Десять способів позбутися троянів-вимагачів і розблокувати Windows

Доброго Вам настрою. Вітаю у блозі нашого сервісного центру. Сьогодні поговоримо про Вінлокери та як самостійно позбутись цієї зарази.

За допомогою троянів сімейства Winlock, відомих як «блокувальники Windows», у нас, рядових користувачів, вимагають гроші вже більше п’яти років. За цей період часу представники цього класу шкідливих програм серйозно еволюціювали. Нижче пропонуються способи самостійної боротьби з ними і даються рекомендації щодо запобігання зараження.

Поява трояна в системі зазвичай відбувається швидко і непомітно для користувача. Людина виконує звичний набір дій, переглядає веб-сторінки і не робить чогось особливого. У якийсь момент просто з’являється повноекранний банер, який не вдається прибрати звичайним способом.

Картинка може бути відверто порнографічною, або навпаки – оформлена максимально строго і грізно. Підсумок один: у повідомленні, розташованому поверх інших вікон, пропонують перерахувати вказану суму на такий-то номер або надіслати платне SMS-повідомлення. Часто воно доповнюється погрозами кримінального переслідування або знищення всіх даних, якщо користувач не поквапиться з оплатою.

Зрозуміло, платити здирникам не варто. Замість цього можна з’ясувати, якому оператору мобільного зв’язку належить вказаний номер, і повідомити його службі безпеки. В окремих випадках вам навіть можуть сказати код розблокування по телефону, але дуже на це не розраховуйте.

В основі метода лікування лежить розуміння тих змін, які троян вносить в систему. Залишається виявити їх і скасувати будь-яким зручним способом.

Голими руками

Для деяких троянів дійсно існує код розблокування. У рідкісних випадках вони навіть чесно видаляють себе повністю після введення вірного коду. Дізнатися його можна на відповідних розділах сайтів антивірусних компаній -дивіться приклади нижче.

Щоб зайти в спеціалізовані розділи сайтів «Доктор Веб»«Лабораторії Касперського» та інших розробників антивірусного ПО скористайтесь іншим комп’ютером або телефоном.

Після розблокування не радійте передчасно і не вимикайте комп’ютер. Скачайте будь-який безкоштовний антивірус і виконайте повну перевірку системи. Для цього скористайтеся, наприклад, утилітою Dr.Web CureIt! або Kaspersky Virus Removal Tool.

Простим коням – прості заходи

Перш ніж використовувати складні методи і спецсофт, спробуйте обійтися наявними засобами. Викличте диспетчер задач комбінацією клавіш {CTRL} + {ALT} + {DEL} або {CTRL} + {SHIFT} + {ESC}. Якщо вийшло, то ми маємо справу з примітивним трояном, боротьба з яким не доставить проблем. Знайдіть його в списку процесів і примусово завершіть.

Сторонній процес видає невиразне ім’я та відсутність опису. Якщо сумніваєтеся, просто по черзі вивантажуйте всі підозрілі процеси до зникнення банера.

Якщо диспетчер завдань не викликається, спробуйте запустити менеджер процесів через команду «Виконати», що запускається при натисканні клавіш {Win} + {R}. Ось як виглядає підозрілий процес в System Explorer.

Завантажити програму можна з іншого комп’ютера або навіть з телефону. Вона займає всього пару мегабайт. За посиланням «перевірити» відбувається пошук інформації про процес в онлайновій базі даних, але зазвичай і так все зрозуміло. Після закриття банера часто потрібно перезапустити «Провідник» (процес explorer.exe). У диспетчері завдань натисніть: Файл -> Нова задача (виконати) -> c: \ Windows \ explorer.exe.

Коли троян деактивовано на час сеансу, залишилося знайти його файли і видалити їх. Це можна зробити вручну або скористатися безкоштовним антивірусом.

Типове місце локалізації трояна – каталоги тимчасових файлів користувача, системи і браузера. Але потрібно виконати повну перевірку, так як копії можуть перебувати де завгодно, а біда не приходить одна. Переглянути повний список об’єктів автозапуску допоможе безкоштовна утиліта Autoruns.

