Смс баннер

Удаление СМС- баннер

Смс баннер

Я думаю, не нужно ни кому объяснять, что такое СМС баннер/ СМС вымогатель/ СМС вирус или порно банер, каждый называет подобные вирусы как хочет, но суть одна- Блокировка компьютера и невозможность ничего сделать, кроме как отправить СМС вымогателям или положить на счет на указанный номер, но даже в этом случае никто не даст вам гарантии, что это поможет. В этой статье хочу предложить несколько способов борьбы с подобными вирусами:

  1 способ.  Воспользоваться сервисами для борьбы с СМС- баннерами, просто вводите номер телефона на который предлагается отправить СМС или на который необходимо через терминал положить деньги.

В ответ вы получите код, используйте его для разблокировки компьютера, и при удачном входе в систему незамедлительно проверте компьютер на вирусы.
   2 способ.  Восстановить работу операционной системы из ранее созданных сохранений (откатить систему), для этого вам понадобиться диск с вашей версией операционной системы.

   3 способ. Снять жесткий диск с компьютера\ноутбука и проверить его антивирусом на другом (не зараженном) компьютере.
   4 способ. Удалить смс вирус с помощью Life CD, более подробно описано здесь.
   5 способ.

Воспользоваться утилитой Kaspersky Rescue DiskKaspersky Rescue Disk 10 – cпециальная программа, предназначенная для проверки и лечения зараженных компьютеров.

Программа применяется при такой степени заражения, когда не представляется возможным вылечить компьютер с помощью антивирусных программ или утилит лечения (например, Kaspersky Virus Removal Tool), запускаемых под управлением операционной системы. Для того, что бы воспользоваться этой утилитой ее необходимо записать на диск или USB носитель.

С записью на диск, я думаю проблем не возникнет, чтобы записать образ Kaspersky Rescue Disk 10 на USB-носитель, выполните следующие действия:1. Подключите USB-носитель к компьютеру

Внимание!!! Для успешной записи Kaspersky Rescue Disk 10  объем памяти используемого USB-носителя должен быть не менее 256 MB.

На USB-носителе должна быть установлена файловая система FAT16 или FAT32. Если на USB-носителе установлена файловая система NTFS, отформатируйте его в FAT16 или FAT32. Не используйте для записи Kaspersky Rescue Disk 10 USB-носитель, на котором уже размещена другая загрузочная операционная система. В противном случае загрузка компьютера с Kaspersky Rescue Disk 10 может пройти некорректно.

2. Скачайте образ Kaspersky Rescue Disk 10 и утилиту для записи на USB-носитель

    Iso-образ Kaspersky Rescue Disk 10 ( ~250 МБ)

    Утилиту для записи Kaspersky Rescue Disk 10 на USB ( ~378 КБ).
3. Запишите Kaspersky Rescue Disk 10 на USB-носитель

Для этого выполните следующие действия:    Запустите файл rescue2usb.exe.    В окне Kaspersky USB Rescue Disk Maker задайте местоположение загруженного образа Kaspersky Rescue Disk 10 c помощью кнопки Обзор…

    Выберите из списка нужный USB-носитель.

    Нажмите кнопку «СТАРТ» и дождитесь завершения записи.

    В окне с информацией об успешном завершении записи нажмите «ОК».

4. Подготовьте компьютер к загрузке с USB-носителя
Замечание!!!Для загрузки меню BIOS используются клавиши Delete или F2. Для некоторых материнских плат могут использоваться клавиши F1, F8, F10, F11, F12.Информация о способе вызова меню BIOS отображается на экране в начале загрузки операционной системы:    В параметрах BIOS на закладке Boot выберите загрузку с Removable Device, то есть со съемного диска (подробную информацию можно получить из документации к материнской плате вашего компьютера).    Подключите USB-носитель с записанным образом Kaspersky Rescue Disk 10 к компьютеру. Kaspersky USB Rescue Disk 10 готов к работе. Вы можете загрузить с него компьютер и начать проверку системы.5. Загрузите компьютер с созданного диска.    Перезагрузите компьютер. После перезагрузки на экране появится сообщение Press any key to enter the menu.

    Нажмите на любую клавишу.

    Замечание!!!Если в течение десяти секунд вы не нажали ни на одну клавишу, то компьютер автоматически загрузится с жесткого диска.    С помощью клавиш перемещения курсора выберите язык графического интерфейса. Нажмите на клавишу ENTER.    Прочтите Лицензионное соглашение использования Kaspersky Rescue Disk. Если вы согласны с его требованиями, нажмите 1 на клавиатуре. Для перезагрузки нажмите 2, для выключения компьютера нажмите 3.

