Инструменты пользователя

Инструменты сайта


blog:ikondrashov:2010:01:07_борьба_с_троянами-вымогателями

  • Сохранить "Борьба с троянами-вымогателями" на Google
  • Сохранить "Борьба с троянами-вымогателями" на Facebook
  • Сохранить "Борьба с троянами-вымогателями" на Twitter

Борьба с троянами-вымогателями

Ведущий производитель антивирусных решений опубликовал систематизированную информацию по борьбе с СМС-вымогателями и предоставил всем желающим бесплатный сервис для борьбы с ними.

Целью действий программ-вымогателей класса Trojan-Ransom является блокирование доступа пользователя к данным на компьютере или ограничение возможностей работы на компьютере и требование выкупа за возврат к исходному состоянию системы.

Рассмотрим виды вредоносных программ класса Trojan-Ransom в порядке сложности борьбы с ними вручную.

Виды СМС-вымогателей (Trojan-Ransom)

Ограничивающие доступ к веб-сайтам

Примером программ такого вида может быть вредоносная программа Trojan-Ransom.BAT.Agent.c , которая представляет собой BAT-файл размером 13 Кб. После запуска этого вредоносного ПО блокируется доступ пользователя ко многим веб-сайтам, в том числе, сайтам Лаборатории Касперского, поисковых средств Google, Яндекс, социальной сети «Одноклассники» и других (всего около 200 доменных имен). Введя адрес веб-сайта вместо ожидаемой начальной страницы, пользователь видит окно с требованием выкупа. Для блокирования доступа к сайтам, троянская программа изменяет файл HOSTS: В данном случае вымогательства, стоимость отправки SMS, как правило, указывается явно и составляет небольшую сумму, чтобы мотивировать пользователя заплатить. В ответ авторы обещают прислать код для разблокировки.

Если по каким-либо причинам антивирусное ПО не было установлено или вредоносное ПО этого типа не было удалено, то в качестве альтернативного способа лечения специалисты Лаборатории Касперского рекомендуют проделать следующие действия:

  • откройте файл HOSTS с помощью любого текстового редактора, например Notepad. В зависимости от используемой вами операционной системы этот файл располагается:
    • для Windows-95/98/ME: в корневом каталоге диска, на котором установлена операционная система
    • для Windows NT/2000/XP/Vista: в папке Windows\System32\drivers\etc.
  • самостоятельно исправьте данный файл, удалив все строчки кроме: 127.0.0.1 localhost
  • установите антивирусное ПО, если оно не было установлено ранее
  • обновите антивирусные базы
  • запустите проверку на вирусы

Ограничивающие работу с обозревателем

В результате действий таких программ-вымогателей в браузере создается всплывающее окно без возможности закрытия, мешающее или полностью препятствующее работе в Интернете. Например: Наиболее характерные представители этого подвида вымогателей – вредоносные программы семейств Trojan-Ransom.Win32.Hexzone и Trojan-Ransom.Win32.BHO.

Если по каким-либо причинам антивирусное ПО не было установлено или вредоносное ПО этого типа не было удалено, то в качестве альтернативного способа лечения специалисты Лаборатории Касперского рекомендуют проделать следующие действия:

  • в меню обозревателя Internet Explorer откройте окно Управление надстройками из меню обозревателя «Сервис→ Надстройки→ Включение и отключение надстроек»
  • в окне Управление надстройками перечислены все установленные и активные надстройки, среди которых следует выявить вредоносную. Для этого обратите внимание на все надстройки, у которых в графе Издатель либо ничего не указано, либо есть строка (Не проверено) – их следует проверить в первую очередь.
  • в графе Файл проверьте расширения файлов таких подозрительных надстроек. Отключите подозрительные расширения, нажав кнопку Отключить.
  • перезапустите Internet Explorer и убедитесь, что всплывающее окно исчезло.

Если описанная процедура не помогла, то возможно, причина в другом расширении, и чтобы его выявить, последовательно отключите все расширения, проверяя результат.

Блокирующие доступ к Операционной системе

Этот вид вредоносной программы класса Trojan-Ransom основан на блокировке доступа пользователя к ресурсам операционной системы. В этом случае пользователь не может завершить работу вредоносной программы или запустить любую другую программу, в том числе Диспетчер задач. Запустив такую троянскую программу, пользователь увидит на экране сообщение с требованием выкупа. Клавиатура и мышка будут продолжать работать, но на экране появится окно, которое невозможно свернуть, с которого невозможно переключиться (например, с помощью сочетания клавиш «Alt-Tab»). Остается только окно, расположенное поверх остальных, в котором сформулированы условия получения пароля для восстановления работоспособности системы.

Способ лечения №1.

Для решения проблемы необходимо завершить вредоносный процесс, блокирующий экран. Если компьютер находится в сети, то можно подключиться к компьютеру с помощью средств удаленного администрирования. Приведем пример с использованием стандартного средства WMIC (Windows Management Instrumentation Command-line).

  • на удаленной машине запустите командную оболочку cmd.exe
  • выполните следующие команды:

wmic /NODE:<имя компьютера или сетевой адрес> (например «/NODE:192.168.10.128») /USER:<имя пользователя на зараженной машине> (например «/USER:Analyst»)

  • появится предложение ввести пароль пользователя на компьютере, заблокированном программой-вымогателем, который также надо ввести
  • далее выполните команду process
  • после этого будет выведен список запущенных процессов на удаленной машине
  • найдите в списке подозрительный процесс, который не относится к ОС и пользовательским приложениям, например, aers0997.exe

  • выполните следующую команду:

process where name=”<имя зловредного процесса>” delete (например, process where name=”aers0997.exe” delete)

  • после завершения вредоносного процесса, на зараженной машине исчезнет окно с требованием выкупа
  • установите антивирусное ПО и проведите проверку на вирусы.

Способ лечения №2.

Другим вариантом функционирования вредоносных программ семейств Blocker является блокирование работы не сразу после запуска вредоносного ПО, а после перезагрузки компьютера. Если способ лечения №1 не помог, можно воспользоваться встроенной возможностью восстановления ОС Windows. Рассмотрим последовательность шагов на примере ОС Windows 7 с использованием установочного DVD-диска. Инсталляционный диск понадобится Windows в процессе работы.

  • загрузите компьютер в Безопасном режиме
  • в меню на экране выберите пункт «Repair Your Computer».
  • в процессе запуска вам будет предложено выбрать раскладку клавиатуры и ввести пароль пользователя Windows
  • в появившемся далее диалоговом окне выберите пункт «System Restore» («Восстановление системы»)
  • мастер восстановления предложит вам откатить систему к одной из точек восстановления. Выберите последнюю точку восстановления и дождитесь окончания работы мастера
  • по завершении вам будет предложено перегрузиться, после чего скорее всего ограничения будут сняты.

Способ лечения №3.

Если предыдущий способ лечения не помог, можно воспользоваться методом ручного удаления вредоносной программы из безопасного режима.

:!:Внимание! Метод удаления вредоносного ПО вручную подходит только в том случае, если вы четко представляете последствия своих действий.

Для удаления вредоносной программы вручную проделайте следующие действия:

  • перезагрузите компьютер в Безопасном режиме
  • в меню выберите пункт «Safe mode with Command Prompt» (безопасный режим с запуском командной строки)
  • дождитесь загрузки системы в безопасном режиме
  • введите пароль для входа в систему (если это необходимо)
  • после ввода пароля появится окно командной строки. Из окна командной строки можно запускать любые утилиты и программы. В этом случае искать, где прописалась вредоносная программа придется самостоятельно, например, это можно сделать с помощью бесплатной утилиты Autoruns.

Способ лечения №4.

Если предыдущий способ лечения не помог или возможность загрузки Windows из безопасного режима отключена вредоносной программой, можно воспользоваться методом ручного удаления вредоносной программы с использованием загрузочного компакт-диска, так называемого LiveCD, например, ERD Commander. Вредоносные программы класса Trojan-Ransom обычно используют системный реестр Windows. Рассмотрим самый распространенный случай – изменение значения «Userinit» в ветке «HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon». При такой автозагрузке блокировка компьютера происходит сразу после ввода пароля при входе в систему.

Для разрешения возникшей ситуации проделайте следующие действия:

  • загрузите диск ERD Commander
  • зайдите в меню «Start»→«Administrative Tools»→«Registry Editor»
  • найдите ключ Userinit в ветке реестра «HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon»
  • восстановите значение на «C:\Windows\system32\userinit.exe,»

:!:Внимание! Будьте осторожны и внимательны при работе с системным реестром!

  • удалите вредоносный файл, который был прописан в «Userinit» (в случае, изображенном на рисунке, это файл: «C:\blocker.exe»)

  • загрузите компьютер в обычном режиме.

