Трояны-блокировщики Windows: рецепты лечения

Продолжаем бороться с блокировщиками Windows, далее мы попытаемся дать несколько практических советов по борьбе с этим неприятным видом «троянов». Для начала напомним, что же такое троян блокировщик Windows. Итак, трояны («троянские кони») семейства Winlock, известные как «блокировщики Windows», семейство вредоносных программ, блокирующих или затрудняющих работу с операционной системой, и требующих перечисление денег злоумышленникам за восстановление работоспособности компьютера, частный случай Ransomware (программ-вымогателей). Впервые появились в конце 2007 года. Широкое распространение вирусы-вымогатели получили зимой 2009—2010 годов, по некоторым данным оказались заражены миллионы компьютеров, преимущественно среди пользователей русскоязычного Интернета. Второй всплеск активности такого вредоносного ПО пришёлся на май 2010 года.

Ранее для перевода денег обычно использовались короткие премиум-номера, в настоящее время подобные программы также могут требовать перечисления денег на электронные кошельки (например, «Яндекс.Деньги», WebMoney), либо на баланс мобильного номера. Необходимость перевести деньги часто объясняется тем, что «Вы получили временный бесплатный доступ к сайту для взрослых, необходимо оплатить продолжение его использования», либо тем, что «на Вашем компьютере обнаружена нелицензионная копия Windows». Также возможен вариант «за просмотр и копирование и тиражирование видео с насилием над детьми и педофилии». Пути распространения Trojan.Winlock и подобных вирусов разнообразны, в значительной части случаев инфицирование происходит через уязвимости браузеров при просмотре заражённых сайтов, либо при использовании мошенниками специальных «связок», позволяющих заражать только необходимые компьютеры также через браузер.

Пример баннера, особенно пугает неопытных пользователей

К настоящему времени представители этого класса вредоносных программ серьёзно эволюционировали и стали одной из самых частых проблем. Появление трояна в системе обычно происходит быстро и незаметно для пользователя. Человек выполняет привычный набор действий, просматривает веб-страницы и не делает чего-то особенного. В какой-то момент просто появляется полноэкранный баннер, который не удаётся убрать обычным способом. Картинка может быть откровенно порнографической, или наоборот – оформлена максимально строго и грозно. Итог один: в сообщении, расположенном поверх других окон, требуется перечислить указанную сумму на некий кошелек WebMoney или отправить платное SMS-сообщение. Часто оно дополняется угрозами уголовного преследования или уничтожения всех данных, если пользователь не поторопится с оплатой.

1. Самые общие рекомендации

Итак, это были общие рекомендации, а теперь перейдем к более детальному рассмотрению проблемы. Методики лечения основаны на понимании тех изменений, которые троян вносит в систему. Остаётся выявить их и отменить любым удобным способом. Если вы являетесь представителем бизнеса или столкнулись с подобной проблемой на офисной машине, рекомендуем обратиться к профессионалам для обслуживания компьютеров в офисе. И от троянов вылечат, и принтерр/МФУ настроят и другие проблемы решат.

2. Надеемся на честность вирусмейкеров

Для некоторых троянов действительно существует код разблокировки. В редких случаях они даже честно удаляют себя полностью после ввода верного кода. Узнать его можно на соответствующих разделах сайтов антивирусных компаний – смотрите примеры ниже. Но, как ни крути, такой метод работает все реже и реже — в практике Вашего покорного слуги разблокировать Windows с помощью кода разблокировки получается примерно один раз десяти-двенадцати заражений.

Сервис разблокировки Windows компании «Доктор Веб»

Сервис разблокировки Windows компании «Лаборатория Касперского»

Зайти в специализированные разделы сайтов «Доктор Веб», «Лаборатории Касперского» и других разработчиков антивирусного ПО можно с другого компьютера или телефона.

