В последнее время просторы Интернет захлеснула волна вредоносных программ с ярко выраженной коммерческой направленностью. На основании информации полученной с сайта http://av-school.ru/article/a-94.html здесь приведен перечень часто встречаемых типов вирусов вымогателей и наиболее эффективные методы борьбы с ними.
Вредоносные программы- вымогатели (Trojan-Ransom) способны оказывать следующие действия:
Ограничение доступа к веб-сайтам
В этом случае для достижения подобного эффекта вредоносный файл изменяет файл HOSTS.
Способ лечения. Избавиться от последствий заражения вредоносной программы данного вида - проще всего. В файле HOSTS (%SYSTEM%\drivers\etc\hosts) следует удалить все строчки, оставив только одно соответствие: 127.0.0.1 localhost. Необходимо также удалить и файл вредоносной программы, который может вновь внести описанные изменения в файл HOSTS.
Ограничение работы с браузером
В случае программ-вымогателей в браузере создается окно без возможности закрытия, мешающее или полностью препятствующее работе в Интернете.
Для показа всплывающих окон ими применяется механизм надстроек BHO (browser helper object), расширяющий возможности Internet Explorer.
Лечение:
- Откройте окно "Управление надстройками" из диалогового меню "Сервис? Надстройки? Включение и отключение надстроек".
- В открывшемся диалоговом окне будут перечислены все установленные и активные надстройки, среди которых следует выявить вредоносную.
- Обратите внимание на все надстройки, у которых в колонке "Издатель" либо ничего не указано, либо есть строка "(Не проверено)" - их следует проверить в первую очередь.
- Отключите подозрительные расширения, установив им статус "Отключить" .
- Перезапустите Internet Explorer и убедитесь, что всплывающее окно исчезло.
Блокирование доступа к ресурсам операционной системы
Trojan-Ransom обычно используют системный реестр Windows. Рассмотрим самый распространенный случай - изменение значения "Userinit" в ветке "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon".
При такой автозагрузке блокировка компьютера происходит сразу при входе в систему.
Лечение:
- Загрузитесь с диска ERD Commander и зайдите в меню "Start"?"Administrative Tools"?"Registry Editor".
- Найдите ключ Userinit в ветке реестра "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon".
- Восстановите значение на "C:\Windows\system32\userinit.exe,"(если система установлена на диск С).
- Удалите вредоносный файл, который был прописан в "Userinit" (в случае, изображенном на рисунке этот файл: "C:\blocker.exe").
- Загрузите компьютер в обычном режиме.
Ограничение действий в операционной системе
Изменение системных настроек, таких как запрет запуска редактирования реестра, запрет запуска "Диспетчера задач" и т.д. Как правило, после запуска такой программы на компьютере можно запустить только Интернет-браузер, чтобы можно было заплатить выкуп.
Способ лечения №1. В случаях некоторых троянских программ-вымогателей помогает нехитрый прием с удалением профиля заблокированного пользователя.
- Загрузитесь в безопасном режиме.
- Войдите в систему под другим пользователем, например, пользователем "Администратор".
- В случаях некоторых программ-вымогателей (например, Trojan-Ransom.Win32.Taras.e) вы увидите, что возможности этого пользователя ничем не ограничены, потому что действие троянца распространяется только на того пользователя, который запустил эту вредоносную программу.
- Можно попытаться обнаружить вредоносную программу, чтобы удалить ее, хотя для этого могут потребоваться определенные навыки, т.к. нередко программы, действующие по этой схеме, действуют однократно - изменяют системные настройки, а после больше не запускаются и ничем себя не проявляют.
- Скопируйте содержимое рабочего стола заблокированного пользователя и другие нужные файлы, чтобы не потерять важную информацию, а затем удалите профиль заблокированного пользователя. Создайте нового пользователя и войдите в систему под новым аккаунтом.
- Восстановите из ранее созданных копий состояние "Рабочего стола", "Мои документы" и др.
