями doc, xls, txt и т.д., то есть те, которые потенциально могут содержать важную для пользователя информацию. Наиболее известное семейство таких программ Trojan-Ransom.Win32.Gpcode.
Способ лечения. Так как алгоритмы шифрования данных варьируются от программы к программе, универсальных способов лечения привести нельзя. Для расшифровки файлов как минимум надо иметь экземпляр троянской программы, хотя и этого может быть недостаточно. В случае заражения программой-вымогателем подобного вида, обратитесь в Службу технической поддержки производителя вашего антивируса.
Сервисы деактивации вымогателей
Ведущие отечественные антивирусные компании, «Лаборатория Касперского» и «Доктор Веб» представляют бесплатные сервисы для борьбы с программами, блокирующими компьютер и предлагающими отправить платную СМС на определенный номер.
Адреса сервисов:
Касперский: http://support.kaspersky.ru/viruses/deblocker
Др.Веб: http://www.drweb.com/unlocker/index
Текст новости практически полностью взят с сайта support.kaspersky.ru и размещен на нашем ресурсе для ознакомления с приемами борьбы с СМС-вымогателями. Огромное спасибо специалистам лаборатории за систематизацию сведений и выкладывание их в свободный доступ.
Ведущий производитель антивирусных решений опубликовал систематизированную информацию по борьбе с СМС-вымогателями и предоставил всем желающим бесплатный сервис для борьбы с ними. Целью действий программ-вымогателей класса Trojan-Ransom является блокирование доступа пользователя к данным на компьютере или ограничение возможностей работы на компьютере и требование выкупа за возврат к исходному состоянию системы.
Рассмотрим виды вредоносных программ класса Trojan-Ransom в порядке сложности борьбы с ними вручную.
Виды СМС-вымогателей (Trojan-Ransom)
Ограничивающие доступ к веб-сайтам
Примером программ такого вида может быть вредоносная программа Trojan-Ransom.BAT.Agent.c , которая представляет собой BAT-файл размером 13 Кб. После запуска этого вредоносного ПО блокируется доступ пользователя ко многим веб-сайтам, в том числе, сайтам Лаборатории Касперского, поисковых средств Google (http://topics.nytimes.com/top/news/business/companies/google_inc/index.html), Яндекс, социальной сети «Одноклассники» и других (всего около 200 доменных имен). Введя адрес веб-сайта вместо ожидаемой начальной страницы, пользователь видит окно с требованием выкупа.
http://www.vrn123.ru/wiki/_media/blog/ikondrashov/2010/01/ransom1.gif (http://www.vrn123.ru/wiki/_detail/blog/ikondrashov/2010/01/ransom1.gif?id=blog%3Aikondrashov%3A2010%3A01%3A07 _%D0%B1%D0%BE%D1%80%D1%8C%D0%B1%D0%B0_%D1%81_%D1%8 2%D1%80%D0%BE%D1%8F%D0%BD%D0%B0%D0%BC%D0%B8-%D0%B2%D1%8B%D0%BC%D0%BE%D0%B3%D0%B0%D1%82%D0%B5%D 0%BB%D1%8F%D0%BC%D0%B8)
Для блокирования доступа к сайтам, троянская программа изменяет файл HOSTS:
http://www.vrn123.ru/wiki/_media/blog/ikondrashov/2010/01/ransom2.gif (http://www.vrn123.ru/wiki/_detail/blog/ikondrashov/2010/01/ransom2.gif?id=blog%3Aikondrashov%3A2010%3A01%3A07 _%D0%B1%D0%BE%D1%80%D1%8C%D0%B1%D0%B0_%D1%81_%D1%8 2%D1%80%D0%BE%D1%8F%D0%BD%D0%B0%D0%BC%D0%B8-%D0%B2%D1%8B%D0%BC%D0%BE%D0%B3%D0%B0%D1%82%D0%B5%D 0%BB%D1%8F%D0%BC%D0%B8)
В данном случае вымогательства, стоимость отправки SMS, как правило, указывается явно и составляет небольшую сумму, чтобы мотивировать пользователя заплатить. В ответ авторы обещают прислать код для разблокировки.