Выберите один из следующих режимов загрузки:        Kaspersky Rescue Disk. Графический режим — загружает графическую подсистему (рекомендован большинству пользователей)

        Замечание!!!Если к вашему компьютеру не подключена мышь (например, у вас ноутбук и вы пользуетесь тачпадом вместо мыши), выберите Текстовый режим.

        Kaspersky Rescue Disk. Текстовый режим — загружает текстовый пользовательский интерфейс, который представлен консольным файловым менеджером Midnight Commander.    Нажмите на клавишу Enter и дождитесь загрузки системы.

После загрузки операционной системы вы можете приступить к работе с Kaspersky Rescue Disk 10. Обновите антивирусные базы программы и запустите проверку на вирусы с помощью Kaspersky Rescue Disk 10.

Чтобы запустить проверку компьютера и удалить вредоносные программы с вашего компьютера, выполните следующие действия:1.    Загрузите компьютер с Kaspersky Rescue Disk 10 в графическом режиме.2.

    В левом нижнем углу экрана нажмите на кнопку в виде буквы К. В меню выберите Kaspersky Rescue Disk.3.    Обновите антивирусные базы Kaspersky Rescue Disk. Для этого на закладке Обновление нажмите на кнопку Выполнить обновление.

4.

    Дождитесь завершения обновления антивирусных баз программы.

5.    На закладке Проверка объектов установите флажки напротив объектов, которые должна проверить программа. По умолчанию Kaspersky Rescue Disk проверяет загрузочные секторы жестких дисков, а также скрытые объекты автозапуска операционной системы.6.    Нажмите на кнопку Выполнить проверку объектов.

7.    После окончания проверки в случае обнаружения угроз программа запросит вас, какое действие произвести над вредоносными объектами:

       –  Лечить. После лечения с объектом можно продолжить работу.        –  Поместить на Карантин, если в результате проверки не удалось определить, заражен объект или нет. Если у вас установлена необходимая опция проверки файлов на карантине после каждого обновления баз, то после получения новой сигнатуры лечения объект на Карантине будет вылечен и вновь доступен для пользователя.

       –   Удалить. Если объекту присвоен статус вируса, но его лечение невозможно, вы можете удалить его. Информация об объекте сохранится  в отчете об обнаруженных угрозах.

 

 Проверка в текстовом режиме.

Чтобы запустить проверку компьютера и удалить вредоносные программы с вашего компьютера, выполните следующие действия:1.    Загрузите компьютер с Kaspersky Rescue Disk 10 в текстовом режиме.2.

    В главном меню загрузившегося файлового менеджера Midnight Commander выберите нужный тип проверки при помощи стрелок-указателей и нажмите Enter на клавиатуре (или нажмите на клавиатуре на символ, находящийся слева в окне Midnight Commander).

Специалисты Лаборатории Касперского рекомендуют поочередно запустить проверку объектов автозапуска (для этого нажмите s на клавиатуре), а также загрузочный сектор (нажмите B на клавиатуре).
3.    Дождавшись окончания проверки, обновите антивирусные базы Kaspersky Rescue Disk.

Для этого в главном меню файлового менеджера Midnight Commander  выберите вариант Выполнить обновление и нажмите Enter на клавиатуре (или просто нажмите u на клавиатуре).

Как предотвратить появление СМС баннеров

Что бы не пришлось сталкиваться с СМС баннерами в дальнейшем необходимо соблюдать несколько правил:1 Когда заходите на странички в интернете, не нажимайте на выскакивающих окнах на сайтах, например «обновите flash player», или «проверьте онлайн свой компьтер на вирусы», или «на вашем компьютере обнаружен вирус – нажмите удалить » все это скорее всего приведет к заражению вашего компьютера вирусами.2 Обязательно используйте антивирус и регулярно обновляете базы.3 Устанавливайте все обновления на операционную систему.

Использованы материалы с сайта http://support.kaspersky.ru/viruses/rescuedisk/

Источник: http://pk-help.com/workstation/del-sms-ban

Баннеры вымогатели: как с ними бороться?

Смс баннер

Последнее время, в интернете стало много всевозможных вирусов . Они стали трансформироваться и скрываться за всевозможными вещами. Одним из них, является рекламный баннер вымогатель, который появляется на экране Вашего компьютера, и требует отправить SMS с каким-то кодом на неизвестный номер.

Вымогающий баннер

Взамен на эти действия, он обещает исчезнуть и разблокировать компьютер. Часто это обманный ход, на который большинство неопытных пользователей доверчиво покупаются, отправляют со своего мобильного телефона SMS-ки, и тратят деньги. Баннер иногда к великому удивлению исчезает, но это происходит крайне редко, и денег уходит довольно много. Как с этим бороться? Об этом и пойдет речь.

