Борьба с программами-вымогателями

В последнее время многократно участились случаи обращения ко мне людей с одной и той же проблемой:  в результате тех или иных действий их компьютер становился жертвой троянов-вымогателей, полностью либо частично блокирующих доступ к компьютеру или браузеру и требующих отправить SMS на короткий номер, чтобы получить код разблокировки и тем самым от него избавиться. За 3 дня 5 обращений! Посмотрев на методы, которыми люди боролись с данной напастью, решил изложить более гуманные (чем переустановка Windows) способы борьбы с ней.

Заражения происходили разными способами. В большинстве случаев пациент говорил «оно само», очевидно полагая, что я тут же в это поверю, но находились и смелые люди, объяснявшие ничего не стесняясь, как это произошло и на какого рода сайтах эта зараза была подцеплена. Большинство заражений происходили после перехода по заманчивой ссылке в интернете. Например «Посмотри как развлекаются звезды шоу-бизнеса!» или еще чего покруче. Далее либо сразу следовало заражение через дырявый браузер, либо предложение скачать и установить «дополнение к flash player«, якобы позволяющее посмотреть это самое видео. Некоторым людям ссылка пришла в Mail.ru-агенте, от проверенных друзей. Некоторые и сами не понимают, откуда подцепили…

Итак, вы стали жертвой программы-вымогателя, которая мешает работать и требует отправить SMS с кодом на короткий номер, чтобы получить код разблокировки и тем самым избавить вас от себя. Текст, который показывает такая программа может быть абсолютно разным. Я видел варианты и про какую-то программу-downloader, у которой якобы кончилась лицензия, и про подписку на эротическое видео (при этом кроме текста демонстрировались соответствующие картинки), так же были вариации на тему активации Windows, а то и просто одни знаки вопроса вместо русских букв. В общем, фантазия дерьмописателей таких дерьмопрограмм достаточно богата. (а вот с русским языком у них проблема, сразу видно — неграмотная школота).

Что делать? Прежде всего — не паниковать. Ни в коем случае не вздумайте отправлять SMS на указанный номер !!! Мало того, что вы потеряете деньги, так еще и простимулируете злоумышленника продолжать свою деятельность! Пусть этот гад несет убытки (короткий SMS-номер денег стоит, да и написание и раскрутка этого дерьма занимает время)! Никаких СМС. Как бы там в программе вам не угрожали. Мы не идем на переговоры с террористами!

Дальнейшие действия зависят от того, как именно вас поимели. Вариантов несколько:

1. Потерян контроль только над браузером. Это когда компьютер работает нормально, но при открытии браузера появляется либо баннер, либо страничка требующая отправить SMS. (пока не важно какой браузер, Internet Explorer, Mozilla FireFox и Opera одинаково подвержены заражению, правда Internet Explorer заразить гораздо проще)

2. Частично потерян контроль над компьютером. В этом случае посреди экрана висит большое окно требующее от вас отправить SMS. Оно не закрывается никакими комбинациями клавиш, но при этом можно открыть меню «Пуск» и запустить какую-либо программу. Кроме того, окно не занимает всю площадь экрана.

3. Контроль над компьютером потерян полностью. Тут уже полный трындец: компьютер загружается, но весь экран закрыть окном требующим денег и больше ни на что компьютер не реагирует. Никакие комбинации (включая Ctrl+Alt+Del) не помогают.

Если потерян контроль над браузером

Итак, компьютер работает нормально, но открывая Internet Explorer, Mozilla FireFox или Opera видим нехорошую бяку. Что делать?

1. Попробуйте восстановить систему до состояния предшествующего заражению. Способ актуален для всех Windows начиная с Windows XP. Для этого заходим «Пуск»-> «Все программы»->»Стандартные»->»Служебные»->»Восстановление системы». В Windows разных версий восстановление системы выглядит по разному, поэтому буду описывать применительно к Windows XP. Если спросят какую задачу мы хотим выполнить, выбираем «Восстановление более раннего состояния компьютера». Далее, в календарике слева выбираем точку восстановления ранее момента заражения, т.е. например, если заражение произошло сегодня, лучше выбрать точку восстановления ближайшую к текущей дате, например вчера. Дни, для которых есть точки восстановления в Windows XP отмечаются на календаре жирным шрифтом. В Windows 7 точки восстановления показаны списком, где в первой колонке стоит дата и время создания точки. Итак, выбираем точку ранее момента заражения, жмем «Далее», компьютер перезагрузится и начнет процедуру восстановления. В 80% случаев этот способ мне помог быстро и безболезненно привести компьютер в чувства.

