Статьи         http://kompmaster.inf.ua

Вирусы -вымогатели

В последнее время просторы Интернет захлеснула волна вредоносных программ с ярко выраженной коммерческой направленностью. На основании информации полученной с сайта http://av-school.ru/article/a-94.html здесь приведен перечень часто встречаемых типов вирусов вымогателей и наиболее эффективные методы борьбы с ними.
     Вредоносные программы- вымогатели (Trojan-Ransom) способны оказывать следующие действия:

Ограничение доступа к веб-сайтам

В этом случае для достижения подобного эффекта вредоносный файл изменяет файл HOSTS.
Способ лечения. Избавиться от последствий заражения вредоносной программы данного вида - проще всего. В файле HOSTS (%SYSTEM%\drivers\etc\hosts) следует удалить все строчки, оставив только одно соответствие: 127.0.0.1 localhost. Необходимо также удалить и файл вредоносной программы, который может вновь внести описанные изменения в файл HOSTS.

Ограничение работы с браузером

В случае программ-вымогателей в браузере создается окно без возможности закрытия, мешающее или полностью препятствующее работе в Интернете.
Для показа всплывающих окон ими применяется механизм надстроек BHO (browser helper object), расширяющий возможности Internet Explorer.

Лечение:
  1. Откройте окно "Управление надстройками" из диалогового меню "Сервис? Надстройки? Включение и отключение надстроек".
  2. В открывшемся диалоговом окне будут перечислены все установленные и активные надстройки, среди которых следует выявить вредоносную.
  3. Обратите внимание на все надстройки, у которых в колонке "Издатель" либо ничего не указано, либо есть строка "(Не проверено)" - их следует проверить в первую очередь.
  4. Отключите подозрительные расширения, установив им статус "Отключить" .
  5. Перезапустите Internet Explorer и убедитесь, что всплывающее окно исчезло.

Блокирование доступа к ресурсам операционной системы

Trojan-Ransom обычно используют системный реестр Windows. Рассмотрим самый распространенный случай - изменение значения "Userinit" в ветке "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon".
При такой автозагрузке блокировка компьютера происходит сразу при входе в систему.

Лечение:
  1. Загрузитесь с диска ERD Commander и зайдите в меню "Start"?"Administrative Tools"?"Registry Editor".
  2. Найдите ключ Userinit в ветке реестра "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon".
  3. Восстановите значение на "C:\Windows\system32\userinit.exe,"(если система установлена на диск С).
  4. Удалите вредоносный файл, который был прописан в "Userinit" (в случае, изображенном на рисунке этот файл: "C:\blocker.exe").
  5. Загрузите компьютер в обычном режиме.

Ограничение действий в операционной системе

Изменение системных настроек, таких как запрет запуска редактирования реестра, запрет запуска "Диспетчера задач" и т.д. Как правило, после запуска такой программы на компьютере можно запустить только Интернет-браузер, чтобы можно было заплатить выкуп.

Способ лечения №1. В случаях некоторых троянских программ-вымогателей помогает нехитрый прием с удалением профиля заблокированного пользователя.

  1. Загрузитесь в безопасном режиме.
  2. Войдите в систему под другим пользователем, например, пользователем "Администратор".
  3. В случаях некоторых программ-вымогателей (например, Trojan-Ransom.Win32.Taras.e) вы увидите, что возможности этого пользователя ничем не ограничены, потому что действие троянца распространяется только на того пользователя, который запустил эту вредоносную программу.
  4. Можно попытаться обнаружить вредоносную программу, чтобы удалить ее, хотя для этого могут потребоваться определенные навыки, т.к. нередко программы, действующие по этой схеме, действуют однократно - изменяют системные настройки, а после больше не запускаются и ничем себя не проявляют.
  5. Скопируйте содержимое рабочего стола заблокированного пользователя и другие нужные файлы, чтобы не потерять важную информацию, а затем удалите профиль заблокированного пользователя. Создайте нового пользователя и войдите в систему под новым аккаунтом.
  6. Восстановите из ранее созданных копий состояние "Рабочего стола", "Мои документы" и др.