Самым первым делом, нужно разобраться, что это за программа, так нахально требует денег. Если это обычный баннер, расположенный на сайте, рекламного вида, то его можно просто проигнорировать. Это обычные просьбы пополнить счет.

Если же это сообщение появляется на экране Вашего монитора, точнее, на рабочем столе, или даже при отключенном интернете, а уж тем более при загрузке операционной системы – это вирус. Причем вирус довольно противный. Он блокирует все программы, и скрывает рабочий стол.

Для пользователя, который не разбирается в компьютере довольно хорошо, это  первый шаг к панике. Но не стоит огорчаться. Как и угроза имеется и защита от баннеров вымогателей.

Эффективная защита от блокировщиков

Такую защиту предоставляют многие сайты, обещая излечить Ваш компьютер. Но система лечения такая сложная, и выход в интернет порой невозможен, так что это очень сложно реализовать. Поэтому предлагается реальная система по излечению таких вирусов на практике.

1.  Убедитесь, что программа требующая отправить SMS действительно вирус. Если вы не в интернет браузере, и окошко вылезло на рабочем столе, то это так.

2. Теперь нужно проверить, что можно сделать. Если имеется доступ в интернет и к программам, то все хорошо.  Действуем дальше.

3. Скачивается последний антивирус, для этих целей рекомендуется CureIt.exe (программный продукт от Доктора Web’a).

Доктор веб curelt

4. Можно использовать Касперский 12 версию. Вместе с антивирусом, скачивается последнее его обновление. Все это устанавливается, и компьютер проходит сканирование. Как правило, вирус находиться и удаляется.

Сканирование программой Касперский 12

Удаление баннера с рабочего стола через сервис Касперского

Как удалить баннер вымогатель если интернет не работает?

В этом случае следует выполнить все те же действия, на работающем компьютере. Если нет такой возможности, либо все что написано выше не помогло, есть один, но самый верный способ для решения этой проблемы. Нужно переустановить Windows на Вашем персональном компьютере.

Это усложняется тем, что теряется информация на компьютере, но вместе с ней и вирусы. Но не все так просто. На самом деле, даже при переустановке Windows, следует первым делом установить антивирус, и произвести полное сканирование компьютера.

Часто вирусы находятся в папках, которые спрятаны глубоко в файлах.

Бывают такие случаи, что баннеры вымогатели  — это простые скрипты, которые всплывают на страницах в интернете. Избавиться от них тоже можно и очень просто. Для этого, необходимо правильно настроить свой браузер.

Заходите в настройки браузера, ищите инструменты. Найдя вкладку страницы, отключаете флеш и все дополнительные скрипты, которые так же грузят компьютер.

Теперь на страницах нет никакой рекламы, интернет работает быстрее.

Возникновение баннеров вымогателей замечено довольно давно. Такие программы рассчитаны на простодушный народ интернета, который верит и пугается злоумышленников. А они в свою очередь, зарабатывают немалые деньги на этом. Но от этого можно уберечься.

  • На персональном компьютере всегда должен стоять свежайшие антивирус с последними обновлениями.
  • Посещение сайтов должно быть осторожным. Имеется в виду, что не стоит посещать сайты с сомнительным содержанием, ведь сайты, например, с порнографическим содержанием особо заражены вирусами. Так же вирусов много в социальных сетях, так как там очень много доверчивых пользователей.
  • Всегда читать всплывающие окна, прежде, чем на них соглашаться или нет.

Эти простые действия, помогут простому пользователю уберечь свой компьютер от вируса или мошенников, которые пытаются украсть информацию или деньги.

Важно понимать, что ни один баннер вымогатель не способен причинить вред компьютеру, и лечиться на ура. Поэтому отправка SMS – это самый глупый поступок в данной ситуации.

Имея комплект перечисленного «оружия» с ними можно вести эффективную борьбу.

Источник: https://zen.yandex.ru/media/id/5cfe05ad253cb300aec677eb/bannery-vymogateli-kak-s-nimi-borotsia-5cfe1b7234ace300afb35a80

Навязчивый смс баннер: как от него избавиться

Смс баннер

Многие сталкивались с таким неприятным явлением как оповещение о блокировке компьютера на рабочем столе. Ему сопутствует просьба об отправке смс на платный номер или перечислении денег на электронный кошелек. Это явление не что иное, как вирус, а точнее троянская программа. Называется она Trojan Winlock или Винлокер.

Их существует целое семейство. Данный вирус наделал много шума в сети, появившись в конце 2008 года. Подцепить его можно не только на сайтах с порнографическим содержанием.