После разблокировки не радуйтесь преждевременно и не выключайте компьютер. Скачайте любой бесплатный антивирус и выполните полную проверку системы. Для этого воспользуйтесь, например, утилитой Dr.Web CureIt!, Eset NOD или Kaspersky Virus Removal Tool.

3. Если б я имел коня.

Прежде чем использовать сложные методы и спецсофт, попробуйте обойтись имеющимися средствами. Вызовите диспетчер задач комбинацией клавиш CTRL+ALT+DEL или CTRL+SHIFT+ESC. Если получилось, то мы имеем дело с примитивным трояном, борьба с которым не доставит проблем. Найдите его в списке процессов и принудительно завершите.

Подозрительный процесс в диспетчере задач

Посторонний процесс выдаёт невнятное имя и отсутствие описания. Если сомневаетесь, просто поочерёдно выгружайте все подозрительные до исчезновения баннера.

Если диспетчер задач не вызывается, попробуйте использовать сторонний менеджер процессов через команду «Выполнить», запускаемую нажатием клавиш Win+R. Вот как выглядит подозрительный процесс в System Explorer. Конечно, стоит сказать, что для этого нужен предустановленный сторонний менеджер процессов.

Расширенный менеджер запущенных процессов System Explorer

Скачать программу можно с другого компьютера или даже с телефона. Она занимает всего пару мегабайт. По ссылке «проверить» происходит поиск информации о процессе в онлайновой базе данных, но обычно и так всё понятно. После закрытия баннера часто требуется перезапустить «Проводник» (процесс explorer.exe). В диспетчере задач нажмите:

Когда троян деактивирован на время сеанса, осталось найти его файлы и удалить их. Это можно сделать вручную или воспользоваться бесплатным антивирусом.

Типичное место локализации трояна – каталоги временных файлов пользователя, «Мои документы», системные каталоги (WINDOWS, system32 etc) и каталоги браузеров. Целесообразно всё же выполнять полную проверку, так как копии могут находиться где угодно, а беда не приходит одна. Посмотреть полный список объектов автозапуска поможет бесплатная утилита Autoruns. Также можно использовать очень популярный CCleaner.

AutoRuns покажет все объекты автозапуска (на скриншоте видна лишь малая часть)

4. Военная хитрость

Справиться с трояном на первом этапе поможет особенность в поведении некоторых стандартных программ. При виде баннера попробуйте запустить «вслепую» Блокнот или WordPad. Нажмите WIN+R, напишите notepad и нажмите ENTER. Под баннером откроется новый текстовый документ. Наберите любую абракадабру и затем коротко нажмите кнопку выключения питания на системном блоке. Все процессы, включая троянский, начнут завершаться, но выключения компьютера не произойдёт.

Блокнот — коня на скаку остановит и доступ админу вернёт!

Останется диалоговое окно «Сохранить изменения в файле?». С этого момента на время сеанса мы избавились от баннера и можем добить трояна до перезагрузки. Еще раз повторюсь — это относится к разряду довольно примитивных троянов, такой способ помогает в трети случаев.

5. Если б конь имел меня.

Более продвинутые версии троянов имеют средства противодействия попыткам избавиться от них. Они блокируют запуск диспетчера задач, подменяют другие системные компоненты. В этом случае перезагрузите компьютер и удерживайте клавишу F8 в момент загрузки Windows. Появится окно выбора способа загрузки. Нам требуется «Безопасный режим с поддержкой командной строки» (Safe Mode with Command Prompt). После появления консоли пишем explorer и нажимаем ENTER – запустится проводник. Далее пишем regedit, нажимаем ENTER и видим редактор реестра. Здесь можно найти созданные трояном записи и обнаружить место, откуда происходит его автозапуск.

Ключи реестра, часто модифицируемые троянами семейства Winlock

Чаще всего вы увидите полные пути к файлам трояна в ключах Shell и Userinit в ветке

В «Shell» троян записывается вместо explorer.exe, а в «Userinit» указывается после запятой. Подробнее — тут. Копируем полное имя троянского файла в буфер обмена из первой обнаруженной записи. В командной строке пишем del, делаем пробел и вызываем правой клавишей мыши контекстное меню.

