- Програми вимагачі, що обмежують доступ до сайтів
- Шкідливі програми, що обмежують роботу з браузером
- Програми вимагачі, що блокують доступ до служб і функцій операційної системи
- Шкідливі програми, що обмежують дії користувача в операційній системі
- Програми вимагачі, шифрувальні файли на користувальницької машині
Програми вимагачі, що це таке, яким є їхній механізм і якими засобами можна з ними боротися? Ці питання хвилюють російський Інтернет з середини 2009 року по сьогоднішній день. На початку 2010 року я написав цикл статей про програми здирників класу Trojan-Ransom, до яких відносяться багатьом сумнозвісний «eKAV antivirus», «Internet Security» і багато інших, а також і порно банери.
Ці статті ви знайдете за наступними адресами:
· Вірус зі спливаючих вікном. "EKAV антивірус" - програма-вимагач eKav antivirus. СМС на короткий номер
· eKav antivirus - боротьба, профілактика, наслідки
· eKav antivirus - розблокувати і видалити назавжди!
· На зміну eKav antivirus приходить новий вимагач на ім'я Internet Security
· Як прибрати (видалити, розблокувати) порно банер
На численні прохання моїх вдячних читачів, в цій статті я даю класифікацію шкідливого програмного забезпечення, програм здирників, долають пересічних російських користувачів всесвітньої мережі Інтернет протягом дуже довгого часу. Більш того, я вважаю себе зобов'язаним давати все більше і більше відомостей з цього приводу, тому що дія шкідливого ПО останнім часом набуває масштабів вселенської епідемії і прагне захопити комп'ютери все більшого числа нічого не підозрюють початківців, середніх і досвідчених користувачів.
По виду виконуваних дій шкідливі програми вимагачі підрозділяються:
1. Програми вимагачі, що обмежують доступ до сайтів;
2. Шкідливі програми, що обмежують роботу з браузером;
3. Програми вимагачі, що блокують доступ до служб і функцій операційної системи;
4. Шкідливі програми, що обмежують дії користувача в операційній системі;
5. Програми вимагачі, шифрувальні файли на користувальницької машині.
Всі перераховані програми відносяться до класу шкідливих програм Trojan-Ransom. Позбутися дії програм з пп.1 і 2 цієї статті не представляє ніякої складності і може бути здійснено вручну без допомоги антивірусних програм. З програмами з пп.3 і 4 впорається складніше і, навіть доводиться вдаватися до допомоги спеціального програмного забезпечення. Програми з п.5 найчастіше не піддаються розблокуванню без допомоги висококваліфікованих фахівців і дорогого програмного забезпечення.
Розглянемо кожен пункт класифікації шкідливих програм вимагачів окремо.
Програми вимагачі, що обмежують доступ до сайтів
У разі, коли програма вимагач обмежує доступ до деяких сайтів (як правило це соціальна мережа «Однокласники», «ВКонтакте», пошукові машини «Яндекс», «Google», сайти розробників антивірусів Касперського, Dr.WEB і багато інших, всього близько трьохсот доменних імен), ми зустрічаємося з дією вірусної програми Trojan-Ransom.BAT.Agent.c. Коли користувач вводить адресу, який внесений в заблоковану базу, він отримує перенаправлення на сайт розробника шкідливого ПО і бачить приблизно такий напис: «Ваш браузер заблокований. Якщо Ви хочете розблокувати ваш комп'ютер і повноцінно користуватися сайтами необхідно відправити SMS "і далі йде віконце з пропозицією вибрати оператора мережі і країну проживання користувача.
В даному випадку ми маємо справу зі звичайним файлом з розширенням * .bat і розміром всього 13 кілобайт, що змінює файл HOSTS, що зберігається на комп'ютері користувача. Механіка шкідливої роботи такого файлу ми розглянемо в одній з наступних статей нашого блогу.