Можно стать счастливым обладателем подобного смс баннера просто при переходе по какой-либо ссылке для скачивания программы или лекарства для программы на обычных сайтах.

Существует несколько основных признаков заражения компьютера Винлокером.

  • Как правило, на баннере появляется требование перевести некую сумму денег на конкретный номер в качестве штрафа за просмотр материалов, содержащих сцены насилия, педофилии или порно-материалы.
  • Шантаж подкрепляется угрозой об удалении данных в течение какого-то времени, а также передачей сведений о Ваших действиях в правоохранительные органы для применения по отношению к Вам определенных санкций.
  • Область действия курсора мыши при этом ограничена окном с требованием о перечисления денег и привычные действия с компьютером становятся недоступными.

Если Вы обнаружили на своем компьютере такой смс баннер, не стоит паниковать. Отправлять сообщения на указанные номера неэффективно. За отправку смс снимутся большие деньги, а пришедший взамен код окажется недействительным (если он вообще придет). После перезагрузки Вы снова обнаружите вирус в системе.

Как избавиться от баннера, требующего отправки смс

Решения данной проблемы с возможностью разблокировки ОС предоставляют крупные производители антивирусных программ.

Kaspersky Rescue Disk

Для удаления вируса и восстановления нормального функционирования системы при помощи разработок от Kaspersky понадобится USB-накопитель и незараженный ПК с подключением к интернету.

Создание спасительной флешки

1. Для избавления от вредоносного баннера понадобится специальная программа.

Скачать Kaspersky Rescue Disk можно на официальном сайте.

Отсюда нам нужны два файла. Собственно Iso-образ программы и утилита для записи на USB-накопитель.

Использование для записи флешки практичней, чем компакт-диска, так как диски используются гораздо реже и постепенно отходят в прошлое. Кроме того, с ними сложней работать.

2. Пока скачиваются файлы, займемся подготовкой флешки. Ее необходимо отформатировать. Для этого заходим в Мой компьютер, кликаем правой кнопкой мыши на названии USB-устройства и выбираем пункт Форматировать.

В поле Метка тома можно задать имя флешки. Файловую систему выбираем FAT16 или FAT32. После установки необходимых параметров нажимаем Начать. Соглашаемся с предупреждением Windows об уничтожении всех данных на устройстве, если флешка пуста. Все важные данные следует заранее скопировать на другой носитель.

Остается дождаться завершения форматирования.

3. Приступаем к собственно созданию антивирусного резерва. В Загрузках находим и запускаем скачанный файл rescue2usb, запускаем его и нажимаем Install.

4. При помощи Обзора указываем путь ко второму файлу – образу Kaspersky Rescue Disk. Далее выбираем из списка USB-носитель, который собираемся использовать и нажимаем Старт.

Если следовать инструкциям установщика, в результате получаем спасительную флешку.

Последующие действия с зараженным компьютером

  1. Подключаем только что созданный лечебный накопитель к компьютеру, подвергшемуся действию Винлокера.
  2. Далее входим в меню Биос. Для этого выключаем и снова включаем компьютер и на этапе загрузки нажимаем определенную клавишу (необходимо нажимать несколько раз подряд, пока не откроется необходимое меню).

    Чаще всего это Delete или F2. Но могут быть и другие варианты.

  3. Итак, мы в Биосе. Теперь с помощью клавиатуры в закладке Boot выбираем приоритет загрузки системы. На первом месте должна быть загрузка со съемного носителя.

    В меню определения приоритетного устройства необходимо выбрать именно тот носитель, на котором записан Kaspersky Rescue Disc.

  4. Затем снова выполняем перезагрузку. Теперь система будет загружаться с новой незараженной флешки.

Очистка системы от вируса и ее восстановление

Необходимо следовать инструкциям на экране.

  • Нажимаем любую клавишу;
  • С помощью клавиатуры выбираем нужный язык интерфейса (в нашем случае – русский);
  • Читаем и соглашаемся с условиями лицензионного соглашения (кнопка 1 на клавиатуре);
  • Выбираем графический режим. Нажимаем Enter и ожидаем завершения загрузки системы;

Приступаем к основной части избавления от вируса.

Первый шаг – поиск вирусов и лечение компьютера. Сначала необходимо обновить вирусные базы.

Для этого во вкладке Обновление нажимаем Выполнить обновление.

После обновления баз необходимо проверить систему на наличие вирусов.

Для этого открываем вкладку Проверка объектов и устанавливаем галочку напротив объектов, которые нужно проверить. После выбора необходимых пунктов нажимаем Выполнить проверку объектов.

