Вымогатели - Форум студентів Хмельницького Політехнічного Коледжу

Вымогатели

[ (UA) ]

Дата: Неділя, 24.01.2010, 11:30 | Повідомлення # 1

Стать: Чоловік

Повідомлень: 307

Репутація: 4

Статус: Offline
Модер форума

Уже многие сталкивались, или хотя бы наслышаны о троянах, блокирующих компьютеры с требованием отправить платную sms для его разблокировки. Сегодня мы расмотрим способы борьбы с программами-вымогателями класса Trojan-Ransom.

Целью действий программ-вымогателей класса Trojan-Ransom является блокирование доступа пользователя к данным на компьютере или ограничение возможностей работы на компьютере и требование выкупа за возврат к исходному состоянию системы. Отличие вредоносных программ класса Trojan-Ransom заключается в их изначальной коммерческой направленности. Каждая программа этого поведения является инструментом для получения денег киберпреступниками.

Рассмотрим виды вредоносных программ класса Trojan-Ransom в порядке сложности борьбы с ними вручную, без антивируса. Избавиться от последствий запуска первых двух видов достаточно просто, третьего и четвертого – немного сложней, а устранение последствий работы программ, отнесенных к пятому виду, не всегда возможно.

Случай первый: Программы,ограничивающие доступ к веб-сайтам

Примером программ такого вида может быть вредоносная программа Trojan-Ransom.BAT.Agent.c , которая представляет собой BAT-файл размером 13 Кб. После запуска этого вредоносного ПО блокируется доступ пользователя ко многим веб-сайтам, в том числе, сайтам Лаборатории Касперского, поисковых средств Google, Яндекс, социальной сети «Одноклассники» и других (всего около 200 доменных имен). Введя адрес веб-сайта вместо ожидаемой начальной страницы, пользователь видит окно с требованием выкупа.

Для блокирования доступа к сайтам, троянская программа изменяет файл HOSTS:

В данном случае вымогательства, стоимость отправки SMS, как правило, указывается явно и составляет небольшую сумму, чтобы мотивировать пользователя заплатить. В ответ авторы обещают прислать код для разблокировки.

Если по каким-либо причинам антивирусное ПО не было установлено или вредоносное ПО этого типа не было удалено, то в качестве альтернативного способа лечения специалисты рекомендуется проделать следующие действия:

откройте файл HOSTS с помощью любого текстового редактора, например Notepad. В зависимости от используемой вами операционной системы этот файл располагается:
- для Windows-95/98/ME: в корневом каталоге диска, на котором установлена операционная система
- для Windows NT/2000/XP/Vista: в папке Windows\System32\drivers\etc.
самостоятельно исправьте данный файл, удалив все строчки кроме: 127.0.0.1 localhost
установите антивирусное ПО, если оно не было установлено ранее
обновите антивирусные базы
запустите проверку на вирусы

Случай второй: Программы, ограничивающие работу с обозревателем

В результате действий таких программ-вымогателей в браузере создается всплывающее окно без возможности закрытия, мешающее или полностью препятствующее работе в Интернете. Например:

Наиболее характерные представители этого подвида вымогателей – вредоносные программы семейств Trojan-Ransom.Win32.Hexzone и Trojan-Ransom.Win32.BHO.

Рекомендуется проделать следующие действия:

в меню обозревателя Internet Explorer откройте окно Управление надстройками из меню обозревателя «Сервис→ Надстройки→ Включение и отключение надстроек»
в окне Управление надстройками перечислены все установленные и активные надстройки, среди которых следует выявить вредоносную. Для этого обратите внимание на все надстройки, у которых в графе Издатель либо ничего не указано, либо есть строка (Не проверено) – их следует проверить в первую очередь.
в графе Файл проверьте расширения файлов таких подозрительных надстроек. Отключите подозрительные расширения, нажав кнопку Отключить.
перезапустите Internet Explorer и убедитесь, что всплывающее окно исчезло.

Если описанная процедура не помогла, то возможно, причина в другом расширении, и чтобы его выявить, последовательно отключите все расширения, проверяя результат.

Случай третий: Программы, блокирующие доступ к ресурсам операционной системы

Этот вид вредоносной программы класса Trojan-Ransom основан на блокировке доступа пользователя к ресурсам операционной системы. В этом случае пользователь не может завершить работу вредоносной программы или запустить любую другую программу, в том числе Диспетчер задач. Запустив такую троянскую программу, пользователь увидит на экране сообщение с требованием выкупа. Клавиатура и мышка будут продолжать работать, но на экране появится окно, которое невозможно свернуть, с которого невозможно переключиться (например, с помощью сочетания клавиш «Alt-Tab»). Остается только окно, расположенное поверх остальных, в котором сформулированы условия получения пароля для восстановления работоспособности системы.