Для досягнення кращого ефекту своєї діяльності Trojan-Ransom.BAT.Agent.c модифікує файл HOSTS таким чином, що користувач виявляється не на сайті, адреса якого був введений в адресний рядок браузера, а на сторінці зловмисника, де виставляються вимоги для розблокування комп'ютера і повернення до нормальної роботи браузера вислати СМС на короткий номер з певним текстом. Як виявляється ясним надалі, текст цього СМС абсолютно не важливий для кібер-шахрая, тому що він з самого початку не збирався висилати вам код розблокування, йому це просто не потрібно і тягне для нього зайві витрати.
Префікси коротких, як правило чотиризначних, номерів, орендуються злочинцями у операторів СМС білінгу. Ціна за одну SMS визначається самим орендарем короткого номера і може бути обмежена тільки межами його жадібності і фінансових апетитів. Найчастіше фактична сума стягується з користувача за одну СМС значно перевищує ту, що вказана в «інформаційному повідомленні" на сайті, куди був перенаправлений відвідувач.
Якщо клієнт вирішує відіслати SMS, то з його телефонного рахунку знімається сума, закладена зловмисником при оренді короткого номера, а якщо коштів на рахунку недостатньо, то вони запишуться в борг і будуть відняті при наступному поповненні балансу телефонного рахунку.
З цієї суми на рахунок Інтернет-зловмисника надходить тільки близько сорока відсотків від отриманої обманним шляхом суми, решту грошей йдуть на рахунки орендодавця короткого номера і СМС оператора. Отримані гроші вимагач отримує шляхом, особистого або через посередників, переведення в готівку коштів з гаманців відомих систем віртуальних грошей WebMoney, Яндекс.Деньги і інших.
Програма-вимагач Trojan-Ransom.Win32.Agent, на відміну від описаної вище діє більш конкретно і цілеспрямовано. Вона обмежує вхід відвідувачів, використовуючи описані технології та психологічні прийоми, тільки на домен соціальної мережі vkontakte.ru.
Метод «лікування» програм-вимагачів, які обмежують вхід на деякі сайти, дуже простий і не утруднить навіть недосвідченого в комп'ютерних технологіях користувача. Для розблокування комп'ютера необхідно очистити файл HOSTS (% SYSTEM% \ drivers \ etc \ hosts) і видалити з нього за допомогою будь-якого текстового редактора все рядки, крім 127.0.0.1 localhost. Крім цього необхідно, безумовно, видалити і сам файл шкідливої програми-здирника, щоб не отримати рецидиву злочину, просканувавши систему за допомогою антивірусної програми з завантаженими останніми оновленнями або звернувшись на будь-який онлайн сервіс по боротьбі з шкідливими програмами, наприклад virusinfo. info.
Шкідливі програми, що обмежують роботу з браузером
У випадку з програмами вимагачами, що обмежують роботу з браузером, в його вікні з'являється вікно або банер, часто порно банер, без можливості його закриття. Такий банер сильно заважає або зовсім не дозволяє працювати у вікні оглядача Інтернет. На відміну від вікон з спливаючій рекламою, що працюють за технологією pop-up, до яких всі давно звикли і майже не звертають на них уваги, від таких банерів неможливо позбутися стандартними методами. До таких шкідливих програм, як правило, відносяться
Trojan-Ransom.Win32.Hexzone і Trojan-Ransom.Win32.BHO. Дуже детально ми описували методи боротьби з такими програмами в статті « Як прибрати (видалити, розблокувати) порно банер », Але для більш глибокого засвоєння матеріалу, коротко повторимо, що для того, щоб позбутися від шкідливої програми, яка обмежує роботу браузера необхідно:
- Відкрити вікно «Керування надбудовами» з меню Сервіс> Надбудови> Включення і відключення надбудов.
- Визначити шкідливу надбудову серед списку у вікні. Зазвичай, це ті надбудови, в колонці «Видавець» яких, або нічого немає, або значиться напис «Не перевірено»
- Відключити знайдені шкідливі надбудови, встановивши їм статус «Відключено».
- Перезавантажити браузер, щоб переконатися в тому, що шкідливе додаток більше не діє.
