Перейти к контенту ↓

Борьба с вирусами-блокерами
«Ваш компьютер заблокирован»

Сергей Трошин

Уже несколько лет гуляет по стране, распространяется и множится новая напасть — вирусы-блокеры. Эти зловреды блокируют работу Windows, требуя от пользователя отправки платной СМС на короткий номер за прекращение своей разрушительной деятельности. Многие дурачки поддаются на этот примитивный шантаж…

Почему такое вообще возможно, и куда смотрят право­охрани­тельные органы вкупе с сотовыми операторами и сервисами коротких телефонных номеров — это другой вопрос. Почему-то кажется, что было бы желание, владельца засветившегося благодаря вирусу короткого номера можно было бы посадить далеко и надолго… Без этого, пожалуй, данное явление, имеющее в этом году все признаки эпидемии, не остановить. Ну и пользователи должны хоть немного помочь — пока находятся чудаки, соглашающиеся на отправку СМС, будут делать и вирусы-блокеры.

Но не будем о грустном. Сегодня наша задача — не юридические тонкости, а избавление системы от поселившегося в ней вируса-блокера без глупейшей отправки денег (а это могут быть сотни рублей) вымогателю. И тут возможны разные варианты.

Сервисы деактивации

Самый простой способ быстро разблокировать Windows, например, для того, чтобы срочно продолжить работу или даже скачать свежий антивирус — это воспользоваться специальными сервисами деактивации блокеров. Дело в том, что большая часть блокеров уже хорошо известна анти­вирусным компаниям, причём вместе с кодами их разблокировки.

Напомню для тех, кто не в курсе — после того, как поддавшийся на шантаж пользователь отправит платную СМС вымогателю, ему, по идее, должна придти ответная СМС с неким буквенно-цифровым кодом, который надо ввести в специальную форму окна вируса, дабы он отключился и разрешил работать в системе. Что самое интересное — сам вирус при этом обычно не уничтожается, а спокойно сидит в памяти ПК, и ещё неизвестно, что он там может в дальнейшем наделать. Поэтому разблокировка с помощью кода — это экстренная мера, пред­наз­наченная для быстрого возобновления работы системы, но никоим образом не отменяющая последующей её зачистки от остатков вируса.

Итак, рассмотрите как следует окно, которое отображает на экране ПК вирус, запишите на бумажку телефонный номер, на который он предлагает отправить СМС, и текст сообщения, которое требуют отправить на этот номер, после чего откройте на другом ПК один из сайтов:

На худой конец есть даже версии сайтов-деблокеров для мобильных телефонов:

Здесь вы увидите форму для ввода короткого номера и текста из сообщения трояна, либо сможете выбрать «правильный» вирус прямо по его скриншоту. Далее всё просто — заполняете форму или щёлкаете по скриншоту (а ещё иногда можно ввести точное название троянца, если оно вам известно) и получаете код для разблокировки системы. Скармливаете его вирусу и получаете доступ к Windows. Теперь вы можете выходить в интернет, запускать какие-то программы.

Кроме того, можно попробовать поискать офлайн-генераторы кодов для некоторых типов широко рас­про­стра­нённых блокеров, такие как Symantec Trojan.Ransomlock Key Generator Tool [9].

Только учтите, данный способ хоть и может показаться кому-то не обязательным на фоне ниже­следующих вариантов, тем не менее польза в нём есть. Например, в случае с троянами, шифрующими информацию на вашем диске. Если вы ещё до полного избавления от троянца сможете ввести верный код, то есть шанс, что он вернёт зашифрованным документам их первозданный вид. Кстати, на сайте Лаборатории Касперского можно найти даже утилиты для расшифровки [10] файлов, над которыми «поработал» вирус:.

Тотальная зачистка

Следующим шагом обязательно должно быть полное удаление зловреда и всех его следов на диске и в реестре Windows. Ни в коем случае нельзя оставлять троянца в системе! Даже не проявляя внешней активности, он может воровать ваши приватные данные, пароли, рассылать спам и так далее. Да и не исключено, что через какое-то время он снова захочет заблокировать ОС.