Если по каким-либо причинам антивирусное ПО не было установлено или вредоносное ПО этого типа не было удалено, то в качестве альтернативного способа лечения специалисты Лаборатории Касперского рекомендуют проделать следующие действия:
откройте файл HOSTS с помощью любого текстового редактора, например Notepad. В зависимости от используемой вами операционной системы этот файл располагается:
для Windows-95/98/ME: в корневом каталоге диска, на котором установлена операционная система
для Windows NT/2000/XP/Vista: в папке Windows\System32\drivers\etc.
самостоятельно исправьте данный файл, удалив все строчки кроме: 127.0.0.1 localhost
установите антивирусное ПО, если оно не было установлено ранее
обновите антивирусные базы
запустите проверку на вирусы
Ограничивающие работу с обозревателем
В результате действий таких программ-вымогателей в браузере создается всплывающее окно без возможности закрытия, мешающее или полностью препятствующее работе в Интернете. Например:
http://www.vrn123.ru/wiki/_media/blog/ikondrashov/2010/01/ransom3.gif (http://www.vrn123.ru/wiki/_detail/blog/ikondrashov/2010/01/ransom3.gif?id=blog%3Aikondrashov%3A2010%3A01%3A07 _%D0%B1%D0%BE%D1%80%D1%8C%D0%B1%D0%B0_%D1%81_%D1%8 2%D1%80%D0%BE%D1%8F%D0%BD%D0%B0%D0%BC%D0%B8-%D0%B2%D1%8B%D0%BC%D0%BE%D0%B3%D0%B0%D1%82%D0%B5%D 0%BB%D1%8F%D0%BC%D0%B8)
Наиболее характерные представители этого подвида вымогателей – вредоносные программы семейств Trojan-Ransom.Win32.Hexzone и Trojan-Ransom.Win32.BHO.
Если по каким-либо причинам антивирусное ПО не было установлено или вредоносное ПО этого типа не было удалено, то в качестве альтернативного способа лечения специалисты Лаборатории Касперского рекомендуют проделать следующие действия:
в меню обозревателя Internet Explorer (http://en.wikipedia.org/wiki/Internet_explorer) откройте окно Управление надстройками из меню обозревателя «Сервис→ Надстройки→ Включение и отключение надстроек»
в окне Управление надстройками перечислены все установленные и активные надстройки, среди которых следует выявить вредоносную. Для этого обратите внимание на все надстройки, у которых в графе Издатель либо ничего не указано, либо есть строка (Не проверено) – их следует проверить в первую очередь.
в графе Файл проверьте расширения файлов таких подозрительных надстроек. Отключите подозрительные расширения, нажав кнопку Отключить.
перезапустите Internet Explorer и убедитесь, что всплывающее окно исчезло.
http://www.vrn123.ru/wiki/_media/blog/ikondrashov/2010/01/ransom4.gif (http://www.vrn123.ru/wiki/_detail/blog/ikondrashov/2010/01/ransom4.gif?id=blog%3Aikondrashov%3A2010%3A01%3A07 _%D0%B1%D0%BE%D1%80%D1%8C%D0%B1%D0%B0_%D1%81_%D1%8 2%D1%80%D0%BE%D1%8F%D0%BD%D0%B0%D0%BC%D0%B8-%D0%B2%D1%8B%D0%BC%D0%BE%D0%B3%D0%B0%D1%82%D0%B5%D 0%BB%D1%8F%D0%BC%D0%B8)
Если описанная процедура не помогла, то возможно, причина в другом расширении, и чтобы его выявить, последовательно отключите все расширения, проверяя результат.
Блокирующие доступ к Операционной системе
Этот вид вредоносной программы класса Trojan-Ransom основан на блокировке доступа пользователя к ресурсам операционной системы. В этом случае пользователь не может завершить работу вредоносной программы или запустить любую другую программу, в том числе Диспетчер задач. Запустив такую троянскую программу, пользователь увидит на экране сообщение с требованием выкупа. Клавиатура и мышка будут продолжать работать, но на экране появится окно, которое невозможно свернуть, с которого невозможно переключиться (например, с помощью сочетания клавиш «Alt-Tab»). Остается только окно, расположенное поверх остальных, в котором сформулированы условия получения пароля для восстановления работоспособности системы.
http://www.vrn123.ru/wiki/_media/blog/ikondrashov/2010/01/ransom5.gif (http://www.vrn123.ru/wiki/_detail/blog/ikondrashov/2010/01/ransom5.gif?id=blog%3Aikondrashov%3A2010%3A01%3A07 _%D0%B1%D0%BE%D1%80%D1%8C%D0%B1%D0%B0_%D1%81_%D1%8 2%D1%80%D0%BE%D1%8F%D0%BD%D0%B0%D0%BC%D0%B8-%D0%B2%D1%8B%D0%BC%D0%BE%D0%B3%D0%B0%D1%82%D0%B5%D 0%BB%D1%8F%D0%BC%D0%B8)
Способ лечения №1.