- Якщо описані дії не допомогли, швидше за все, було відключено не те доповнення, спробуйте по черзі відключати всі надбудови з списку і напевно знайдете потрібну.
Більш докладно про відключення і видаленні шкідливих програм, що заважають роботі браузера читайте в статті « Як прибрати (видалити, розблокувати) порно банер
Програми вимагачі, що блокують доступ до служб і функцій операційної системи
Цей вид програм-вимагачів докладно описаний мною в статтях:
· Вірус зі спливаючих вікном. "EKAV антивірус" - програма-вимагач eKav antivirus. СМС на короткий номер
· eKav antivirus - боротьба, профілактика, наслідки
· eKav antivirus - розблокувати і видалити назавжди!
· На зміну eKav antivirus приходить новий вимагач на ім'я Internet Security
До них відноситься такий вид програм-вимагачів категорії Trojan-Ransom, який не дозволяє, при появі вікна з вимогою «викупу», ні закрити саме це вікно, ні відкрити ніякі інші додатки, в тому числі і «Диспетчер завдань» Windows. Стандартні комбінації клавіш Windows перестають діяти, хоча сама клавіатура знаходиться в робочому стані. Курсор миші рухається, але клацання залишаються без відповіді. Якщо вдатися до простої перезавантаження машини кнопкою Reset, банер здирник з'явиться знову, а дані не збережені в минулому сеансі будуть втрачені назавжди. Крім того, для видалення подібного виду програм в будь-якому випадку потрібне перезавантаження комп'ютера.
Щоб не втратити незбережені дані, якщо ви перебуваєте в мережевому оточенні, можна спробувати зробити наступне:
Інструкція №1.
- Запустити на віддаленому комп'ютері командну оболонку cmd.exe
- Виконати наступні команди:
wmic
/ NODE: <ім'я комп'ютера>
/ USER: <ім'я користувача на атакованому комп'ютері>
- Ввести пароль на заблокованій машині
- У виведеному списку працюючих процесів вибрати підозрілий, який не відноситься до Windows і запущеним програмам користувача, і виконати команду: process where name = "<ім'я блокуючого процесу>" delete
- Після завершення цього процесу на комп'ютері користувача зникне банер здирник. Далі треба провести дії по видаленню програми-здирника з комп'ютера користувача, описані тут .
Інструкція №2.
- Якщо банер здирник з'явився не відразу, а після перезавантаження машини і немає небезпеки втратити незбережені дані, перезавантажити комп'ютер, під час завантаження натискати клавіші F8, до появи меню зі списком режимів завантаження.
- Вибрати режим завантаження «Repair Your Computer» (Відновлення Вашого Комп'ютера);
- Після введення пароля, з'явиться вікно з діалогом, в якому необхідно вибрати пункт «System Restore»
- Почне працювати майстер відновлення системи, виконуючи вказівки якого, необхідно вибрати точку відновлення від тієї дати, коли комп'ютер нормально працював.
Інстукція №3.
- Якщо Інструкція №2 не допомогла, то необхідно використовувати спосіб ручного видалення шкідливого трояна за допомогою Безпечного режиму операційної системи Windows
- Перезавантажити комп'ютер, під час завантаження натискати клавіші F8, до появи меню зі списком режимів завантаження.
- Вибрати режим завантаження «Safe mode with Command Prompt» (Безпечний режим Завантаження з запуском командного рядка)
- Після завантаження Windows в цьому режимі, з'являється можливість запускати з командного рядка будь-які додатки, за допомогою яких можливо знешкодити шкідливе програмне забезпечення. Для пошуку назв процесів, які необхідно буде видалити, скористайтеся іншим, незаражених комп'ютером.
Інструкція №4.
- Якщо Безпечний режим відключений програмою здирником, завантажте машину з завантажувального диска LiveCD, ERDCommander, Acronis або іншого на ваш вибір.