Удаление трояна из консоли (полное имя файла взято из реестра и скопировано в буфер обмена)

В нём выбираем команду «вставить» и нажимаем ENTER. Один файл трояна удалён, делаем тоже самое для второго и последующих.

Удаление трояна из консоли — файл находился во временной папке.

Затем выполняем в реестре поиск по имени файла трояна, внимательно просматриваем все найденные записи и удаляем подозрительные. Очищаем все временные папки и корзину. Даже если всё прошло идеально, не поленитесь затем выполнить полную проверку любым антивирусом.

Если из-за трояна перестали работать сетевые подключения, попробуйте восстановить настройки Windows Sockets API утилитой AVZ.

Восстановление сетевых сервисов с помощью AVZ

6. Доктор, Вы меня вылечите.

Со случаями серьёзного заражения бесполезно бороться из-под инфицированной системы. Логичнее загрузиться с заведомо чистой и спокойно вылечить основную. Существуют десятки способов сделать это, но один из самых простых – воспользоваться бесплатной утилитой Kaspersky WindowsUnlocker, входящей в состав Kaspersky Rescue Disk. Как и DrWeb LiveCD, он основан на Gentoo Linux. Файл-образ можно записать на болванку или сделать из него загрузочную флэшку утилитой Kaspersky USB Rescue Disk Maker. Также можно использовать ERD Commander или Windows XPE, такой пример будет рассмотрен позже.

Создание загрузочной флэшки из образа Kaspersky Rescue Disk

Предусмотрительные пользователи делают это заблаговременно, а остальные обращаются к друзьям или идут в ближайшее интернет-кафе уже во время заражения.

При включении заражённого компьютера удерживайте клавишу для входа в BIOS. Обычно это DEL или F2, а соответствующее приглашение отображается внизу экрана. Вставьте Kaspersky Rescue Disk или загрузочную флэшку. В настройках загрузки (Boot options) выберите первым загрузочным устройством привод оптических дисков или флэшку (иногда она может отображаться в раскрываемом списке HDD). Сохраните изменения F10 и выйдите из BIOS.

Современные версии BIOS позволяют выбирать загрузочное устройство на лету, без входа в основные настройки. Для этого требуется нажать F12, F11 либо сочетание клавиш – подробнее смотрите в сообщении на экране, в инструкции к материнской плате или ноутбуку. После перезагрузки начнётся запуск Kaspersky Rescue Disk.

Загрузка Kaspersky Rescue Disk

Kaspersky Rescue Disk в графическом режиме

Доступен русский язык, а лечение можно выполнить в автоматическом или ручном режиме – смотрите пошаговую инструкцию на сайте разработчика.

7. Русский вирус влезет и BIOS

Отдельный подкласс составляют трояны, поражающие главную загрузочную запись (MBR). Они появляются до загрузки Windows, и в секциях автозапуска вы их не найдёте.

Троян семейства Winlock, заразивший MBR

Первый этап борьбы с ними заключается в восстановлении исходного кода MBR. В случае XP для этого загружаемся с установочного диска Windows, нажатием клавиши вызываем консоль восстановления и пишем в ней команду fixmbr. Подтверждаем её клавишей и выполняем перезагрузку. Для Windows 7 аналогичная утилита называется BOOTREC.EXE, а команда fixmbr передаётся в виде параметра:

После этих манипуляций система вновь загружается. Можно приступать к поиску копий трояна и средств его доставки любым антивирусом.

8. Сестра, стакан кефиру и скальпель, будем вскрывать больного!

На маломощных компьютерах и особенно ноутбуках борьба с троянами может затянуться, так как загрузка с внешних устройств затруднена, а проверка выполняется очень долго. В таких случаях просто извлеките заражённый винчестер и подключите его для лечения к другому компьютеру. Для этого удобнее воспользоваться боксами с интерфейсом eSATA или USB 3.0/2.0.