Військова хитрість

Справитися з трояном на першому етапі допоможе особливість у поведінці деяких стандартних програм. При активному баннері трояна спробуйте запустити «наосліп» Блокнот або WordPad. Натисніть {WIN} + {R}, напишіть notepad і натисніть {ENTER}. Під банером відкриється новий текстовий документ. Наберіть будь-яку абракадабру і потім коротко натисніть кнопку виключення живлення на системному блоці. Всі процеси, включаючи троянський, почнуть завершуватися, але виключення комп’ютера не відбудеться.

Залишиться діалогове вікно «Зберегти зміни у файлі?». З цього моменту на час сеансу ми позбавилися від банера й можемо добити трояна до перезавантаження.

Стара школа

Більш просунуті версії троянів мають засоби протидії спробам позбутися від них. Вони блокують запуск диспетчера завдань, підміняють інші системні компоненти.

У цьому випадку перезавантажте комп’ютер і утримуйте клавішу {F8} в момент завантаження Windows. З’явиться вікно вибору способу завантаження. Нам потрібно «Безпечний режим з підтримкою командного рядка» (Safe Mode with Command Prompt). Після появи консолі пишемо explorer і натискаємо {ENTER} – запуститься провідник. Далі пишемо regedit, натискаємо {ENTER} і бачимо редактор реєстру. Тут можна знайти створені трояном записи і виявити місце, звідки відбувається його автозапуск.

Скоріш за все Ви побачите повні шляхи до файлів трояна в ключах Shell і Userinit в гілці

HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon

У «Shell» троян записується замість explorer.exe, а в «Userinit» прописується після коми. Копіюємо повне ім’я троянського файлу в буфер обміну з першого виявленого запису. У командному рядку пишемо del, робимо пробіл і викликаємо правою клавішею миші контекстне меню.

У ньому вибираємо команду «вставити» і натискаємо {ENTER}. Один файл трояна видалений, робимо теж саме для другого і наступних.

Потім виконуємо в реєстрі пошук по імені файлу трояна, уважно переглядаємо всі знайдені записи і видаляємо підозрілі. Очищаємо всі тимчасові папки та кошик. Навіть якщо все пройшло ідеально, не полінуйтеся потім виконати повну перевірку будь-яким антивірусом.

Якщо перестали працювати мережеві підключення, спробуйте відновити налаштування Windows Sockets API утилітою AVZ.

Операція під наркозом

У випадку серйозного зараження марно боротися з-під інфікованої системи. Логічніше завантажитися з чистої системи і спокійно вилікувати основну. Існують десятки способів зробити це, але один з найпростіших – скористатися безкоштовною утилітою Kaspersky WindowsUnlocker, що входить до складу Kaspersky Rescue Disk. Як і DrWeb LiveCD, він заснований на Gentoo Linux. Файл-образ можна записати на болванку або зробити з нього завантажувальний флешку утилітою Kaspersky USB Rescue Disk Maker.

Завбачливо робимо це завчасно, в іншому випадку звертаємось до друзів або йдемо у найближче інтернет-кафе.

При включенні зараженого комп’ютера утримуйте клавішу для входу в BIOS. Зазвичай це {DEL} або {F2}, відповідне запрошення BIOS відображається внизу екрану. Вставте Kaspersky Rescue Disk або завантажувальну флешку. У налаштуваннях завантаження (Boot options) виберіть першbv завантажувальним пристроєм привід оптичних дисків або флешку (іноді вона може відображатися в списку, що розкривається HDD). Збережіть зміни {F10} і вийдіть з BIOS.

Сучасні версії BIOS дозволяють вибирати завантажувальний пристрій на льоту, без входу в основні налаштування. Для цього потрібно натиснути {F12}, {F11} або поєднання клавіш – детальніше дивіться в повідомленні на екрані, в інструкції до материнської плати або ноутбука. Після перезавантаження почнеться запуск Kaspersky Rescue Disk.

Лікування можна виконати в автоматичному або ручному режимі – дивіться покрокову інструкцію на сайті розробника.