Для решения проблемы необходимо завершить вредоносный процесс, блокирующий экран. Если компьютер находится в сети, то можно подключиться к компьютеру с помощью средств удаленного администрирования. Приведем пример с использованием стандартного средства WMIC (Windows Management Instrumentation Command-line (http://en.wikipedia.org/wiki/Windows_Management_Instrumentation_Command-line)).
на удаленной машине запустите командную оболочку cmd.exe
выполните следующие команды:
wmic /NODE:<имя компьютера или сетевой адрес> (например «/NODE:192.168.10.128») /USER:<имя пользователя на зараженной машине> (например «/USER:Analyst»)
появится предложение ввести пароль пользователя на компьютере, заблокированном программой-вымогателем, который также надо ввести
далее выполните команду process
после этого будет выведен список запущенных процессов на удаленной машине
найдите в списке подозрительный процесс, который не относится к ОС и пользовательским приложениям, например, aers0997.exe
http://www.vrn123.ru/wiki/_media/blog/ikondrashov/2010/01/ransom6.gif (http://www.vrn123.ru/wiki/_detail/blog/ikondrashov/2010/01/ransom6.gif?id=blog%3Aikondrashov%3A2010%3A01%3A07 _%D0%B1%D0%BE%D1%80%D1%8C%D0%B1%D0%B0_%D1%81_%D1%8 2%D1%80%D0%BE%D1%8F%D0%BD%D0%B0%D0%BC%D0%B8-%D0%B2%D1%8B%D0%BC%D0%BE%D0%B3%D0%B0%D1%82%D0%B5%D 0%BB%D1%8F%D0%BC%D0%B8)
выполните следующую команду:
process where name=”<имя зловредного процесса>” delete (например, process where name=”aers0997.exe” delete)
после завершения вредоносного процесса, на зараженной машине исчезнет окно с требованием выкупа
установите антивирусное ПО и проведите проверку на вирусы.
Способ лечения №2.
Другим вариантом функционирования вредоносных программ семейств Blocker является блокирование работы не сразу после запуска вредоносного ПО, а после перезагрузки компьютера. Если способ лечения №1 не помог, можно воспользоваться встроенной возможностью восстановления ОС Windows. Рассмотрим последовательность шагов на примере ОС Windows 7 (http://www.amazon.com/gp/product/B002MV2MG0?ie=UTF8&tag=mash03-20&linkCode=as2&camp=1789&creative=9325&creativeASIN=B002MV2MG0) с использованием установочного DVD-диска. Инсталляционный диск понадобится Windows в процессе работы.
загрузите компьютер в Безопасном режиме
в меню на экране выберите пункт «Repair Your Computer».
в процессе запуска вам будет предложено выбрать раскладку клавиатуры и ввести пароль пользователя Windows
в появившемся далее диалоговом окне выберите пункт «System Restore» («Восстановление системы»)
мастер восстановления предложит вам откатить систему к одной из точек восстановления. Выберите последнюю точку восстановления и дождитесь окончания работы мастера
по завершении вам будет предложено перегрузиться, после чего скорее всего ограничения будут сняты.
Способ лечения №3.
Если предыдущий способ лечения не помог, можно воспользоваться методом ручного удаления вредоносной программы из безопасного режима.
http://www.vrn123.ru/wiki/lib/images/smileys/icon_exclaim.gifВнимание! Метод удаления вредоносного ПО вручную подходит только в том случае, если вы четко представляете последствия своих действий.