Антивирусная проверка жёстких дисков на другом компьютере

Чтобы не разносить заразу, предварительно отключаем на «лечащем» компьютере автозапуск с HDD (да и с других типов носителей не мешало бы). Сделать это удобнее всего бесплатной утилитой AVZ, но саму проверку лучше выполнять чем-то другим. Зайдите в меню «Файл», выберите «Мастер поиска и устранения проблем». Отметьте «Системные проблемы», «Все» и нажмите «Пуск». После этого отметьте пункт «Разрешён автозапуск с HDD» и нажмите «Исправить отмеченные проблемы».

Отключение автозапуска с помощью AVZ

Также перед подключением заражённого винчестера стоит убедиться, что на компьютере запущен резидентный антивирусный мониторинг с адекватными настройками и есть свежие базы.

Советы по предотвращению заражения троянами-вымогателями

Ваш компьютер защищен от атак программ-вымогателей? Ransomware, или трояны-вымогатели, — это разновидность зловредных программ, используемых киберпреступниками для вымогания денег: они либо шифрую ценные файлы на вашем компьютере, либо блокируют доступ к устройству, а затем требуют выкуп за расшифровку файлов или разблокировку компьютера.

В этой статье мы расскажем о способах защиты вашего компьютера и данных от атак вымогателей.

Мы ответим на вопросы:

• Как предотвратить заражение вашего устройства троянами-вымогателями
• Что делать, если вы стали жертвой программы-вымогателя
• Как удалить программу-вымогатель
• Каковы самые известные трояны-вымогатели-2018
• Как защититься от вымогателя

Как предотвратить заражение вашего устройства троянами-вымогателями

В этом разделе мы поговорим о том, как предотвратить заражение вымогателями, начиная с того, что нельзя кликать по неизвестным ссылками, заканчивая тем, что нельзя использовать неопознанные USB-устройства. Читайте далее, чтоб узнать больше о защите от программ-вымогателей.

Не проходите по непроверенным ссылкам

Не нажимайте на ссылки в спамовых сообщениях или на незнакомых сайтах. Загрузка, которая начинается при нажатии на вредоносную ссылку, является одним из способов заражения вашего компьютера.

Как только вымогатель оказывается на вашем компьютере, он зашифровывает ваши данные или блокирует операционную систему. Затем троян требует выкуп за восстановление ваших данных или разблокирование устройства. Заплатить — самое простое решение. Именно это и является целью создателей программ-вымогателей. Однако никаких гарантий восстановления доступа к вашему устройству или вашим данным нет.

Не открывайте электронные вложения, которым вы не доверяете

Программы-вымогатели могут проникать в ваш компьютер через вложения электронной почты.

Не открывайте вложения электронной почты, если отправитель письма вам не известен. Внимательно проверяйте, от кого пришло сообщение и правильно ли указан адрес электронной почты. Прежде чем открыть вложение, обязательно оцените, выглядит ли оно достоверным. Не уверены — обратитесь к человеку, который, как вы думаете, отправил сообщение.

Никогда не открывайте вложения, которые просят вас включить макросы для их просмотра. Если вложение заражено, при его открытии запускается вредоносный макрос, позволяющий вредоносной программе получить контроль над вашим компьютером.

Скачивайте приложения только с доверенных сайтов

Чтобы уменьшить риск загрузки программ-вымогателей, не скачивайте программное обеспечение или мультимедийные файлы с неизвестных веб-сайтов.

Загружайте приложения только с проверенных ресурсов. Большинство сайтов с хорошей репутацией имеют маркеры доверия, которые легко распознать — «https» (а не «http») в строке поиска, символ щита или замка в адресной строке.

Приложения на телефон также скачивайте только из надежных источников. Например, владельцам смартфонов Android стоит пользоваться Google Play Store, iPhone — App Store.

