В связи с повальными обращениями пользователей Ялты за помощью и жалобами на trojan.winlock и его модификациями, решил осветить данную тему на этом ресурсе. Итак, я думаю многим будет интересно как это появилось и с чего все началось.
Как ни банально но началось не с вируса а с простенькой программы-шутки, которая прописывалась в реестр, давала ссылку на свой файлик с банером, который и запускался при старте Windows. Во общем текст банальный, отправь СМС получишь код… Удалялось это довольно просто, нужно было просто поправить реестр и удалить сам файл. Но, таки процесс пошел и этим заинтересовались настоящие вирусописатели, денежки то неискушенный пользователь отсылал.
И сказал вирусописатель вирусам: «Плодитесь и размножайтесь!..». (Компьютерные байки)
Вирусописатели усовершенствовали функционал блокеров, добавив в них червь-технологию: теперь они распространяются через сетевые диски и сменные носители. Так, возможна ситуация, когда пользователь скачал из Интернета игрушку, видеокодек или электронную книгу, обновил флеш плеер под которые сегодня часто маскируется зловред, «подцепил» вирус и передал его другу вместе с файлом на флэшке. Выглядят заставки блокеров приблизительно так:
На самом деле вариантов довольно много ( в Арсенале мы насмотрелись такого ….). Некоторые блокеры маскируются под антивирусы и сделав вид что как-бы что то просканировали в вашем компьютере просят денежку… Теперь разблокировать компьютер или ноутбук стало намного сложнее, это уже не шутка а реально вирус который не только блокирует заставкой-банером рабочий стол, но и серьезно модифицирует реестр windows запрещая каким либо образом управлять системой.
Проблема оказалась настолько серьезной что ведущие антивирусные вендоры разместили на своих сайтах Сервисы деактивации вымогателей-блокеров, помогающие подобрать код и разблокировать компьютер, вот их адреса:
КasperskyLAB http://support.kaspersky.ru/viruses/deblocker
Dr.web http://www.drweb.com/unlocker/index/
ESET http://www.esetnod32.ru/.support/winlock/
Symantec http://www.symantec.com/security_response/writeup.jsp?docid=2009-041607-1924-99
а также независимые ресурсы:
http://mips.narod.ru/sms.html
http://virusinfo.info/deblocker/
http://av.demozone.ru/
Что делать если компьютер уже заражен ?
Предположим что ваш компьютер уже заражен, не на какие ваши действия не реагирует, в безопасном режиме не загружается.
1. не в коем случае не отправлять по СМС деньги, все равно не поможет.
2. Попробовать разблокировать компьютер с помощью сервисов деактивации (см.выше)
3. Загрузить лечащие утилиты и просканировать компьютер на наличие вирусов. Для этого воспользуйтесь:
AVPTool http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/
Dr.Web CureIt http://freedrweb.com/
4. просканировать и исправить реестр с помощью утилиты AVZ http://devbuilds.kaspersky-labs.com/devbuilds/AVZ/avz4.zip
как это сделать изучить здесь http://support.kaspersky.ru/faq/?qid=208637133
Надо сказать, это довольно общие рекомендации и не факт что все пройдет так гладко, дело в том что Dr.Web CureIt , AVZ, AVPTool могут и не запустится, в этом случае нужно использовать специальные загрузочные диски LiveCD сканеры от Dr.web или Kaspersky кстати в Антивирусе
Касперского 2010 встроена возможность создать данный диск непосредственно самой антивирусной программой.
Важно! Не используйте данные рекомендации если вы не понимаете о чем идет речь и не уверенны в своих силах, лучше обратитесь к специалистам. В худшем случае вы можете потерять информацию или OS станет неработоспособной.
Как избежать заражения ?
Ну вот, я вас здорово напугал 🙂 дам теперь небольшие рекомендации как избежать заражения:
1. Не используйте взломанные антивирусные программы с активаторами, кряками и т.д… Используйте при возможности полноценные коммерческие версии продуктов, бесплатные варианты антивирусных программ зачастую являются довольно урезанные по функционалу. Скачивайте дистрибутивы только с сайтов производителей антивирусных продуктов. Следите за тем, чтобы антивирусные базы были всегда актуальны.
2. Не посещайте непроверенные сайты непристойного содержания (порнография) львиная доля заразы сидит там.
3. Не устанавливайте непроверенные программы из интернета, обновляйте программное обеспечение и драйвера устройств только с сайтов производителей.
4. Обязательно проверяйте флеш накопители антивирусом, перед тем как открыть их в файловом менеджере или проводнике.
5. Не открывать почтовые вложения от неизвестных отправителей.
6. Использовать сетевой экран Firewall.
7. Не доверять никому в интернете и вообще его отключить 🙂
8. использовать альтернативную OS 🙂
Ну, здесь, я ничего особо нового не поведал это стандартные правила, последние два можете всерьез не воспринимать, хотя это как раз самое радикальное 🙂
Однако это еще не все, не стоит забывать о возможностях настройки самой Операционной Системы и средств защиты. Здесь http://www.anti-malware.ru/node/2179 очень полезная статья по настройке Kaspersky Internet Security это поможет вам избежать многих проблем. Если вы поняли о чем идет речь в данной статье, то можно это выполнить и средствами Windows то есть с помощью .reg файлов или вручную внести изменения в реестр, дабы запретить возможность его редактирования сторонними программами. Конкретные примеры таких .reg файлов я давать не буду, поскольку неопытный пользователь может легко заблокировать часть OS (сам себе вирус :)) и будет потом меня вспоминать «недобрым тихим словом» но направление для поиска и решения данной задачи я указал, так что дерзайте…
Так что будьте внимательней ! Не теряйте бдительность, враг не дремлет…
На этом я закончу свое повествование, желаю всем чистого интернета без вирусов и троянов с ув. vasdas