Проверка занимает довольно много времени.

После завершения проверки программа спросит, что делать с обнаруженными вредоносными объектами – лечить, удалить или поместить в карантин.

Осталось выключить и снова включить компьютер.

Подбор кода разблокировки

Есть отличный сервис, который подберет код разблокировки для указанного злоумышленниками номера телефона или электронного кошелька. Номер необходимо указать в специально предназначенном для этого поле .

Если подобрать код через форму не удалось или он не подошел, можно воспользоваться поиском по изображению вручную.

Dr.Web LiveDisk

Работает по принципу восстановления системы с диска.

1. Запись образа на диск

Необходимо скачать Dr.Web LiveDisk с официального сайта и записать его на диск.

2. Настройки Биоса

Нам необходимо в качестве приоритета загрузки системы установить CD-ROM. Для этого нужно войти в Биос.

В левом верхнем углу экрана во время начала загрузки компьютера отображены названия производителя Биос.

Ami BIOS – для входа нажать Delete

Во вкладке Boot Device Priority 1st Boot Service выбираем CDROM. Сохраняем при помощи клавиши F10.

Award BIOS – для входа нажать Delete

Advanced BIOS Features, First Boot Device – CDROM. Сохраняем при помощи F10.

На некоторых компьютерах и ноутбуках под управлением Dell Systems для входа в BIOS нужно нажать F2.

В пункте меню Boot Sequence при помощи клавиш «-» или «+» необходимо установить соответствие 1 и CD-ROM. Для активации выбранных настроек нажимаем пробел и Esc. В появившемся меню выбираем Save setting and Exit.

3. Загрузка компьютера при помощи Dr.Web LiveDisk

  • Загружаем компьютер с загрузочного диска Dr.Web LiveDisk, в меню выбираем пункт Russian. После загрузки мы попадаем на рабочий стол.
  • Перед началом сканирования рекомендуется обновить вирусные базы.

Для этого необходимо настроить соединение с интернетом. Нажимаем на кнопку Открытие системного меню, далее Settings и Конфигурация сети.

Откроется меню сетевых настроек. Перемещаться по пунктам меню можно с помощью клавиши Tab.

  • Если компьютер является клиентом DHCP-сервера, то есть IP-адрес ему назначает DHCP-сервер, который входит в состав маршрутизатора, следует выбрать опцию DHCP. Выбираем опцию клавишей Tab и нажимаем Enter. Опция должна быть отмечена крестиком.
  • Если используется статический IP-адрес, введите его в поле IP-адрес. Введите также маску подсети в поле Маска и адрес шлюза в поле Шлюз.

Приступаем к сканированию

Выбираем Перейти в разделе Сканер.

Предусмотрены режимы полной и выборочной проверки. Целесообразно выбирать первый вариант.

Теперь можно переходить непосредственно к сканированию.

По завершении сканирования выделяем обнаруженные угрозы и выбираем Лечить в правом нижнем углу. Перезагружаем компьютер.

Некоторые возможности работы в режиме Dr.Web LiveDisk

  • Для получения доступа к технической поддержке необходимо просто открыть браузер Firefox. Она доступна легальным пользователям продукции Dr.Web. В браузере автоматически откроется вкладка официального сайта Dr.Web. В окне Поддержка можно оформить запрос при помощи мастера создания запроса.
  • При необходимости можно воспользоваться почтовым клиентом. Щелкните на иконке Почта. В Настройках выбираем Настройку текущей учетной записи. Откроется окно редактирования учетных записей. Выбираем изменить. В открывшемся поле необходимо ввести данные своей почты и нажать Ок. Это дает возможность следить за осуществлением отправленного в службу технической поддержки запроса.

Источник

Источник: https://pomogaemkompu.temaretik.com/839619194878429582/navyazchivyj-sms-banner-kak-ot-nego-izbavitsya/

Баннер-вымогатель — казнить, нельзя помиловать

Смс баннер
Баннеры «Windows заблокирован — для разблокировки отправьте СМС» и их многочисленные вариации безмерно любят ограничивать права доступа вольных пользователей ОС Windows.

При этом зачастую стандартные способы выхода из неприятной ситуации – корректировка проблемы из Безопасного режима, коды разблокировки на сайтах ESET и DR Web, как и перенос времени на часах BIOS в будущее далеко не всегда срабатывают.

Неужели придется переустанавливать систему или платить вымогателям? Конечно, можно пойти и простейшим путем, но не лучше ли нам попробовать справиться с навязчивым монстром по имени Trojan.WinLock собственными силами и имеющимися средствами, тем более что проблему можно попытаться решить достаточно быстро и совершенно бесплатно.