Способ лечения №2. Некоторые вымогатели (например, Trojan-Ransom.Win32.Krotten.kq) изменяют системные настройки, оказывающие эффект на всех пользователей в системе. Например, вредоносная программа запускается при старте Windows и применяет настройки для каждого нового пользователя, кроме того, запрещая вход в безопасном режиме Windows. В этом случае может помочь вариант с использованием загрузочного LiveCD.

  1. Предварительно скачайте из Интернета утилиту AVZ - универсальный инструмент для борьбы с вредоносными программами и устранения последствий заражения. Скопируйте утилиту на flash-носитель.
  2. Загрузитесь с LiveCD. Как правило, вредоносные программы данного вида оставляют возможность запуска на заблокированном компьютере только нескольких приложений: Internet Explorer, Outlook Express, чтобы пользователь мог отправить письмо злоумышленникам. Воспользуемся этой возможностью для запуска лечащей утилиты вместо разрешенного приложения.
  3. Скопируйте содержимое каталога с утилитой AVZ на рабочий стол пользователя заблокированного компьютера. Например, для пользователя Analyst путь к рабочему столу в Windows XP может быть таким: C:\Documents and settings\Analyst\Desktop, а в Windows Vista/7 таким: C:\Users\Analyst\Desktop.
  4. Переименуйте исполняемый файл утилиты с AVZ.exe на iexplore.exe (название исполняемого файла Internet Explorer).
  5. Все готово, теперь перезагрузите компьютер и войдите в систему под заблокированным пользователем.
  6. Запустите с рабочего стола утилиту AVZ (iexplore.exe). Утилита запустится, т.к. приложению Internet Explorer запуск разрешен.
  7. В появившемся окне выберите пункт меню "Файл"?"Восстановление системы".
  8. Отметьте все пункты кроме последнего и нажмите кнопку "Выполнить отмеченные операции".
  9. По завершении операции восстановления, перезагрузите компьютер. Все ограничения будут сняты.

Шифрование файлов пользователя

Наконец, последний вид программ-вымогателей незаметно шифрует данные пользователя. Обычно программы-вымогатели этого вида шифруют файлы избирательно - с расширениями doc, xls, txt и т.д., т.е. которые потенциально могут содержать важную для пользователя информацию. Наиболее известное семейство таких программ Trojan-Ransom.Win32.Gpcode.


Так выглядят зашифрованные файлы

Позже пользователь обнаруживает, что не может получить доступ к нужным файлам.
Условия выкупа "данных-заложников" либо помещаются в текстовый файл в каждом каталоге с зашифрованными файлами (например, в случае Trojan-Ransom.Win32.GPCode), либо размещаются на обоях рабочего стола (например, так поступает Trojan-Ransom.Win32.Encore).

Вымогатели семейства Trojan-Ransom.Win32.Cryzip помещают файлы в ZIP-архивы с паролем. Оригинальную стратегию применяют вредоносные программы семейства Trojan-Ransom.Win32.Fixer. Представитель этих вымогателей сначала скрытно шифрует пользовательские файлы, а затем, при обращении к этим файлам пользователя, выдает сообщение о том, что файлы повреждены. Для восстановления испорченных файлов рекомендуется купить "специальную лечащую утилиту".

Способ лечения. Здесь нет универсальных способов лечения, т.к. алгоритмы шифрования данных варьируются от программы к программе. Для расшифровки файлов как минимум надо иметь экземпляр троянской программы, хотя и этого может быть недостаточно. В случае заражения программой-вымогателем подобного вида, имеет смысл обратиться в техническую поддержку антивирусной компании. Наконец, если позволяет квалификация, можно попытаться самостоятельно дизассемблировать вредоносную программу, выяснить алгоритм шифрования и написать программу дешифровки.

Из вышеописанного можно сделать вывод, что особо важные файлы нельзя хранить только на жестком диске компьютера, особенно если этот компьютер имеет доступ в Интернет. Обязательно необходимо резервировать важную информацию на съемных носителях.

Вверх