Для удаления вредоносной программы вручную проделайте следующие действия:
перезагрузите компьютер в Безопасном режиме
в меню выберите пункт «Safe mode with Command Prompt» (безопасный режим с запуском командной строки)
дождитесь загрузки системы в безопасном режиме
введите пароль для входа в систему (если это необходимо)
после ввода пароля появится окно командной строки. Из окна командной строки можно запускать любые утилиты и программы. В этом случае искать, где прописалась вредоносная программа придется самостоятельно, например, это можно сделать с помощью бесплатной утилиты Autoruns.
Способ лечения №4.
Если предыдущий способ лечения не помог или возможность загрузки Windows из безопасного режима отключена вредоносной программой, можно воспользоваться методом ручного удаления вредоносной программы с использованием загрузочного компакт-диска, так называемого LiveCD, например, ERD Commander. Вредоносные программы класса Trojan-Ransom обычно используют системный реестр Windows. Рассмотрим самый распространенный случай – изменение значения «Userinit» в ветке «HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon». При такой автозагрузке блокировка компьютера происходит сразу после ввода пароля при входе в систему.
Для разрешения возникшей ситуации проделайте следующие действия:
загрузите диск ERD Commander
зайдите в меню «Start»→«Administrative Tools»→«Registry Editor»
найдите ключ Userinit в ветке реестра «HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon»
восстановите значение на «C:\Windows\system32\userinit.exe,»
http://www.vrn123.ru/wiki/lib/images/smileys/icon_exclaim.gifВнимание! Будьте осторожны и внимательны при работе с системным реестром!
удалите вредоносный файл, который был прописан в «Userinit» (в случае, изображенном на рисунке, это файл: «C:\blocker.exe»)
http://www.vrn123.ru/wiki/_media/blog/ikondrashov/2010/01/ransom7.gif (http://www.vrn123.ru/wiki/_detail/blog/ikondrashov/2010/01/ransom7.gif?id=blog%3Aikondrashov%3A2010%3A01%3A07 _%D0%B1%D0%BE%D1%80%D1%8C%D0%B1%D0%B0_%D1%81_%D1%8 2%D1%80%D0%BE%D1%8F%D0%BD%D0%B0%D0%BC%D0%B8-%D0%B2%D1%8B%D0%BC%D0%BE%D0%B3%D0%B0%D1%82%D0%B5%D 0%BB%D1%8F%D0%BC%D0%B8)
загрузите компьютер в обычном режиме.
Ограничивающие действия пользователя
В операционных системах семейства Windows имеется гибкий механизм политик безопасности, позволяющий системным администраторам настраивать пользовательское окружение. Используя системный реестр, можно отключить пункты системного меню, Панель Задач, изменить вид папок и т.д. Вирусописатели используют функцию системы в своих целях, создав целое семейство вредоносных программ, ограничивающих действия пользователя в операционной системе. Изменение системных настроек, таких как запрет запуска редактирования реестра, запрет запуска Диспетчера задач и т.д., уже давно используется разнообразными вредоносными программами. К этому виду программ-вымогателей можно отнести семейства Trojan-Ransom.Win32.Krotten и Trojan-Ransom.Win32.Taras. Как правило, после запуска такой программы на компьютере можно запустить только Интернет-браузер, чтобы можно было заплатить выкуп.
Способ лечения №1.
Удаление профиля заблокированного пользователя.
перезагрузите компьютер в Безопасном режиме
войдите в систему под другим пользователем, например, пользователем «Администратор»
в случаях некоторых программ-вымогателей (например, Trojan-Ransom.Win32.Taras.e) вы увидите, что возможности этого пользователя ничем не ограничены, потому что действие троянской программы распространяется только на того пользователя, который запустил эту вредоносную программу
скопируйте содержимое рабочего стола заблокированного пользователя и другие нужные файлы, чтобы не потерять важную информацию, а затем удалите профиль заблокированного пользователя
создайте нового пользователя и войдите в систему под новым аккаунтом.
Способ лечения №2.
Некоторые вымогатели (например, Trojan-Ransom.Win32.Krotten.kq) изменяют системные настройки, оказывающие эффект на всех пользователей в системе. Например, вредоносная программа запускается при старте Windows и применяет настройки для каждого нового пользователя, кроме того, запрещая вход в безопасном режиме Windows. В этом случае может помочь лечение с использованием загрузочного диска LiveCD.