2. Если восстановление системы не помогло, или нет точек восстановления, или просто не охота им пользоваться, тогда будем копать глубже. Для каждого браузера индивидуально.

Для Internet ExplorerЗапускаем Internet Explorer, заходим в меню «Сервис» и выбираем либо «Управление надстройками» либо «Надстройки» (зависит от версии IE). В открывшемся окне проходимся по всем надстройкам, имеющим состояние «Включено» и выключаем их (либо переключателем внизу окна, либо кнопкой «Отключить», зависит от версии IE). После этого закрываем Internet Explorer и запускаем его еще раз — все должно быть нормально

Для Mozilla FireFox — Открываем меню Tools (Инструменты) — Addons (Дополнения). Проверяем все закладки: Extensions (Расширения), Themes (Темы), Plugins (Надстройки). Отключаем все подозрительное.

Для Opera — Заходим в настройки: Tools (Инструмены) — Preferences (Настройки). На последней закладке Advanced (Дополнительно) выбираем 4-й пункт Content (Содержимое) и нажимаем справа кнопку «JavaScript Options…» («Настроить JavaScript «). Удаляем содержимое текстового поля «User JavaScript files» («Папка пользовательских файлов JavaScript«)

Если частично потерян контроль над компьютером

Итак, висит гадкое окошко, но компьютер реагирует на команды и позволяет запускать программы. Это хорошо. Даже если окно трояна нам мешает, окно другой программы можно подвигать под ним так, чтобы увидеть или выбрать что-нибудь. Это радует. Итак:

1. Попробуйте восстановить систему до состояния предшествующего заражению. Как это сделать описано в предыдущем разделе в пункте 1. Придется поерзать окошком восстановления системы под окошком трояна так, чтобы все увидеть и выбрать. Но это не сложно. В 80% случаев на компьютерах клиентов восстановление мне помогло.

2. Если не удалось запустить восстановление системы или его окно закрывается окном трояна так, что ничего там сделать нельзя — попробуйте загрузить Windows в безопасном режиме. Если в безопасном режиме окна вымогателя не будет — запускайте восстановление и вперед.

3. Если восстановление системы не удалось, или этот способ вам не подходит — попробуйте вычислить код, который заставит троянца закрыться. Сделать это можно на сайте Сервис деактивации вымогателей-блокеров Лаборатории Касперского или на аналогичной странице сайта антивируса DrWeb.

Если вы плохо разбираетесь в компьютерах и на данном этапе у вас ничего не вышло — рекомендую обратиться за помощью к профессионалам, т.к. перечисленные дальше способы могут вызвать у вас затруднения.

4. Способы 1-3 не прокатили ? Пора пускать в ход тяжелую артиллерию. Качаем с сайта Sysinternals программу Process Explorer. Запускаем ее и видим список процессов, которые запущены в системе. Ищем подозрительные процессы и удаляем их, предварительно запоминая пути к запущенным файлам. Если после удаления процесса окно дерьмопрограммы исчезло — значит идем по запомненному пути и убиваем эту сволочь. А заодно поищем ее в реестре и удалим ссылки на нее и оттуда.

Ничего не помогает? Почитайте статью Лаборатории Касперского Способы борьбы с программами-вымогателями класса Trojan-Ransom. Там достаточно хорошо изложены методы борьбы.

Если контроль над компьютером потерян полностью

Этот вариант значительно хуже, т.к. требует определенного багажа знаний для борьбы. Если вы не обладаете такими знаниями — рекомендую обратиться к профессионалам. Людям с опытом посоветую следующее:

1. Загрузить систему в безопасном режиме с поддержкой командной строки и вычислить процесс, блокирующий работу системы. Например утилитой Марка Руссиновича Process Explorer.

2. Загрузить систему в безопасном режиме с поддержкой командной строки и пройтись по списку автозапуска с помощью утилиты Марка Руссиновича Autoruns удалив все подозрительное.