Но не всё так просто — поскольку вирус всё ещё в системе, не факт, что он позволит вам открыть сайт анти­вирусной компании или запустить анти­вирусную утилиту. Поэтому самый надёжный способ «зачистки» — использование LiveCD со свежим антивирусом или же установка заражённого винчестера на другой ПК, с «чистой» системой и хорошим анти­вирусом. Также может сработать сканирование после загрузки ПК в так называемом «Безопасном режиме», который вызывается нажатием клавиши F8 при запуске системы. Эти же методы придётся использовать в том случае, если ни один антивирусный сайт не смог подобрать вам код разблокировки Windows.

Итак, снова пойдём от простого к сложному. Для начала, независимо от того, смогли ли вы подобрать код разблокировки, пробуем загрузить «Безопасный режим». Если Windows стартовала, то сканируем систему с помощью бесплатных утилит:

Подобных бесплатных сканеров очень много — большой их список вы найдетё, например, на сайте comss.ru [16]. Попробуйте скачать несколько штук и просканируйте ими диски заражённого компьютера.

Есть и утилиты, нацеленные на лечение какого-то одного семейства троянов, например — Digita_Cure.exe [17], удаляющая Trojan-Ransom.Win32.Digitala.

После завершения работы всех выбранных вами утилит и лечения ПК можно уже достаточно смело загружать систему в обычном режиме. Но и на этом останавливаться категорически нельзя! Обязательно просканируйте диски ещё раз уже полно­ценным анти­вирусом с самыми последними обновлениями анти­вирусных баз. Плюс ко всему, в случае каких-то проблем в работе Windows можно восполь­зоваться встроенным в Windows механизмом восстановления системы — System Restore. Только учтите, «откат» надо делать к той точке, когда ваш ПК ещё гарантированно не был заражён трояном. Иначе всю процедуру лечения придётся начинать заново.

Однако троян может настолько серьёзно «вгрызться» в систему, что даже «Безопасный режим» не будет работать. В этом случае очень удобно восполь­зоваться специальными лечащими LiveCD антивирусных компаний. Подобные диски есть у Лаборатории Касперского [18], Dr.Web [19], Avira [20], BitDefender и других разработчиков. Большущий список со ссылками для загрузки можно взять на сайте comss.ru [21]. Есть даже специальный AntiWinLockerLiveCD [22].

Преимущество сканирования с помощью LiveCD заключается в том, что при этом полностью исключается возможность запуска трояна, кроме того, сканирование производится полно­ценным анти­вирусом с полным набором анти­вирусных баз, а не усечённой его версией как в случае со специальными лечащими утилитами. Соответственно, вероятность успешного избавления от «заразы» гораздо выше.

Причём в составе Kaspersky Rescue Disk, например, преду­смотрена даже специальная утилита для борьбы с программами-вымогателями Kaspersky WindowsUnlocker. Она проводит лечение реестра всех операционных систем, установленных на компьютере.

Наконец, ещё один беспроигрышный вариант — тупо снять с заблокированного ПК винчестер, подключить его к другому компьютеру (можно даже с помощью пере­носного USB-бокса) и проска­нировать его уже из-под заведомо незаражённой системы. Опять же — хорошим анти­вирусом, со свежими базами и с наиболее жёсткими настройками эвристики. Разумеется, крайне желательно отследить действия анти­вируса, дабы понять, нашёл ли он что-то, смог ли вылечить, и вообще — похоже ли всё это на удаление именно подцеп­ленного вами блокера.

Удаление вручную

В принципе, уже на этом этапе у вас должно всё работать, и система должна быть чистой. Но опять же, гладко бывает только на бумаге. В жизни могут быть варианты. Например, блокер может оказаться настолько новым и хитрым, что даже самый свежий антивирус при полном режиме сканирования не сможет его выявить. Или же процесс лечения окажется по своим последствиям не менее фатальным для ОС, чем действия вируса, поскольку при этом могут оказаться повреждены или удалены какие-то важные системные файлы (ввиду их заражения или подмены вирусом) и система опять же откажется загружаться. При таком раскладе, если вы, конечно, не хотите переустанавливать ОС, придётся разбираться во всём вручную.