Способ лечения №1. Для решения проблемы необходимо завершить вредоносный процесс, блокирующий экран. Если компьютер находится в сети, то можно подключиться к компьютеру с помощью средств удаленного администрирования. Приведем пример с использованием стандартного средства WMIC (Windows Management Instrumentation Command-line).

на удаленной машине запустите командную оболочку cmd.exe
выполните следующие команды:

wmic /NODE:<имя компьютера или сетевой адрес> (например «/NODE:192.168.10.128») /USER:<имя пользователя на зараженной машине> (например «/USER:Analyst»)
появится предложение ввести пароль пользователя на компьютере, заблокированном программой-вымогателем, который также надо ввести
далее выполните команду process
после этого будет выведен список запущенных процессов на удаленной машине
найдите в списке подозрительный процесс, который не относится к ОС и пользовательским приложениям, например, aers0997.exe
выполните следующую команду:

process where name=”<имя зловредного процесса>” delete (например, process where name=”aers0997.exe” delete)
после завершения вредоносного процесса, на зараженной машине исчезнет окно с требованием выкупа
установите антивирусное ПО и проведите проверку на вирусы.

Способ лечения №2. Другим вариантом функционирования вредоносных программ семейств Blocker является блокирование работы не сразу после запуска вредоносного ПО, а после перезагрузки компьютера. Если способ лечения №1 не помог, можно воспользоваться встроенной возможностью восстановления ОС Windows. Рассмотрим последовательность шагов на примере ОС Windows 7 с использованием установочного DVD-диска. Инсталляционный диск понадобится Windows в процессе работы.

загрузите компьютер в Безопасном режиме
Для того, чтобы перезагрузить компьютер в безопасном режиме, Вам необходимо сделать следующее:
- Нажмите меню Пуск
- Выберите пункт меню Выключение компьютера
- Выберите пункт меню Перезагрузить компьютер
- В самом начале загрузки компьютера при появлении текста на черном фоне нажимайте F8 до тех пор, пока не появится меню загрузки ОС Windows.
  
  На некоторых конфигурациях компьютеров клавиша F8 используется для выбора физического устройства, с которого должен начать загрузку компьютер. В этом случае необходимо выбрать жесткий диск, на котором установлена операционная система. После нажатия клавиши Enter необходимо сразу повторно нажимать клавишу F8 до тех пор, пока на экране не появится меню выбора вариантов загрузки ОС Windows.
- Выберите пункт Safe Mode (или Безопасный режим / Режим защиты от сбоев)
- Нажмите клавишу Enter
- Нажмите клавишу Enter еще раз для подтверждения выбора варианта загрузки ОС
- После завершения работы в этом режиме просто перезагрузите компьютер
  Для Windows 2000, XP, Vista, 7 необходимо знать пароль локального пользователя Administrator
в меню на экране выберите пункт «Repair Your Computer».
в процессе запуска вам будет предложено выбрать раскладку клавиатуры и ввести пароль пользователя Windows
в появившемся далее диалоговом окне выберите пункт «System Restore» («Восстановление системы»)
мастер восстановления предложит вам откатить систему к одной из точек восстановления. Выберите последнюю точку восстановления и дождитесь окончания работы мастера
по завершении вам будет предложено перегрузиться, после чего скорее всего ограничения будут сняты.

Следует отметить улучшенную защиту ОС Windows 7, в которой некоторые из вредоносных программ семейства Blocker можно обезвредить средствами «Диспетчера Задач Windows», завершив подозрительные запущенные процессы.

Способ лечения №3. Если предыдущий способ лечения не помог, можно воспользоваться методом ручного удаления вредоносной программы из безопасного режима.

Метод удаления вредоносного ПО вручную подходит только в том случае, если вы четко представляете последствия своих действий.

Для удаления вредоносной программы вручную проделайте следующие действия:

перезагрузите компьютер в Безопасном режиме
в меню выберите пункт «Safe mode with Command Prompt» (безопасный режим с запуском командной строки)
дождитесь загрузки системы в безопасном режиме
введите пароль для входа в систему (если это необходимо)
после ввода пароля появится окно командной строки. Из окна командной строки можно запускать любые утилиты и программы. В этом случае искать, где прописалась вредоносная программа придется
самостоятельно, например, это можно сделать с помощью бесплатной утилиты Autoruns.