Ограничивающие действия пользователя

В операционных системах семейства Windows имеется гибкий механизм политик безопасности, позволяющий системным администраторам настраивать пользовательское окружение. Используя системный реестр, можно отключить пункты системного меню, Панель Задач, изменить вид папок и т.д. Вирусописатели используют функцию системы в своих целях, создав целое семейство вредоносных программ, ограничивающих действия пользователя в операционной системе. Изменение системных настроек, таких как запрет запуска редактирования реестра, запрет запуска Диспетчера задач и т.д., уже давно используется разнообразными вредоносными программами. К этому виду программ-вымогателей можно отнести семейства Trojan-Ransom.Win32.Krotten и Trojan-Ransom.Win32.Taras. Как правило, после запуска такой программы на компьютере можно запустить только Интернет-браузер, чтобы можно было заплатить выкуп.

Способ лечения №1.

Удаление профиля заблокированного пользователя.

  • перезагрузите компьютер в Безопасном режиме
  • войдите в систему под другим пользователем, например, пользователем «Администратор»
  • в случаях некоторых программ-вымогателей (например, Trojan-Ransom.Win32.Taras.e) вы увидите, что возможности этого пользователя ничем не ограничены, потому что действие троянской программы распространяется только на того пользователя, который запустил эту вредоносную программу
  • скопируйте содержимое рабочего стола заблокированного пользователя и другие нужные файлы, чтобы не потерять важную информацию, а затем удалите профиль заблокированного пользователя
  • создайте нового пользователя и войдите в систему под новым аккаунтом.

Способ лечения №2.

Некоторые вымогатели (например, Trojan-Ransom.Win32.Krotten.kq) изменяют системные настройки, оказывающие эффект на всех пользователей в системе. Например, вредоносная программа запускается при старте Windows и применяет настройки для каждого нового пользователя, кроме того, запрещая вход в безопасном режиме Windows. В этом случае может помочь лечение с использованием загрузочного диска LiveCD.

  • скачайте архив с утилитой AVZ
  • распакуйте архив с утилитой с помощью программы-архиватора, например, WinZip
  • скопируйте утилиту на flash-носитель
  • загрузитесь с LiveCD. Как правило, вредоносные программы данного вида оставляют возможность запуска на заблокированном компьютере только нескольких приложений: Internet Explorer, Outlook Express, чтобы пользователь мог отправить письмо злоумышленникам
  • скопируйте содержимое каталога с утилитой AVZ на рабочий стол пользователя заблокированного компьютера
  • переименуйте исполняемый файл утилиты с AVZ.exe на iexplore.exe (название исполняемого файла Internet Explorer)
  • перезагрузите компьютер
  • войдите в систему под заблокированным пользователем
  • запустите с рабочего стола утилиту AVZ под именем iexplore.exe. Утилита запустится, т.к. программе Internet Explorer запуск разрешен.
  • в окне утилиты выберите пункт меню «Файл»→«Восстановление системы»
  • отметьте все пункты, кроме пунктов «Полное пересоздание настроек SPI (опасно)» и «Очистить ключи MountPoints & MountPoints2»
  • нажмите кнопку Выполнить отмеченные операции

  • по завершении операции восстановления, перезагрузите компьютер. Все ограничения будут сняты.

Шифрующие файлы пользователя

Последний вид программ-вымогателей незаметно шифрует данные пользователя. Позже пользователь обнаруживает, что не может получить доступ к нужным файлам. Условия выкупа «данных-заложников» либо помещаются в текстовый файл в каждом каталоге с зашифрованными файлами (например, в случае Trojan-Ransom.Win32.GPCode), либо размещаются на обоях рабочего стола (например, так поступает Trojan-Ransom.Win32.Encore). Обычно программы-вымогатели этого вида шифруют файлы избирательно – с расширениями doc, xls, txt и т.д., то есть те, которые потенциально могут содержать важную для пользователя информацию. Наиболее известное семейство таких программ Trojan-Ransom.Win32.Gpcode.

Способ лечения. Так как алгоритмы шифрования данных варьируются от программы к программе, универсальных способов лечения привести нельзя. Для расшифровки файлов как минимум надо иметь экземпляр троянской программы, хотя и этого может быть недостаточно. В случае заражения программой-вымогателем подобного вида, обратитесь в Службу технической поддержки производителя вашего антивируса.

Сервисы деактивации вымогателей

Ведущие отечественные антивирусные компании, «Лаборатория Касперского» и «Доктор Веб» представляют бесплатные сервисы для борьбы с программами, блокирующими компьютер и предлагающими отправить платную СМС на определенный номер.

Адреса сервисов:
Касперский: http://support.kaspersky.ru/viruses/deblocker
Др.Веб: http://www.drweb.com/unlocker/index

Текст новости практически полностью взят с сайта support.kaspersky.ru и размещен на нашем ресурсе для ознакомления с приемами борьбы с СМС-вымогателями. Огромное спасибо специалистам лаборатории за систематизацию сведений и выкладывание их в свободный доступ.