И лучший инструмент для ручного лечения системы — загрузочный диск ERD Commander (существуют версии как для Windows XP, так и для Windows Vista/7). Он предоставляет вам полный доступ к заражённой системе — к файлам на диске, к редактору реестра, к службе System Restore и так далее. Но поскольку трояны-блокеры прописываются главным образом в системном реестре, то начать их поиск следует именно оттуда. Просто запускаете редактор реестра и просматриваете ветки, которые могут использовать вирусы для своего авто­запуска — подробный список возможных вариантов в случае с Windows XP можно найти в статье «Секретные приёмы авто­загрузки» [23]. Также неплохой списочек из порядка 130 позиций можно посмотреть на сайте PenTestIT.com [24]. Чуть более наглядно, но только основные места — на сайте bleepingcomputer.com [25]. Но не пугайтесь раньше времени — наиболее популярными среди блокеров являются такие способы авто­запуска:

  • Изменение значения параметров

    "Shell"="Explorer.exe"
    "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

    в разделе

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

    или

    HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon

  • Изменение значения параметра "AppInit_DLLs"="" в разделе

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

  • И, разумеется, параметры в стандартных разделах авто­запуска в реестре:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Разумеется, если вы найдёте в этих ветках реестра (или других, тоже позволяющих произвести авто­запуск, но реже используемых) упоминания каких-то непонятных приложений (типа "Shell"="C:\Windows\svvghost.exe" или программ с именами вроде aers0997.exe, составленными из случайных букв и цифр) и удалите их, приведя значения параметров к стандартному виду, надо будет впоследствии удалить и сами файлы вируса. Путь к ним вы увидите в реестре, в значении всё тех же изменённых параметров. Самые излюбленные места, где они обычно «прячутся» — папки временных файлов Documents and Settings\<имя_юзера>\Local Settings\Temp и Temporary Internet Files, папка службы восстановления системы System Volume Information и даже папка корзины $RECYCLE.BIN или RECYCLER. Если заражение произошло только что, файлы вируса легко искать по дате создания.

Впрочем, на базе ERD Commander или BartPE умельцы наделали множество ещё более продвинутых инструментов восстановления системы, содержащих в себе и пакет анти­вирусных сканеров и полезнейшие утилиты вроде программы Autoruns [26]. Если вам попадётся такой диск, то с Autoruns инспектировать возможные места авто­запуска в сотни раз удобнее и быстрее, к тому же не требуется никаких знаний структуры реестра. Просто ищешь в списке явно «левые» программы и снимаешь напротив них флажок — как в штатном MSCONFIG.EXE.

В частности, Autoruns в едином списке покажет и программы разделов RUN реестра, и заплани­рованные задачи Task Scheduler (а через него тоже могут запускаться трояны), и надстройки браузера (а это также очень важная область авто­запуска — подробнее про борьбу с вредо­носными надстройками читайте в статье «Борьба с рекламными модулями для Internet Explorer» [27]), и службы, и всё остальное, что только может быть. Короче говоря, троянец может быть пропущен, если только он «присосался» к телу «законного» системного файла Windows или полностью подменил его.

Очень неплохо подходит для поиска следов зловредов программа Trend Micro HijackThis [28]. Она, например, позволяет удобно просматривать файл HOSTS (его трояны изменяют для того, чтобы заблокировать вам доступ к анти­вирусным сайтам) и даже альтер­нативные потоки файловой системы NTFS. Хорош, особенно при поиске «руткитов», и достаточно известный GMER [29].

Огромную помощь окажет и утилита AVZ [30], она восстановит возможность запуска exe-файлов, настройки IE, удалит всевозможные запрещающие политики, разблокирует диспетчер задач, очистит файл HOSTS, разблокирует редактор реестра.

Словом, чем более продвинутый LiveCD вы найдёте, тем более глубоко вы сможете проникнуть в систему для поиска вредо­носного засланца.

Самое неприятное — если троянец подменит собой ещё и часть системных файлов Windows (taskmgr.exe, userinit.exe, explorer.exe и тому подобное) — в этом случае вам придётся восполь­зоваться такими механизмами, как «Восстановление системы» и «Проверка системных файлов» (sfc.exe, команда на его запуск выглядит так: sfc /scannow). Также можно поискать в интернете комплект «родных» файлов для вашей версии Windows. Восстанавливать их придётся после загрузки ПК с LiveCD.