Способ лечения №4. Если предыдущий способ лечения не помог или возможность загрузки Windows из безопасного режима отключена вредоносной программой, можно воспользоваться методом ручного удаления вредоносной программы с использованием загрузочного компакт-диска, так называемого LiveCD, например, ERD Commander. Вредоносные программы класса Trojan-Ransom обычно используют системный реестр Windows. Рассмотрим самый распространенный случай – изменение значения «Userinit» в ветке «HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon». При такой автозагрузке блокировка компьютера происходит сразу после ввода пароля при входе в систему.

Для разрешения возникшей ситуации проделайте следующие действия:

загрузите диск ERD Commander
зайдите в меню «Start»→«Administrative Tools»→«Registry Editor»
найдите ключ Userinit в ветке реестра «HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon»
восстановите значение на «C:\Windows\system32\userinit.exe,»

Будьте осторожны и внимательны при работе с системным реестром!
удалите вредоносный файл, который был прописан в «Userinit» (в случае, изображенном на рисунке, это файл: «C:\blocker.exe»)
загрузите компьютер в обычном режиме.

Случай четвертый: Программы, ограничивающие действия пользователя в операционной системе.

В операционных системах семейства Windows имеется гибкий механизм политик безопасности, позволяющий системным администраторам настраивать пользовательское окружение. Используя системный реестр, можно отключить пункты системного меню, Панель Задач, изменить вид папок и т.д. Вирусописатели используют функцию системы в своих целях, создав целое семейство вредоносных программ, ограничивающих действия пользователя в операционной системе. Изменение системных настроек, таких как запрет запуска редактирования реестра, запрет запуска Диспетчера задач и т.д., уже давно используется разнообразными вредоносными программами. К этому виду программ-вымогателей можно отнести семейства Trojan-Ransom.Win32.Krotten и Trojan-Ransom.Win32.Taras. Как правило, после запуска такой программы на компьютере можно запустить только Интернет-браузер, чтобы можно было заплатить выкуп.

Рассмотрим некоторые способы лечения.

Способ лечения №1. Удаление профиля заблокированного пользователя.

перезагрузите компьютер в Безопасном режиме
войдите в систему под другим пользователем, например, пользователем «Администратор»
в случаях некоторых программ-вымогателей (например, Trojan-Ransom.Win32.Taras.e) вы увидите, что возможности этого пользователя ничем не ограничены, потому что действие троянской программы распространяется только на того пользователя, который запустил эту вредоносную программу
скопируйте содержимое рабочего стола заблокированного пользователя и другие нужные файлы, чтобы не потерять важную информацию, а затем удалите профиль заблокированного пользователя
создайте нового пользователя и войдите в систему под новым аккаунтом.

Способ лечения №2. Некоторые вымогатели (например, Trojan-Ransom.Win32.Krotten.kq) изменяют системные настройки, оказывающие эффект на всех пользователей в системе. Например, вредоносная программа запускается при старте Windows и применяет настройки для каждого нового пользователя, кроме того, запрещая вход в безопасном режиме Windows. В этом случае может помочь лечение с использованием загрузочного диска LiveCD.

скачайте архив с утилитой AVZ
распакуйте архив с утилитой с помощью программы-архиватора, например, WinZip
скопируйте утилиту на flash-носитель
загрузитесь с LiveCD. Как правило, вредоносные программы данного вида оставляют возможность запуска на заблокированном компьютере только нескольких приложений: Internet Explorer, Outlook Express, чтобы пользователь мог отправить письмо злоумышленникам
скопируйте содержимое каталога с утилитой AVZ на рабочий стол пользователя заблокированного компьютера
переименуйте исполняемый файл утилиты с AVZ.exe на iexplore.exe (название исполняемого файла Internet Explorer)
перезагрузите компьютер
войдите в систему под заблокированным пользователем
запустите с рабочего стола утилиту AVZ под именем iexplore.exe. Утилита запустится, т.к. программе Internet Explorer запуск разрешен.
в окне утилиты выберите пункт меню «Файл»→«Восстановление системы»
отметьте все пункты, кроме пунктов "Полное пересоздание настроек SPI (опасно)" и "Очистить ключи MountPoints & MountPoints2"
нажмите кнопку Выполнить отмеченные операции
по завершении операции восстановления, перезагрузите компьютер. Все ограничения будут сняты.

Полезные ссылки:
Сервис деактивации вымогателей-блокеров Лаборатории Касперского:
http://support.kaspersky.ru/viruses/deblocker
Решение от компании «Доктор Веб»:
http://www.drweb.com/unlocker/

При подготовке статьи использованы материалы Лаборатории Касперского

КЕФИРЧЕГ СИЛА

Если вы плюете мне в спину, значит я впереди вас!

Повідомлення відредагував