Не предоставляйте личные данные

Игнорируйте телефонные звонки, смс или электронные письма от неизвестных лиц с просьбой предоставить личную информацию.

Киберпреступники, планирующие атаку с помощью троянов-вымогателей, могут попытаться получить ваши личные данные заранее и затем использовать эту информацию в фишинговых письмах, адресованным именно вам.

Цель состоит в том, чтобы спровоцировать вас открыть зараженное вложение или ссылку. Не позволяйте злоумышленникам получить данные, которые позволят им быть убедительными и заманить вас в ловушку.

Если кто-то от имени компании просит предоставить вашу личную информацию, проигнорируйте запрос и самостоятельно обратитесь напрямую в компанию, чтобы убедиться в достоверности запроса.

Используйте программы для проверки и фильтрации контента почтового сервера

Использование программы для проверки и фильтрации контента почтового сервера – надежный способ защиты от тронов-вымогателей.

Эти программы позволяют снизить вероятность попадания в ваш почтовый ящик спама, содержащего зараженные вредоносным ПО вложения или ссылки.

Не пользуйтесь чужими USB-устройствами

Никогда не вставляйте неизвестные USB-флэшки или другие съемные устройства хранения данных в ваш компьютер.

Возможно, киберпреступники заранее заразили это устройство программой-вымогателем и специально оставили его в публичном месте в расчёте на ваше любопытство.

Регулярно обновляйте ПО и операционную систему на ваших устройствах

Регулярное обновление программного обеспечения и операционной системы поможет защитить вас от вредоносного ПО. Новейшие обновления безопасности значительно затрудняют использование злоумышленниками уязвимостей в вашем программном обеспечении.

При подключении через публичный Wi-Fi пользуйтесь VPN-соединением

Осторожность при подключении через публичный Wi-Fi — разумная мера защиты от троянов-вымогателей.

Подключение по Wi-Fi в общественных местах делает вашу компьютерную систему более уязвимой для атак. Для обеспечения безопасности ваших устройств не используйте публичный Wi-Fi для проведения конфиденциальных транзакций или используйте защищенное VPN-соединение.

Установите защитное ПО

С ростом киберпреступности защита устройств от вымогателей становится как никогда более важной. В этом может помочь комплексное решение класса internet security, такое как Kaspersky Internet Security.

Наше программное обеспечение блокирует зараженные файлы в момент загрузки или передачи контента, предотвращая заражение вашего устройства троянами-вымогателями и оставляя киберпреступников ни с чем.

Регулярно обновляйте защитное ПО

Чтобы обеспечить максимальный уровень безопасности, защитное ПО необходимо регулярно обновлять. Каждый пакет обновлений включает в себя новейшие обновления для системы безопасности, которые позволяют предотвратить проникновение троянов-вымогателей на устройства пользователей.

Делайте резервные копии своих данных

В случае атаки вымогателей ваши данные не пострадают, если вы будете регулярно создавать их резервные копии. Скопируйте файлы на внешний жесткий диск, но не оставляйте его подключенным к компьютеру, когда он не используется. Если жесткий диск окажется подключенным в момент атаки, вымогатели зашифруют и эти данные.

Есть еще удаленные хранилища данных, которые позволяют вам вернуться к предыдущим версиям ваших файлов. Поэтому, даже если программа-шифровальщик зашифрует их, вы сможете вернуться к незашифрованной версии через облачное хранилище.

Что делать, если стали жертвой атаки троянов-вымогателей

Теперь вы знаете, как предотвратить заражение троянами-вымогателями. А как быть, если вы уже стали их жертвой?

В этом случае важно знать, что делать. Вот несколько простых шагов, которые помогут минимизировать ущерб.

Изолируйте свой компьютер

Первое, что нужно сделать, при атаке программы-вымогателя — отключиться от любых сетей и Интернета.

Это позволит изолировать ваш компьютер и свести к минимуму вероятность распространения вируса-вымогателя на другие устройства.

Не платите выкуп

Не платите выкуп, который требуют киберпреступниками.