Не отходя от кассы

Но далеко не всегда есть возможность загрузить ПК с LiveCD. Иногда надо «прибить» заразу прямо не выходя из заражённой системы, имея на экране только окно вируса с ласковым предложением поделиться зарплатой. Или же просто нет возможности и времени искать какие-то дополни­тельные инструменты. Что делать в этом случае? Оказывается, есть ряд трюков, позволяющих «обмануть» вирус.

Например, в Windows XP при появлении окна вируса попробуйте нажать клавиши Win+U и быстро запустить экранную лупу (кнопка «Запустить»), затем жмите «Справка», далее щелкните правой кнопкой мыши на заголовке окна и выберите пункт «Jump to URL», введите адрес Total Commander или командного процессора (например, C:\Program files\Total Commander\tcmd.exe), в командной строке наберите msconfig и затем через восстановление системы сделайте откат на пару дней назад, когда вируса в системе ещё не было!

Если вы смогли получить доступ к командной строке, а редактор реестра не запускается, можно попробовать исправить в реестре самые важные параметры, отключив авто­запуск трояна, через такие команды:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /d explorer.exe reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit /d C:\Windows\system32\userinit.exe,

Если же надо убрать с экрана окно троянца, можно попробовать через диспетчер задач (если он вызывается), «убить» процесс explorer. Если троян не дает запустить, скажем, ту же Autoruns, то попробуйте пере­именовать файл этой программы во что-то типа game.exe.

Не забываем про сочетания клавиш Win+R, Ctrl+Shift+Esc, а также команды tasklist и taskkill.

Если вы можете запустить Microsoft Word, наберите в нём какой-нибуть короткий текст и, не сохраняя документ, выберите «Пуск» → «Завершение работы». Все программы начнут закрываться, в том числе и троян, а Microsoft Word выдаст сообщение «Хотите закрыть не сохранив?», нажмите «Отмена» и приступайте к очистке системы.

Если вирус прописался в обычные места авто­загрузки, попробуйте включить ПК с зажатой клавишей Shift — это запрещает запуск авто­мати­чески загружаемых программ.

Если можете создать пользователя с ограниченными правами или такой уже есть в вашей системе, попробуйте войти из-под него — вирус может не запуститься, вы же сможете от имени Администратора восполь­зоваться любой лечащей утилитой.

Профилактика

Ну хорошо, «заразу» «пришибли», «хвосты» подчистили, всё работает. Но, вспоминая каждый раз, скольких это стоило нервов и усилий, вы решили больше не повторять таких ошибок. Что же нужно сделать, чтобы избежать заражения в будущем? Разумеется, самое главное — хороший антивирус и файерволл, причём желательно с возможностью принуди­тельной блокировки скриптов в браузере (ActiveX, JAVA Applets, Jscript, VBS, но, к сожалению, такое в файерволлах сейчас почти не встречается, хотя в браузере блокировать это можно — используйте хотя бы средства браузера или блокирующие скрипты плагины, такие как NoScript [31] и Adblock Plus [32] для Firefox [33]).

Второе важное средство защиты — повседневная работа из-под учётной записи с ограни­ченными правами, хотя это многие и не любят (я в том числе). Но тут можно пойти на небольшую хитрость — даже для учётной записи Администратора ограничить возможность изменения ветки реестра

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Делается это просто — в редакторе реестра щёлкаете правой кнопкой мыши по данной ветке, выбираете «Разрешения» и запрещаете изменения своей группе пользователей.

Кстати, не стоит отключать и функцию восста­новления системы Windows — она очень сильно помогает как раз в таких случаях.

Не запускайте без предва­рительной проверки (например, на VirusTotal.com [34]) файлы, полученные из подо­зри­тельных источников, по почте, через «мессенджер». Пользуйтесь «песочницей» антивируса, если таковая есть. Файлы программ скачивайте только с сайтов непосред­ственных разработчиков. Ни в коем случае не устанавливайте непонятные аудио-/видео­декодеры; если скачали видео, пред­лагающее их для просмотра — через программу GSpot [35] узнайте, что за кодек там используется, установлен ли он у вас в системе. Если нет — тогда берите его на сайте разработчика.