3. Можно восстановить вручную реестр из системной контрольной точки восстановления. Для этого понадобится любой Windows Live CD, например BartPE. Грузимся с Live CD, заходим в C:\System Volume Information и ищем там последнюю или предпоследнюю точку восстановления (папка типа RPxxx где xxx — номер точки восстановления) ищем там копии ключей реестра и заменяем ими рабочие ключи в папке C:\Windows\System32\config. Если надо объяснить подробнее, как это делается — пишите в комментариях, допишу подробности.

4. Почитайте статью Лаборатории Касперского Способы борьбы с программами-вымогателями класса Trojan-Ransom.

Заключение

Иногда, помогает способ «ничего не делать». Попадались мне такие программы, которые сами исчезали спустя несколько часов. Видимо, дерьмоавторы этих дерьмопрограмм таким образом страхуются от уголовного кодекса…

К сожалению, последний ублюдок на земле умрет не в нашей жизни, поэтому надо быть готовым ко всему. Однако, как говорят врачи, проще предупредить болезнь, чем лечить ее. А посему, дам несколько советов, как не попасть в положение, когда эта статья — последнее средство:

1. Не кликайте по сомнительным ссылкам! Трижды подумайте, а надо ли вам знать, как отрываются звезды у себя на даче? Броские заголовки потому и броские, чтобы завлекать наивных простачков!

2. Не пользуйтесь Internet Explorer-ом. Скачайте Opera или Mozilla FireFox. Эти браузеры гораздо менее дырявы, чем детище Microsoft

3. Регулярно обновляйте Windows. Очень много гадости проникает не только через браузеры, но и через дыры самой Windows.

4. Пользуйтесь хорошим антивирусом! Не жалейте денег! Не думайте, что бесплатный антивирус даст вам 100% защиту. Ее не даст даже платный. Но если сравнивать — платные решения всегда лучше бесплатных. Из платных рекомендую русские разработки, например Антивирус Касперского или DrWeb, т.к. они более заточены под вирусы, обитающие на территории нашего государства. Из иностранческих решений рекомендую решение компании ESET: ESET Nod32. Еще больше можно защитить компьютер если использовать не просто антивирусы, а их более продвинутые версии, совмещенные с файерволлом. Стоят они немножко дороже, но в добавок к антивирусной защите дают так же защиту от проникновения на ваш компьютер хакеров, зловредных программ из интернета, из почты, в общем, являются средством тотальной защиты. У Касперского такой пакет называется Kaspersky Internet Security, у Доктора Веба Dr.Web Security Space, у нода ESET NOD32 Smart Security.

5. Регулярно обновляйте антивирус. Почему-то об этом люди тоже не думают. Сидят с базами двухлетней давности, и думают что защищены…

В общем, будьте бдительны! Вы — на войне! Интернет не только великое благо, но и притон мошенников. Стоит зазеваться — и вы уже на крючке.

За сим прощаюсь. Благодарности, как обычно, принимаются здесь.

Спасибо freeman_net за помощь в подготовке статьи.

PS: Если Вы хотите приобрести антивирус, но не знаете какой лучше, определиться с выбором может помочь обучающий видеокурс  «Защита компьютера от вирусов».

PPS: Вопросы и предложения приветствуются. Спрашивайте, помогу чем могу.

Поделиться с друзьями:
  • Добавить ВКонтакте заметку об этой странице
  • Одноклассники
  • Facebook
  • В закладки Google
  • Мой Мир
  • Twitter
  • LiveJournal
  • Яндекс.Закладки
  • LinkedIn
  • Reddit
  • StumbleUpon
  • БобрДобр
  • Memori.ru
  • МоёМесто.ru

Комментарии

  1. Доп к
    Если частично потерян контроль над компьютером..
    Столкнувшись с таким можно сделать еще и так:
    Вот висит у Вас окошко-баннер посреди рабочего стола и..
    нажимаем Log Off .. НО.. тут как раз момент.
    Мы только делаем вид, что собрались менять пользователя. ))
    В момент когда компьютер потемнеет своим рабочим столом и выведет вам само окно для подтверждающего клика, Вы увидите что гадкое окошко закрылось.
    И вот тут смело можете отменить выход пользователя, и окошко больше не появится, до следующей перезагрузки.
    Вот тут как раз и стоит пробежаться Касперским и т.п. антивирусами, во всяком случае у меня он тут же увидел и «вовремя победил» злой баннер. Процесс Эксплорер (Systernals PE) это лушая замена для встроенного диспетчера.
    Если приноровиться и вытащить окошко эксплорера из-за баннера, то можно увидеть какой процесс был завершен при его закрытии.
    И еще момент: когда Вы взялись убирать это окно, обязательно пройдитесь по программам в автозагрузке и повыключайте ВСЁ что не является необходимым для работы системы. Тогда можно после перезагрузки, быстро запустив Process Expl. попробовать выловить процесс который активирует это окошко баннера.