скачайте архив с утилитой AVZ
распакуйте архив с утилитой с помощью программы-архиватора, например, WinZip
скопируйте утилиту на flash-носитель
загрузитесь с LiveCD. Как правило, вредоносные программы данного вида оставляют возможность запуска на заблокированном компьютере только нескольких приложений: Internet Explorer (http://en.wikipedia.org/wiki/Internet_explorer), Outlook Express, чтобы пользователь мог отправить письмо злоумышленникам
скопируйте содержимое каталога с утилитой AVZ на рабочий стол пользователя заблокированного компьютера
переименуйте исполняемый файл утилиты с AVZ.exe на iexplore.exe (название исполняемого файла Internet Explorer)
перезагрузите компьютер
войдите в систему под заблокированным пользователем
запустите с рабочего стола утилиту AVZ под именем iexplore.exe. Утилита запустится, т.к. программе Internet Explorer запуск разрешен.
в окне утилиты выберите пункт меню «Файл»→«Восстановление системы»
отметьте все пункты, кроме пунктов «Полное пересоздание настроек SPI (опасно)» и «Очистить ключи MountPoints & MountPoints2»
нажмите кнопку Выполнить отмеченные операции
http://www.vrn123.ru/wiki/_media/blog/ikondrashov/2010/01/ransom9.gif (http://www.vrn123.ru/wiki/_detail/blog/ikondrashov/2010/01/ransom9.gif?id=blog%3Aikondrashov%3A2010%3A01%3A07 _%D0%B1%D0%BE%D1%80%D1%8C%D0%B1%D0%B0_%D1%81_%D1%8 2%D1%80%D0%BE%D1%8F%D0%BD%D0%B0%D0%BC%D0%B8-%D0%B2%D1%8B%D0%BC%D0%BE%D0%B3%D0%B0%D1%82%D0%B5%D 0%BB%D1%8F%D0%BC%D0%B8)
по завершении операции восстановления, перезагрузите компьютер. Все ограничения будут сняты.
Шифрующие файлы пользователя
Последний вид программ-вымогателей незаметно шифрует данные пользователя. Позже пользователь обнаруживает, что не может получить доступ к нужным файлам. Условия выкупа «данных-заложников» либо помещаются в текстовый файл в каждом каталоге с зашифрованными файлами (например, в случае Trojan-Ransom.Win32.GPCode), либо размещаются на обоях рабочего стола (например, так поступает Trojan-Ransom.Win32.Encore). http://www.vrn123.ru/wiki/_media/blog/ikondrashov/2010/01/ransom10.gif (http://www.vrn123.ru/wiki/_detail/blog/ikondrashov/2010/01/ransom10.gif?id=blog%3Aikondrashov%3A2010%3A01%3A0 7_%D0%B1%D0%BE%D1%80%D1%8C%D0%B1%D0%B0_%D1%81_%D1% 82%D1%80%D0%BE%D1%8F%D0%BD%D0%B0%D0%BC%D0%B8-%D0%B2%D1%8B%D0%BC%D0%BE%D0%B3%D0%B0%D1%82%D0%B5%D 0%BB%D1%8F%D0%BC%D0%B8)
Обычно программы-вымогатели этого вида шифруют файлы избирательно – с расширениями doc, xls, txt и т.д., то есть те, которые потенциально могут содержать важную для пользователя информацию. Наиболее известное семейство таких программ Trojan-Ransom.Win32.Gpcode.
Способ лечения. Так как алгоритмы шифрования данных варьируются от программы к программе, универсальных способов лечения привести нельзя. Для расшифровки файлов как минимум надо иметь экземпляр троянской программы, хотя и этого может быть недостаточно. В случае заражения программой-вымогателем подобного вида, обратитесь в Службу технической поддержки производителя вашего антивируса.
Сервисы деактивации вымогателей
Ведущие отечественные антивирусные компании, «Лаборатория Касперского» и «Доктор Веб» представляют бесплатные сервисы для борьбы с программами, блокирующими компьютер и предлагающими отправить платную СМС на определенный номер.
Адреса сервисов:
Касперский: http://support.kaspersky.ru/viruses/deblocker
Др.Веб: http://www.drweb.com/unlocker/index
Текст новости практически полностью взят с сайта support.kaspersky.ru и размещен на нашем ресурсе для ознакомления с приемами борьбы с СМС-вымогателями. Огромное спасибо специалистам лаборатории за систематизацию сведений и выкладывание их в свободный доступ.