Первые программы-вымогатели активизировались в декабре 1989 года. Многие пользователи получили тогда по почте дискетки, предоставляющие информацию о вирусе СПИДа. После установки небольшой программы система приходила в неработоспособное состояние. За её реанимацию пользователям предлагали раскошелиться.

Вредоносная деятельность первого SMS-блокера, познакомившего пользователей с понятием “синий экран смерти” была отмечена в октябре 2007 года. Trojan.Winlock (Винлокер) — представитель обширного семейства вредоносных программ, установка которых приводит к полной блокировке или существенному затруднению работы с операционной системой.

Используя успешный опыт предшественников и передовые технологии разработчики винлокеров стремительно перевернули новую страницу в истории интернет-мошенничества. Больше всего модификаций вируса пользователи получили зимой 2009-2010 гг, когда по данным статистики был заражен ни один миллион персональных компьютеров и ноутбуков. Второй пик активности пришелся на май 2010 года.

Несмотря на то, что число жертв целого поколения троянцев Trojan.Winlock в последнее время значительно сократилось, а отцы идеи заключены под стражу, проблема по-прежнему актуальна. Число различных версий винлокеров превысило тысячи. В ранних версиях (Trojan.Winlock 19 и др.) злоумышленники требовали за разблокировку доступа 10 рублей.

Отсутствие любой активности пользователя спустя 2 часа приводило к самоудалению программы, которая оставляла после себя лишь неприятные воспоминания. С годами аппетиты росли, и для разблокировки возможностей Windows в более поздних версиях требовалось уже 300 – 1000 рублей и выше, о самоудалении программы разработчики скромно забыли.

В качестве вариантов оплаты пользователю предлагается СМС – платеж на короткий номер или же электронный кошелек в системах WebMoney, Яндекс Деньги.

Фактором, “стимулирующим” неискушенного пользователя совершить платеж становится вероятный просмотр порносайтов, использование нелицензионного ПО… А для повышения эффективности текст-обращение вымогателя содержит угрозы уничтожить данные на компьютере пользователя при попытке обмануть систему. В большинстве случаев заражение происходит в связи с уязвимостью браузера.

Зона риска – все те же “взрослые” ресурсы. Классический вариант заражения – юбилейный посетитель с ценным призом. Еще один традиционный путь инфицирования – программы, маскирующиеся под авторитетные инсталляторы, самораспаковывающиеся архивы, обновления – Adobe Flash и пр.

Интерфейс троянов красочен и разнообразен, традиционно используется техника маскировки под окна антивирусной программы, реже — анимация и др. Среди общего многообразия встречающихся модификаций, Trojan.Winlock можно разделить на 3 типа:

  1. Порноиформеры или баннеры, заставляющиеся только при открывании окна браузера.

  2. Баннеры, остающиеся на рабочем столе после закрытия браузера.
  3. Баннеры, появляющиеся после загрузки рабочего стола Windows и блокирующие запуск диспетчера задач, доступ к редактору реестра, загрузку в безопасном режиме, а в отдельных случаях – и клавиатуру.

В последнем случае для совершения минимума нехитрых манипуляций, нужных злоумышленнику, в распоряжении пользователя остается мышь для ввода кода на цифровом экранном интерфейсе. Для обеспечения распространения и автозапуска вирусы семейства Trojan.Winlock модифицируют ключи реестра: -[…

\Software\Microsoft\Windows\CurrentVersion\Run] 'svhost' = '%APPDATA%\svhost\svhost.exe' -[…\Software\Microsoft\Windows\CurrentVersion\Run] 'winlogon.exe' = '\winlogon.exe' С целью затруднения обнаружения в системе вирус блокирует отображение срытых файлов, создает и запускает на исполнение:

  • %APPDATA%\svhost\svhost.

    exe

Запускает на исполнение:

  • \winlogon.exe
  • %WINDIR%\explorer.exe
  • \cmd.exe /c “””%TEMP%\uAJZN.bat”” “
  • \reg.exe ADD «HKCU\Software\Microsoft\Windows\CurrentVersion\Run» /v «svhost» /t REG_SZ /d “%APPDATA%\svhost\svhost.

    exe” /f

Завершает или пытается завершить системный процесс: Вносит изменения в файловую систему: Создает следующие файлы:

  • %APPDATA%\svhost\svhost.exe
  • %TEMP%\uAJZN.bat

Присваивает атрибут 'скрытый' для файлов:

  • %APPDATA%\svhost\svhost.exe

Ищет окна:

  • ClassName: 'Shell_TrayWnd' WindowName: ''
  • ClassName: 'Indicator' WindowName: ''

Распространенность и острота проблемы подтолкнула разработчиков антивирусных программ к поиску эффективных решений проблемы. Так на сайте Dr.Web в открытом доступе представлен интерфейс разблокировки в виде окошка, куда нужно ввести номер телефона или электронного кошелька, используемые для вымогательства. Ввод соответствующих данных в окошко (см. рис. ниже) при наличии вируса в базе позволит получить желаемый код.

