Май 28

Троян-вымогатель: найти и уничтожить

На прошедшей неделе два раза боролся с трояном-вымогателем. Сначала он заблокировал компьютер шефа (см. вот такую милую картинку ниже), потом от трояна пострадал компьютер моей старшей дочки. Привожу методику лечения, которую можно использовать.

Для начала следует с другого компьютера попробовать найти код разблокировки на сайтах двух известных производителей антивирусных средств. Если не помогает, то подготовить компакт диск, согласно приведенной на сайте инструкции и, загрузившись с него, попытаться лечить.

Отмечу интересную особенность того трояна, с которым столкнулся. Подозреваю, что у дочки был тот же самый троян, судя по тому, как она его описывала. Лечить мне его не пришлось, так как в троян встроена функция самоудаления спустя двое суток после блокировки. Я понимаю, что логика тут такая. Человек платит деньги, так как того требует вымогатель, но мошенник не может выслать код заплатившему, так как не знает от кого пришли деньги на счет его сотового. Чтобы оплативший клиент (он же лох, если заплатил) не нервничал и не бежал с заявлением в полицию через некоторое время компьютер разблокируется сам, естественно, если этот компьютер не полечили до этого времени. Двое суток вполне оптимальное время, что успеть проплатиться, но еще не успеть родить ежика, не получив код разблокировки. Для самых ленивых – саморазблокировка, как бонус в подарок. К сожалению, мне не удалось получить код троянца, так как во время лечения он был потерян. Рабочая обстановка, когда шефу нужен компютер срочно не располагала к исследованию и вылавливанию. А половить на компьютере дочки не торопливо и с расстановкой я не успел.

Итак, правильная методика удаления зловреда


http://sms.kaspersky.ru/ Удаление баннера с рабочего стола, разблокировка Windows
Kaspersky WindowsUnlocker: Скачать дистрибутив http://rescuedisk.kaspersky-labs.com/rescuedisk/updatable/kav_rescue_10.iso
Разблокировка Windows (Trojan.Winlock) https://www.drweb.com/xperf/unlocker/
Если код подобрать не удалось, то вылечить систему можно с использованием Dr.Web LiveCD или Dr.Web LiveUSB (бесплатно).
Как вылечить систему при помощи загрузочного диска Dr.Web LiveCD?

1.Смотрим в BIOS, что проверяемый компьютер загружается с CD-привода, в котором находится диск Dr.Web LiveCD, если нет, то меняем настройки BIOS компьютера.
2.На незараженном компьютере с Интернет качаем образ диска по ссылке http://download.geo.drweb.com/pub/drweb/livecd/drweb-livecd-600.iso.
3. Вставляем чистый CD или DVD диск в привод. Если на компьютере не установлено никакого программного обеспечения для записи дисков, скачайте бесплатную программу Free ISO Burner по ссылке http://www.freeisoburner.com/FreeISOBurner.exe. Программа не требует установки и очень проста в использовании, к сожалению, как показал мой личный опыт, программа видит не все записывающие CD и DVD-ромы. Запускаем скачанный файл FreeISOBurner.exe. В появившемся окне нажимаем кнопку Open и выбираем ранее загруженный файл образа загрузочного диска (drweb-600-livecd.iso). В поле Drive указываем название привода и жмим кнопку Burn.
4 .Когда запись диска завершилась, переносим диск в привод зараженного ПК. При загрузке Dr.Web LiveCD на экран выводится диалоговое окно, в котором предоставляется возможность выбрать между обычным и текстовым (advanced mode) режимами запуска программы. Если выбран режим Dr.Web LiveCD (Default), то операционная система автоматически находит все имеющиеся разделы жесткого диска и, если может, то настраивает подключение к локальной сети. При загрузке Dr.Web LiveCD в графическом режиме автоматически запускается Центр управления Dr.Web для Linux.
5 После запуска Центра управления Dr.Web для Linux, нажимаем кнопку Сканер и далее выбираем (отмечаем) все диски и нажимаем на кнопку Start.
6. Ждем завершения сканирования и для всех найденных угроз применяем действие Лечить.

Такая относительно простая процедура позволяет избавиться от 80% блокираторов, оставшаяся часть, это те зловреды, которые пока не определяются программой. На сайте разработчиков лечилки есть инструкция, что делать в таком случае (как попробовать передать для анализа вредителя, чтобы новая версия программы могла лечить от него).
В обзоре я рассказал о проблеме, которая вызвана зловредным программным обеспечением, но бывает, что проблемы с компьютером вызваны неисправностями в аппаратной части. В этом случае, как правило, приходится обращаться в ремонт. Пользуясь случаем, рекомендую фирму, отлично выполняющую ремонт мониторов и другой сложной компьютерной техники.
На этом на сегодня все. В ближайшее время будет план моего нового курса по защите ex4+dll. Если успею, то подготовлю и опубликую уже завтра.

Поделитесь статьей со своими друзьями
Общайтесь со мной:
comments: Closed

2 Responses to “Троян-вымогатель: найти и уничтожить”

  1. Евгений Норка:

    Игорь, это, конечно, оч распространенная нечисть :) Проблема в том, что все вышеописанные действия для обычных пользователей слишком сложны… Вообще – есть не 80%, а 100% панацея – и гораздо проще реализуемый способ. Старое доброе «Восстановление системы» на контрольную точку. Но, нужна система Windows 7 и загрузка в Windows RE по F8. Ну и, естественно, фича должна быть включена.

  2. Евгений, предлагаемое Вами решение действительно отличное, но для большинства пользователей также слишком сложное. Пока все работает пользователь и не подумает что-то сделать дополнительно. Когда не работает, то разгребать приходится приглашенному человеку или тот, кто формально обслуживает технику, но кого лишний раз к компьютеру не допускают по соображениям конфиденциальности или пр.



Pings responses to this post