Как и в реальной ситуации с заложниками, лучше не вести переговоры с киберпреступниками. Выплата выкупа не гарантирует возврат ваших данных: в конце концов, эти люди уже манипулировали вашим доверием.

Сдаться и заплатить, значит потворствовать таким преступлениям. Чем больше людей платят выкуп, тем большее распространение получают вымогатели.

Приступайте к удалению программы-вымогателя

Далее мы расскажем о тех шагах, которые нужно предпринять для удаления программы-вымогателя с вашего устройства.

Инструкция по удалению программы-вымогателя

Выполните следующие шаги по удалению троянской программы-вымогателя и восстановлению системы после атаки зловреда.

Шаг 1. Отключите компьютер от Интернета

Прежде всего, отключитесь от Интернета, чтобы остановить распространение вымогателя на другие устройства.

Шаг 2. Выполните проверку с помощью защитного решения класса internet security

Выполните проверку системы с помощью установленного у вас защитного решения класса internet security, которое поможет вам выявить любые угрозы, а также удалить или поместить в карантин сомнительные файлы, если они будут обнаружены.

Шаг 3. Используйте утилиту для расшифровки зашифрованных файлов

Если ваш компьютер заражен вымогателем-шифровальщиком, вам потребуется программа для расшифровки ваших файлов и данных, чтобы вы могли снова получить к ним доступ.

Эксперты «Лаборатории Касперского» постоянно исследуют новейшие типы троянцев- вымогателей и создают программы для расшифровки, способные противодействовать каждой новой угрозе.

Шаг 4. Восстановите файлы из резервной копии

Если вы создали резервную копию своих данных на внешнем носителе или в облачном хранилище, восстановите чистую резервную копию всех ваших файлов на вашем компьютере. Это позволит вам вернуться к версии программы, которая не содержит вредоносных программ.

Если у вас нет резервной копии, очистить компьютер и восстановить файлы будет намного сложнее. Чтобы этого не произошло, мы рекомендуем регулярно создавать резервные копии ваших данных. Если вы забываете о необходимости сделать это, воспользуйтесь услугами автоматического создания резервных копий в облачном хранилище или настройте напоминания в календаре.

История атак программ-вымогателей

В этой статье мы дали вам советы по предотвращению заражения троянами-вымогателями, рассказали, как бороться с атаками этих зловредов, и объяснили, как просто и эффективно их удалить.

Теперь давайте рассмотрим три примера программ-вымогателей. Понимание того, как они распространялись, поможет нам в полной мере оценить важность защиты от них.

Атака компании Wolverine

В сентябре 2018 года атаке вымогателей подверглась Wolverine Solutions Group (поставщик для организаций здравоохранения). Вредоносная программа зашифровала файлы компании, в результате чего работники не смогли получить к ним доступ.

К счастью, эксперты-аналитики вредоносного ПО смогли расшифровать и восстановить их 3 октября. Однако в результате атаки было скомпрометировано большое количество данных о пациентах.

Имена, адреса, медицинские данные и другая личная информация, возможно, попали в руки киберпреступников, которые осуществляли атаку.

Ryuk — это атака троянов-вымогателей, начавшаяся в августе 2018 года. В отличие от других атак ей удавалось шифровать сетевые диски.

Хакерам удалось заблокировать функцию восстановления системы Windows, и пользователи не смогли восстановить свои системы после атаки, если у них не было резервных копий данных на внешних носителях.

GandCrab

GandCrab — это печально знаменитая разрушительная атака вымогателей, которая произошла в январе 2018 года. У нее было много версий, поэтому она быстро распространялась.

Полиция тесно сотрудничала с провайдерами интернет-безопасности в создании программы для расшифровки файлов и данных, чтобы как можно быстрее справиться с последствиями этой атаки.

Хотите обезопасить свои данные от возможности стать жертвой программы-вымогателя? Защитите свой компьютер с помощью Kaspersky Internet Security.