Не забывайте обновлять систему, устанавливать новые версии постоянно используемых программ — это избавит от некоторых уязвимостей. Убедитесь, что на диске с операционной системой у вас используется файловая система NTFS.

Отключите авто­запуск программ с подключаемых съёмных дисков, «флешек», оптических носителей — это можно сделать с помощью Tweak UI [36] или других распространенных «твикеров». Не запускайте файл сразу после скачивания — сохраните его на диск и посмотрите, какое у него расширение — не исключено, что вместо видео вы скачали программу (ехе, pif, com, cmd, bat, scr и так далее), а само­рас­пако­выва­ющийся архив не воспри­нимается как архив такими программами, как PowerArchiver и WinRAR (всегда открывайте такие архивы через архиваторы, не давайте им рас­пако­вываться самим).

Помните, что проверять на наличие вирусов можно не только файлы, но даже находящиеся в интернете веб-странички — в этом вам помогут встроенные функции браузеров (SmartScreen в IE, расширение LinkExtend [37] для Firefox) и такие сервисы, как:

Также в целях профилактики можно пойти на трюк с заменой файла sethc.exe, отвечающего за «залипание клавиш», на cmd.exe, пере­именовав файл командного процессора в sethc.exe (придётся это делать через LiveCD). В результате чего вы всегда, даже при загрузке ОС, пятью нажатиями Shift сможете вызывать командную строку, а из неё уже любую другую программу — хоть редактор реестра, хоть MSCONFIG. Кстати, в окне входа в систему запущенный таким образом cmd.exe будет иметь права SYSTEM. Только помните, что тем самым вы создадите в системе нехилый чёрный ход, многим хорошо известный при этом.

И, наконец, никогда не следует слать СМС злоумыш­леннику, создавшему вирус. Помните, что деньги вы потеряете почти наверняка, а код разблокировки можете и не получить. Проще получить код у оператора компании, отвечающей за работу данного короткого номера. Всегда после заражения вирусами меняйте свои пароли и «явки» — не исключено, что кроме блокировки системы троянец выполняет и какие-то другие вредо­носные функции.

Вор должен сидеть в тюрьме!

Помните, что вы всегда можете обратиться к поставщику, обслужи­вающему короткий номер, требуя выдать код деактивации. В частности, помимо своего сотового оператора, вам пригодятся такие контакты:

  • А1: Первый альтернативный контент-провайдер (alt1.ru, a1agregator.ru)
  • ИнкорМедиа (incoremedia.ru)

Звоните, ругайтесь, грозите подать заявление в прокуратуру, требуйте наказать злоумыш­ленника, заодно сообщите данные блокера и получите разблоки­ровочный код. А если вы действительно подадите заявление в милицию, общест­венность поставит вам памятник!

Полезные ссылки

Разное

  • Если не запускаются exe-файлы, импортируйте в реестр:

    Windows Registry Editor Version 5.00
    [HKEY_CLASSES_ROOT\exefile\shell]
    [HKEY_CLASSES_ROOT\exefile\shell\open]
    "EditFlags"=hex:00,00,00,00
    [HKEY_CLASSES_ROOT\exefile\shell\open\command]
    @="\"%1\" %*"
    [HKEY_CLASSES_ROOT\exefile\shell\runas]
    [HKEY_CLASSES_ROOT\exefile\shell\runas\command]
    @="\"%1\" %*"

  • Если не запускается редактор реестра, удобно воспользоваться ERD Commander или Registry Workshop [47]. Также не забудьте проверить ветки реестра

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies

    — именно там можно отключать различные системные компоненты.

  • Если файл HOSTS вирусом не менялся, но доступа к анти­вирусным сайтам всё равно нет, попробуйте удалить статические маршруты с помощью команды route -f.
  • Первая программа-вымогатель, требующая денег за восстановление системы, появилась в декабре 1989 года.
  • Первый SMS-блокер был зареги­стрирован 25 октября 2007.
  • Не забудьте проверить Планировщик заданий и удалить непонятные и подо­зри­тельные задания.
  • Тело вируса может прятаться где угодно, даже в папке Cookies…
  • Наиболее опасны «буткиты», требующие восстановления MBR, и шифрующие троянцы.
Темы