Обсуждение

прядунов михаилпрядунов михаил, 2010/02/05 16:55

здравствуйте такой вопрос если рабочий стол по средствам правки реестра разблокирован, но после перезагрузки через 3-5 минут начинают блокироваться программы, обозреватели, диспетчер задач и при их включении появляется окошко, что это ошибка приложения например 00000005 для выхода из приложения нажмите ОК.что делать в этом случае и где прописывается эта зараза

дима дима , 2010/04/20 06:31

Полужирный шрифтПолужирный шрифту меня заблокированы веб страницы яндекса, майла и требует активироват с поиощью смс с номером 3381 с текстом 571182 помогите пожалуйста!!!

AxeTAxeT, 2010/04/20 08:38

если советы статьи не помогут, можем предложить выезд мастера
звоните 607-123

Gla2gtjhdysKnOgeGla2gtjhdysKnOge, 2017/07/13 12:47

short term loans <a href=http://payday100loans3000online.com/>quick loans</a> quick loans <a href=«http://payday100loans3000online.com/»> loans for bad credit</a>

VickwerieIcectVickwerieIcect, 2017/07/27 15:53

progressive jackpot slots <a href=http://casino2017games24online.com/>hulk slot</a> progressive Pokies <a href=«http://casino2017games24online.com/»> iron man 2 slots</a>

VigianLaxVigianLax, 2019/01/10 23:25

online casino real money no deposit <a href=http://gamecasinosonline.com/>online casino</a> watch casino online free <a href=«http://gamecasinosonline.com/»>online casino no deposit bonus</a> online casino real money

ТатьянаТатьяна, 2010/05/15 16:36

здраствуйте,помогите пожалуйста.Заблокирован контакт и одноклассники якобы за спам-раасылку…просят отправить смс с текстом 1514444 на номер 3381.ПОМОГИТЕ…

AxeTAxeT, 2010/05/15 21:24

данная статья описывает конкретные действия по удалению данного типа вирусов
в случае если вы сами не можете справить, следует обратиться к специалистам нашей компании
телефон 607-123

ЕленаЕлена, 2010/05/24 15:44

Добрых суток. Пожалуйста, помогите - троян заблокировал выход в сеть и не дает работать антивирусным программам. Номер отправки сообщения - 3381, код - T70101752731.

В базах Доктора Веб этого кода нет вообще, код Касперского не подходит.

ЕленаЕлена, 2010/05/24 17:44

Я нашла нужный код, позвонив по телефону технической поддержки поставщика услуг: +7 800 100 7337 (федеральный, бесплатный)

код: 35B524852

АндрейАндрей, 2010/05/27 10:41

Здравствуйте, у меня подобная проблема на телефон 3381 отправить текст 1850081784238. В Вебе кода нет, В Касперском тоже помогите кто знает.

Ротанов Евгений АлексеевичРотанов Евгений Алексеевич, 2010/06/03 17:03

Помогите, на рабочем столе появился рекламный модуль! Требует отправить СМС с текстом 9536562 на номер 3381. Как быть?

ДинаДина, 2010/06/08 13:00

Помогите, на рабочем столе появился рекламный модуль! Требует отправить СМС с текстом 1840381348294,1830381014946,1810381962131 на номер 3381. Причем при каждой перезагрузки меняет текст.В безопасном режиме-тоже этот рекламный модуль.Нужны кода.Помогите!

AxeTAxeT, 2010/06/08 13:04

Разблокировщик от др.веба пробуйте

АртёмАртём, 2010/06/12 11:02

парни памагите плиз убрать банер текст 430222897 на номер9800Полужирный шрифт

AxeTAxeT, 2010/06/13 08:14

данная статья описывает конкретные действия по удалению данного типа вирусов
Разблокировщик от др.веба пробуйте
в случае если вы сами не можете справить, следует обратиться к специалистам нашей компании
телефон 607-123

АндрейАндрей, 2010/06/15 17:15

помогите пожалуста 1830511655749 на номер 3381 не могу найти а которые нашел он говорит не действительны

НадеждаНадежда, 2010/07/09 08:01

помогите убрат банер текст 495694969 на номер 5121

АндрейАндрей, 2010/08/31 20:16

отправь 400 руб на номер 89035741197. Помогите что делать?

AfinogenAfinogen, 2010/09/01 12:23

ну подумай. отправишь ты денег, а как они узнают кому разлочку слать?
либо прогоняй комп с лайф-сиди антивирусом, либо вызывай спецов из этой организации

татьянататьяна, 2010/09/09 15:36

Пополнить счёт абонента Билайн № 89636385801 на сумму 400 рублей. Помогите что делать?