На другой странице сайта авторы представили еще один вариант выбора — готовую базу кодов разблокировки для распространенных версий Trojan.Winlock, классифицируемых по изображениям.

Аналогичный сервис поиска кодов представлен антивирусной студией ESET, где собрана база из почти 400 000 тысяч вариантов кодов разблокировки и лабораторией Касперского, предложившей не только доступ к базе кодов, но и собственную лечащую утилиту — Kaspersky WindowsUnlocker.

Сплошь и рядом встречаются ситуации, когда из-за активности вируса или сбоя системы Безопасный режим с поддержкой командной строки, позволяющий провести необходимые оперативные манипуляции оказывается недоступным, а откат системы по каким-то причинам также оказывается невозможным. В таких случаях Устранение неполадок компьютера и Диск восстановления Windows оказываются бесполезны, и приходится задействовать возможности восстановления с Live CD. Для разрешения ситуации рекомендуется использовать специализированную лечащую утилиту, образ которой потребуется загрузить с компакт диска или USB-накопителя. Для этого соответствующая возможность загрузки должна быть предусмотрена в BIOS. После того, как загрузочному диску с образом в настройках БИОС будет задан высший приоритет, первыми смогут загрузиться CD-диск или флэшка с образом лечащей утилиты.

В общем случае зайти в БИОС на ноутбуке чаще всего удается при помощи клавиши F2, на ПК – DEL/DELETE, но клавиши и их сочетания для входа могут отличаться (F1, F8, реже F10, F12…, сочетания клавиш Ctrl+Esc, Ctrl+Ins, Ctrl+Alt, Ctrl+Alt+Esc и др.). Узнать сочетание клавиш для входа можно, отслеживая текстовую информацию в нижней левой области экрана в первые секунды входа. Подробнее о настройках и возможностях BIOS различных версий можно узнать здесь.

Поскольку работу мышки поддерживают только поздние версии BIOS, перемещаться вверх и вниз по меню вероятнее всего придется при помощи стрелок “вверх” – “вниз”, кнопок “+” “–“, ”F5” и ”F6”.
Одна из самых популярных и простых утилит, эффективно справляющаяся с баннерами-вымогателями – “убийца баннеров” AntiWinLockerLiveCD вполне заслужила свою репутацию.
Основные функции программы:

  • Фиксирование изменений важнейших параметров Операционной системы;
  • Фиксирование присутствия в области автозагрузки не подписанных файлов;
  • Защита от замены некоторых системных файлов в WindowsXP userinit.exe, taskmgr.exe;
  • Защита от отключения вирусами Диспетчера задач и редактора реестра;
  • Защита загрузочного сектора от вирусов типа Trojan.MBR.lock;
  • Защита области подмены образа программы на другой. Если баннер не даёт загрузится Вашему компьютеру, AntiWinLocker LiveCD / USB поможет его убрать в автоматическом режиме и восстановит нормальную загрузку.

Автоматическое восстановление системы:

  • Восстанавливает корректные значения во всех критических областях оболочки;
  • Отключает не подписанные файлы из автозагрузки;
  • Устраняет блокировку Диспетчера задач и редактора реестра;
  • Очистка всех временных файлов и исполняемых файлов из профиля пользователей;
  • Устранение всех системных отладчиков (HiJack);
  • Восстановление файлов HOSTS к первоначальному состоянию;
  • Восстановление системных файлов, если он не подписаны (Userinit, taskmgr, logonui, ctfmon);
  • Перемещение всех неподписанных заданий (.job) в папку AutorunsDisabled;
  • Удаление всех найденных файлов Autorun.inf на всех дисках;
  • Восстановление загрузочного сектора (в среде WinPE).

Лечение с использованием утилиты AntiWinLocker LiveCD – не панацея, но один из самых простых и быстрых способов избавиться от вируса. Дистрибутив LiveCD, даже в своей облегченной бесплатной Lite версии располагает для этого всеми необходимыми инструментами – файловым менеджером FreeCommander, обеспечивающим доступ к системным файлам, доступом к файлам автозагрузки, доступом к реестру. Программа – настоящая находка для начинающих пользователей, поскольку позволяет выбрать режим автоматической проверки и коррекции, в процессе которой вирус и последствия его активности будут найдены и нейтрализованы за несколько минут практически без участия пользователя. После перезагрузки машина будет готова продолжить работу в нормальном режиме. Последовательность действий предельно проста: Скачиваем файл AntiWinLockerLiveCD нужной версии на сторонний компьютер в формате ISO, вставляем CD компакт-диск в его дисковод и затем, щелкнув правой кнопкой мышки по файлу выбираем ”Открыть с помощью”, далее выбираем “Средство записи образов дисков Windows” – “Записать” и переписываем образ на CD-диск. Загрузочный диск готов.