- Знайдіть гілку реєстру HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
- Змініть значення ключа Userinit на C: \ Windows \ system32 \ userinit.exe
- Видаліть вірусний файл в Userinit
- Перезавантажте комп'ютер в нормальному режимі
Шкідливі програми, що обмежують дії користувача в операційній системі
Трояни сімейства Trojan-Ransom, Trojan-Ransom.Win32.Krotten і Trojan-Ransom.Win32.Taras використовують наявну в Windows можливість змінювати набір функцій користувачів конкретної машини. У більшості випадків після дії такої програми вимагача, на зараженій машині можна запустити лише один браузер, і то тільки для того, щоб помилуватися на повідомлення про викуп. Інші програми та процеси запустити не вдасться, всі функції користувача будуть блоковані.
Розблокувати дії таких троянів можна слідуючи інструкціям:
Інструкція №1
- Завантажитеся в безпечному режимі і увійдіть в систему під ім'ям іншого користувача.
- Часто дії користувача, відмінного від того, який запустив програму-вимагача, нічим не обмежені.
- Видаліть аккаунт «зараженого» користувача і створіть нового, під ім'ям якого і продовжуйте працювати. Програма-вимагач більше не повинна нічим себе проявити. Програми такого типу змінюють системні налаштування всього один раз запустити.
- Про видалення програми-здирника читайте в статті по цьому посиланню .
Інструкція №2
- На комп'ютері товариша скачайте з Інтернету програму AVZ і збережіть її на флешці.
- Завантажити з завантажувального диска LiveCD, ERDCommander, Acronis або іншого на ваш вибір.
- Скопіюйте вміст папки з утилітою AVZ з флеш-носія на робочий стіл, перейменуйте в скопійованої папці файл AVZ.exe на iexplore.exe, таким чином замаскувавши корисну нам програму під Internet Explorer, запуск якого зазвичай не блокується.
- Перезавантажте машину і увійдіть в систему під ім'ям заблокованого користувача та запустіть з робочого столу програмку AVZ з нового файлу iexplore.exe
- Користуючись інтерфейсом програми виберете пункт меню «Відновити систему», поставте галочку на всіх пунктах, крім останнього і запустіть процес восстанволенія.
- Коли робота буде закінчена, завантажити з нього машину. Всі обмеження повинні бути зняті.
Програми вимагачі, шифрувальні файли на користувальницької машині
Зовсім незвичайний, але все більш часто зустрічається останнім часом вид програм здирників, коли, вірус непомітно для користувача шифрує файли з важливою інформацією, як правило, це файли з розширенням * .doc, * .docx, * .xls, * .xlsx, * .txt та інші. Поруч із зашифрованим файлом, вірніше в одній з ним директорії, програма зловмисник поміщає текстовий файл з текстом умови викупу, так надходить Trojan-Ransom.Win32.GPCode. Рідше буває, що банер здирників поміщається на шпалерах робочого столу, це справа рук Trojan-Ransom.Win32.Encore. Зашифровані файли являють собою повну нісенітницю, наповнену крякозябри, прочитати нічого рішуче неможливо. Саме часто зустрічається дітище цього сімейства - Trojan-Ransom.Win32.Gpcode. Програми-вимагачі групи Trojan-Ransom.Win32.Cryzip не мудруючи лукаво поміщають файли з важливою для користувача інформацією в архіви * .zip і закривають їх паролем, за який просять заплатити викуп через платну СМС. А шахраї з групи Trojan-Ransom.Win32.Fixer пропонують «купити» спеціальну програму для розшифровки файлів. Повідомлення про це вискакує якраз в той момент, коли користувач безуспішно намагається відкрити приховано зашифрований файл. Оплату за свою програму для розшифровки файлів, шахраї, звичайно ж просять відправити через SMS.
Щоб вилікувати зашифровані файли самостійно потрібно мати сам троян і спробувати його розпакувати, щоб дізнатися спосіб шифрування і написати програму дешифрування. Якщо таке не під силу, то необхідно звертатися в службу технічної підтримки будь-якої антивірусної компанії.