AxeTAxeT, 2010/09/10 13:15

данная статья описывает конкретные действия по удалению данного типа вирусов
Разблокировщик от др.веба пробуйте
в случае если вы сами не можете справить, следует обратиться к специалистам нашей компании
телефон 607-123

владик владик , 2010/10/23 15:40

помогите пожалуйста не могу зайти вконтакт просят отправить смс с текстом 828034509 на номер 8385 помогите пожалуйста

Коля-новодубровскийКоля-новодубровский, 2010/12/26 11:52

А у меня 450р. требуют за код на № 9164976351, кто знает код???

Коля-новодубровскийКоля-новодубровский, 2010/12/26 14:00

А у меня 450р. требуют за код на № 9164976351, кто знает код???

ИльяИлья, 2010/12/31 13:00

Коля-новодубровский пПолужирный шрифтопробуйте следующие коды разблокировки:

DIGGER 11111 в каждое поле два раза подряд s1d0r 16342131 qwas12345 *115# qa321 DUNE 2 00000 (ввести два раза) KYRANDIA DTLP zx123456 39520104 12345 (ввести несколько раз) TDTHP DTDHP 775331144 73080554 339854 1234567890 (ввести 2 раза) 12345 (ввести 2 раза) qw12345 (т.к. сразу буквы ввести нельзя, то нужно для начала нажать Win+R) 99300278 80233361 1234567890 (ввести 6 раз) SORRY 403947563! $334327890$ $009264834$ 73699520 2-3 раза ввести 00000 63634213 svipper 720194320Q 77294738T GAME OVER MAN BREATHE DEEP 4929 hgDfj663d 775200 644332 986764 В поле для ввода кода набрать строку «нахуй», затем нажать на букву А в слове ВНИМАНИЕ WHATS MINE IS MINE 123456789 5590114 98673 THERE IS NO COW LEVEL 39955544 3 раза ввести 1234567890 (НЕ на цифровой клавиатуре) PEREBOR666 127877284 19630277 svipper777 243434333 7796024 HURRY UP GUYS DNSTUFF 77544357 1234567890 (ввести 3 раза подряд) 7543200 302807 9208841 76564545 rutraff 100200987 IRON FORGE SALLY SHEARS Ввести 29 симоволов ».» (точка) 398025 4343432 123, затем 12345, затем 12345 1234567890 (3 попытки ввода) 776554 752999 00000 BLACK SHEEP WALL IDSPISPOPD 3864018829

akop11akop11, 2011/01/03 14:20

не могу войти на дрювеб или касперский для поиска кода для разблокировки банера на номер 89165057650. почему не могу, уменя стоит аваст. помогите с кодом

ВладимирВладимир, 2011/01/23 19:36

Столкнулся с проблемой трояна блокировщика систеы \Trojan-Ransom\,для себя эту прблему решил так:создал загрузочный диск Acronis True Image Home 2011 14.0.0 Build 6597 Final,загрузился с него и создал образ системы.Буквально сегодня впоймал такого же трояна!!!Восстановил систему за 5-минут!!НО ЭТО ПОЛУМЕРА!!!МОЖЕТ ЗНАЕТ КТО ПРОГУ ЧТО-БЫ ОТЛАВЛИВАЛА ТАКУЮ ЗАРАЗУ??!!

Александрова Оксана Сергеевна Александрова Оксана Сергеевна , 2011/03/15 22:10

:-(

ЮрийЮрий, 2011/03/20 13:50

Просит отправить смс на номер 3116 текст 79067980260 500 или 84444 текст 79067980260 500. Помогите что делать?

AxeTAxeT, 2011/03/20 23:16

http://www.drweb.com/unlocker/index/?lng=ru посмотрите коды тут
но после разблокировки все равно проверьте диск на вирусы

ElenaElena, 2011/06/17 23:28

Здравствуйте! Вирус заблокировал систему, требует положить денег на счет 89884141405 (последние 2 цифры меняются иногда). Коды с сайта др. веб не подходят, через безопасный режим не загружается, изменение даты в биос тоже не помогает. Что делать?

AxeTAxeT, 2011/06/18 13:04

звоните нам 2-607-123. антивирусное лечение стоит 700р. и включает в себя комплекс мер. В том числе и ручную чистку реестра. Вирусы мутируют достаточно быстро к сожалению

Ваш комментарий. Вики-синтаксис разрешён:
 
blog/ikondrashov/2010/01/07_борьба_с_троянами-вымогателями.txt · Последние изменения: 2010/01/24 14:47 — Kondrashov Igor