    И спасибо автору за его труд. ))

  2. Спасибо за комментарий.
    Кстати. Буквально вчера боролся с очень хитрым зловредом. Небольшой по размерам баннер, весь десктоп не закрывал. НО: Ни одно из простых средств не прокатило. Зловред оказался настолько продвинутым, что я просто испытал нечто вроде оргазма, наблюдая как он отражает все мои атаки.
    Он прибил насмерть свежего NOD32, он позволял открывать окна проводника, запускать незначительные программки и даже msconfig. Но стоило только открыть что-либо, могущее повлиять на его работу, как он тут же пресекал попытку закрывая то, что запущено. Не открывалась командная строка, диспетчер задач, редактор реестра. Утилиты из состава SysInternals рубились накорню. Так же рубились и консоль «Локальная политика безопасности» (хотя другие консоли mmc работали), и всяческие утилитки из разряда менеджеров автозапуска, и CureIt доктора веба и все-все-все, хоть как-то могущее его свергнуть.
    В безопасном режиме — та же картина. В безопасном режиме с поддержкой командной строки — черный экран, консоль убивалась еще не успев прорисоваться…
    В общем, я очень порадовался, что попался наконец достойный противник, а не поделка очередного ребенка-дауна.

    Снял жесткий диск, подключил к другому компу. Прогнал его через DrWeb CureIt: 60 инфицированных объектов, около 10 разновидностей троянов и пара блокеров. Удалил все, запускаю — хрен там! Ничего не изменилось.
    Снова подключаю жесткий к другому компу и прогоняю касперычем. 8 инфицированных объектов, 3 разновидности. Убиваю, ставлю жесткий назад — вуаля. Зловред побежден. Чудо. Итог: доктор веб — унылое говно, как сейчас модно говорить.

    Так вот. А байка моя к тому, что зловред крепчает. Если б это была разновидность еще не известная касперу, пришлось бы либо убить уйму времени либо переустановить windows. Так что война похоже продолжается, противник становится умнее. Будте бдительны!

    1. Кстати, пробовал я и разлогиниваться, и другого пользователя даже создавал. Зловреду было наплевать… Похоже эта зараза как драйвер куда-то прописалась …

    2. Еще кстати: под Барт ПЕ доктор веб проверял винт 80 гигабайт около 12 часов. Касперу на это понадобилось всего около 1,5 часа …
      Это не реклама антивиря касперского, это просто статистика.

    3. Оргазм это конечно хорошо, но не стоит, я думаю, так восторженно писать о говнопрограмме, мешающей жить и развиваться человечеству. Этим вы можете подстегнуть подлеца на новые подвиги.

      1. Я уважаю достойного противника. Это да. Подлец пусть новые подвиги совершает — это не страшно, пока есть такие подлецы я не останусь без работы. Главное пусть помнит об уголовном кодексе, это для него очень актуально 🙂

  3. Здравствуйте! Помогите избавиться от банера, просит пополнить счет абонента БИЛАЙН: 89654025615 на сумму 400 рублей. Все блокировал. Ни доктор Веб, ни Касперский не помогли — просто беда. Помогите полалуйста.

    1. А что значит «Ни доктор Веб, ни Касперский не помогли» ? Не помогла проверка этими антивирями или сервисы разблокировки не помогли?
      Если сервисы не помогли — придется бороться с зловредом вручную. С помошью LiveCD, либо подключив жесткий диск к другому компу и прогонка его антивирусом…
      Очень трудно вылечить комп на расстоянии, я ж не телепат угадать, что там у Вас происходит на самом деле…

Добавить комментарий для StarXXX Отменить ответ

Ваш адрес email не будет опубликован. Обязательные поля помечены *