Способ лечения №2. Некоторые вымогатели (например, Trojan-Ransom.Win32.Krotten.kq) изменяют системные настройки, оказывающие эффект на всех пользователей в системе. Например, вредоносная программа запускается при старте Windows и применяет настройки для каждого нового пользователя, кроме того, запрещая вход в безопасном режиме Windows. В этом случае может помочь вариант с использованием загрузочного LiveCD.
- Предварительно скачайте из Интернета утилиту AVZ - универсальный инструмент для борьбы с вредоносными программами и устранения последствий заражения. Скопируйте утилиту на flash-носитель.
- Загрузитесь с LiveCD. Как правило, вредоносные программы данного вида оставляют возможность запуска на заблокированном компьютере только нескольких приложений: Internet Explorer, Outlook Express, чтобы пользователь мог отправить письмо злоумышленникам. Воспользуемся этой возможностью для запуска лечащей утилиты вместо разрешенного приложения.
- Скопируйте содержимое каталога с утилитой AVZ на рабочий стол пользователя заблокированного компьютера. Например, для пользователя Analyst путь к рабочему столу в Windows XP может быть таким: C:\Documents and settings\Analyst\Desktop, а в Windows Vista/7 таким: C:\Users\Analyst\Desktop.
- Переименуйте исполняемый файл утилиты с AVZ.exe на iexplore.exe (название исполняемого файла Internet Explorer).
- Все готово, теперь перезагрузите компьютер и войдите в систему под заблокированным пользователем.
- Запустите с рабочего стола утилиту AVZ (iexplore.exe). Утилита запустится, т.к. приложению Internet Explorer запуск разрешен.
- В появившемся окне выберите пункт меню "Файл"?"Восстановление системы".
- Отметьте все пункты кроме последнего и нажмите кнопку "Выполнить отмеченные операции".
- По завершении операции восстановления, перезагрузите компьютер. Все ограничения будут сняты.
Шифрование файлов пользователя
Наконец, последний вид программ-вымогателей незаметно шифрует данные пользователя. Обычно программы-вымогатели этого вида шифруют файлы избирательно - с расширениями doc, xls, txt и т.д., т.е. которые потенциально могут содержать важную для пользователя информацию. Наиболее известное семейство таких программ Trojan-Ransom.Win32.Gpcode.
Так выглядят зашифрованные файлы
Позже пользователь обнаруживает, что не может получить доступ к нужным файлам.
Условия выкупа "данных-заложников" либо помещаются в текстовый файл в каждом каталоге с зашифрованными файлами (например, в случае Trojan-Ransom.Win32.GPCode), либо размещаются на обоях рабочего стола (например, так поступает Trojan-Ransom.Win32.Encore).
Вымогатели семейства Trojan-Ransom.Win32.Cryzip помещают файлы в ZIP-архивы с паролем. Оригинальную стратегию применяют вредоносные программы семейства Trojan-Ransom.Win32.Fixer. Представитель этих вымогателей сначала скрытно шифрует пользовательские файлы, а затем, при обращении к этим файлам пользователя, выдает сообщение о том, что файлы повреждены. Для восстановления испорченных файлов рекомендуется купить "специальную лечащую утилиту".
Способ лечения. Здесь нет универсальных способов лечения, т.к. алгоритмы шифрования данных варьируются от программы к программе. Для расшифровки файлов как минимум надо иметь экземпляр троянской программы, хотя и этого может быть недостаточно. В случае заражения программой-вымогателем подобного вида, имеет смысл обратиться в техническую поддержку антивирусной компании. Наконец, если позволяет квалификация, можно попытаться самостоятельно дизассемблировать вредоносную программу, выяснить алгоритм шифрования и написать программу дешифровки.
Из вышеописанного можно сделать вывод, что особо важные файлы нельзя хранить только на жестком диске компьютера, особенно если этот компьютер имеет доступ в Интернет. Обязательно необходимо резервировать важную информацию на съемных носителях.
|