  • Помещаем диск с образом в дисковод заблокированного ПК/ноутбука с предварительно настроенными параметрами BIOS (см. выше);
  • Ожидаем загрузки образа LiveCD в оперативную память.

  • После запуска окна программы выбираем заблокированную учетную запись;
  • Выбираем для обработки данных версию Professional или Lite. Бесплатная версия (Lite) подходит для решения почти всех поставленных задач;
  • После выбора версии выбираем диск, на котором установлен заблокированный Windows (если не выбран программой автоматически), учетную запись Пользователя, используемую ОС и устанавливаем параметры поиска.

Для чистоты эксперимента можно отметить галочками все пункты меню, кроме последнего (восстановить загрузочный сектор). Нажимаем ”Старт”/”Начать лечение”. Ожидаем результатов проверки. Проблемные файлы по ее окончании будут подсвечены на экране красным цветом. Как мы и предполагали, особое внимание при поиске вируса в приведенном примере программа уделила традиционным ареалам его обитания. Утилитой зафиксированы изменения в параметрах Shell, отвечающих за графическую оболочку ОС. После лечения и закрытия всех окон программы в обратном порядке, нажатия кнопки ”Выход” и перезагрузки знакомая заставка Windows вновь заняла свое привычное положение. Наша проблема решена успешно. В числе дополнительных полезных инструментов программы:

  • Редактор реестра;
  • Командная строка;
  • Диспетчер задач;
  • Дисковая утилита TestDisk;
  • AntiSMS.

Проверка в автоматическом режиме утилитой AntiWinLockerLiveCD не всегда дает возможность обнаружить блокировщика. Если автоматическая чистка не принесла результатов, вы всегда можете воспользоваться возможностями Менеджера Файлов, проверив пути C: или D:\Documents and Settings\Имя пользователя\Local Settings\Temp (Для ОС Windows XP) и С: или D:\Users\Имя пользователя\AppData\Local\Temp (Для Windows 7). Если баннер прописался в автозагрузке, есть возможность анализа результатов проверки в ручном режиме, позволяющего отключить элементы автозагрузки. Trojan.Winlock, как правило, не зарывается слишком глубоко, и достаточно предсказуем. Все, что нужно для того, чтобы напомнить ему свое место – пару хороших программ и советов, ну и, конечно же, осмотрительность в безграничном киберпространстве. Чисто не там, где часто убирают, а там, где не сорят! — Верно сказано, а в случае с веселым троянцем, как никогда! Для того, чтобы свести к минимуму вероятность заразы стоит придерживаться нескольких простых и вполне выполнимых правил. Пароль для учетной записи Админа придумайте посложней, что не позволит прямолинейному зловреду подобрать его методом простейшего перебора. В настройках браузера отметьте опцию очищения кэша после сеанса, запрет на исполнение файлов из временных папок браузера и пр. Всегда имейте под рукой лечайщий диск/флэшку LiveCD (LiveUSB), записанную с доверенного ресурса (торрента). Сохраните установочный диск с виндой и всегда помните, где он находится. В час «Ч» из командной строки вы сможете восстановить жизненно важные файлы системы до исходного состояния. Не реже чем раз в две недели создавайте контрольную точку восстановления. Любой сомнительный софт — кряки, кайгены и пр. запускайте под виртуальным ПК (VirtualBox и пр.). Это обеспечит возможность легко восстановить поврежденные сегменты средствами оболочки виртуального ПК. Регулярно выполняйте резервное копирование на внешний носитель. Запретите запись в файлы сомнительным программам. Удачи вам в начинаниях и только приятных, а главное — безопасных встреч!

Послесловие от команды iCover

Надеемся, что предоставленная в этом материале информация будет полезна читателям блога компании iCover и поможет без особого труда справиться с описанной проблемой за считанные минуты.

А еще надеемся, что в нашем блоге вы найдете много полезного и интересного, сможете познакомиться с результатами уникальных тестов и экспертиз новейших гаджетов, найдете ответы на самые актуальные вопросы, решение которых зачастую требовалось еще вчера.).

Источник: https://habr.com/ru/company/icover/blog/382627/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.