Боротьба на ранньому етапі

Окремий підклас складають трояни, що вражають головний завантажувальний запис (MBR). Вони з’являються до завантаження Windows, і в секціях автозапуску ви їх не знайдете.

Перший етап боротьби з ними це відновлення оригінального коду MBR. У разі XP для цього завантажуємось з настановного диска Windows, натисканням клавіші {R} викликаємо консоль відновлення і пишемо в ній команду fixmbr. Підтверджуємо її клавішею {Y} і виконуємо перезавантаження. Для Windows 7 аналогічна утиліта називається BOOTREC.EXE, а команда fixmbr передається у вигляді параметра:

Bootrec.exe / FixMbr

Після цих маніпуляцій система знову завантажується. Можна приступати до пошуку копій трояна і засобів його видалення будь-яким антивірусом.

У хрестовий похід з хрестовою викруткою

На малопотужних комп’ютерах, а особливо ноутбуках, боротьба з троянами може затягнутися, оскільки завантаження з зовнішніх пристроїв ускладненно, а перевірка виконується дуже довго. У таких випадках просто витягніть заражений вінчестер і підключіть його для лікування до іншого комп’ютера. Для цього зручніше скористатися боксами з інтерфейсом eSATA або USB 3.0/2.0.

Щоб не розносити заразу, попередньо відключаємо на «лікувальному» комп’ютері автозапуск з HDD (та й з інших типів носіїв не завадило б). Зробити це найзручніше безкоштовною утилітою AVZ, але саму перевірку краще виконувати чимось іншим. Зайдіть в меню «Файл», виберіть «Майстер пошуку і усунення проблем». Позначте «Системні проблеми», «Все» та натисніть «Пуск». Після цього позначте пункт «Дозволено автозапуск з HDD» і натисніть «Виправити зазначені проблеми».

Також перед підключенням інфікованого вінчестера варто переконатися, що на комп’ютері запущено резидентний антивірусний моніторинг з адекватними настройками і є свіжі бази.

Якщо розділи зовнішнього жорсткого диска не видно, зайдіть в “Керування дисками”. Для цього у вікні «Пуск» -> «Виконати» напишіть diskmgmt.msc і натисніть {ENTER}. Розділам зовнішнього жорсткого диска повинні бути призначені літери. Їх можна додати вручну командою «змінити букву диска …». Після цього перевірте зовнішній вінчестер.

Для запобігання повторного зараження слід встановити будь-який антивірус з компонентом моніторингу в режимі реального часу і дотримуватися загальних правил безпеки:

  • намагайтеся працювати під обліковим записом з обмеженими правами;
  • користуйтеся альтернативними браузерами – більшість заражень відбувається через Internet Explorer;
  • відключайте Java-скрипти на невідомих сайтах;
  • відключіть автозапуск зі змінних носіїв;
  • встановлюйте програми, доповнення та поновлення тільки з офіційних сайтів розробників;
  • завжди звертайте увагу на те, куди насправді веде пропоноване посилання;
  • блокуйте небажані спливаючі вікна за допомогою доповнень для браузера або окремих програм;
  • своєчасно встановлюйте оновлення браузерів, загальних і системних компонентів;
  • виділіть під систему окремий дисковий розділ, а для користувача файли зберігайте на іншому.

У статті наведені лише основні методи і загальні відомості. Якщо вас зацікавила тема, відвідайте сайт проекту GreenFlash. На сторінках форуму ви знайдете безліч цікавих рішень і поради щодо створення Мультизагрузочної флешки на всі випадки життя.

Поширення троянів Winlock не обмежена Україною і ближнім зарубіжжям. Їх модифікації існують практично на всіх мовах, включаючи арабську. Крім Windows, заражати подібними троянами намагаються і Mac OS X. Користувачам Linux не дано відчути радість від перемоги над підступним ворогом. Архітектура даного сімейства операційних систем не дозволяє написати скільки-небудь ефективний і універсальний X-lock. Втім, «пограти в лікаря» можна і на віртуальній машині з гостьової ОС Windows.

Share this post: