Целью действий программ-вымогателей класса Trojan-Ransom
является блокирование доступа пользователя к данным на компьютере или
ограничение возможностей работы на компьютере и требование выкупа за
возврат к исходному состоянию системы. Отличие вредоносных программ
класса Trojan-Ransom заключается в их изначальной
коммерческой направленности. Каждая программа этого поведения является
инструментом для получения денег киберпреступниками.
Рассмотрим виды вредоносных программ класса Trojan-Ransom
в порядке сложности борьбы с ними вручную, без антивируса. Избавиться
от последствий запуска первых двух видов достаточно просто, третьего и
четвертого – немного сложней, а устранение последствий работы программ,
отнесенных к пятому виду, не всегда возможно.
Программы,ограничивающие доступ к веб-сайтам
Примером программ такого вида может быть вредоносная программа Trojan-Ransom.BAT.Agent.c , которая представляет собой BAT-файл размером 13 Кб. После запуска этого вредоносного ПО блокируется доступ пользователя ко многим веб-сайтам, в том числе, сайтам Лаборатории Касперского, поисковых средств Google, Яндекс, социальных сетей «Одноклассники», vkontakte и
других (всего около 200 доменных имен). Введя адрес веб-сайта вместо
ожидаемой начальной страницы, пользователь видит окно с требованием
выкупа.
Для блокирования доступа к сайтам, троянская программа изменяет файл HOSTS:
В данном случае вымогательства, стоимость отправки SMS, как правило,
указывается явно и составляет небольшую сумму, чтобы мотивировать
пользователя заплатить. В ответ авторы обещают прислать код для
разблокировки.
Если по каким-либо причинам антивирусное ПО не было установлено или
вредоносное ПО этого типа не было удалено, то в качестве
альтернативного способа лечения специалисты Лаборатории Касперского рекомендуют проделать следующие действия:
- для Windows-95/98/ME: в корневом каталоге диска, на котором установлена операционная система
- для Windows NT/2000/XP/Vista/7: в папке Windows\System32\drivers\etc.
- самостоятельно исправьте данный файл, удалив все строчки кроме: 127.0.0.1 localhost
-
либо замените свой файл HOSTS на оригинальный файл, который вы можете скачать здесь: hosts
- установите антивирусное ПО, если оно не было установлено ранее
- обновите антивирусные базы
- запустите проверку на вирусы
Если описанные выше действия не помогли, то обратитесь в Службу
технической поддержки Лаборатории Касперского, отправив запрос через веб-форму Helpdesk.
Также к данному виду программ относится вредоносная программа семейства Trojan-Ransom.Win32.Digitala (Get Accelerator, Digital Access, Get Access, Download Manager v1.34, Ilite Net Accelerator) - это программа-вымогатель. Вредоносная программа семейства Trojan-Ransom.Win32.Digitala
блокирует доступ к Интернету и выводит на экран сообщение о нарушении
лицензионного соглашения. Сообщение содержит требование - отправить смс
с определенным кодом на указанный в сообщении номер, чтобы
разблокировать доступ к Интернету.
Признаки заражения:
Вредоносная программа на компьютере пользователя может появиться:
-
при участии пользователя, т.е. пользователь может сам запустить установку с виду легальной программы, которая выдает себя за Digital Access.
При запуске такой "замаскированной" программы выводится лицензионнное
соглашение. Если пользователь соглашается с этим лицензионным
соглашением, то происходит заражение компьютера
-
без участия пользователя, т.е. вредоносная
программа может скачиваться с Интернета и молча устанавливаться с
помощью других вредоносных программ (Get Access)
На экран будет выведено сообщение с требованием
отправки смс-сообщения для получения кода активации, который позволит
активировать установленную программу. Сообщение может быть выведено как
сразу после установки "замаскированной" программы, так и по прошествии
6 часов.
Через 5 минут после появления сообщения-требования
вредоносная программа перезагружает компьютер, кроме того блокирует
работу Интернета.
Более подробную информацию о вредоносных программах семейства и способах удаления из системы, можно получить из статьи Как
бороться с вредоносными программами семейства
Trojan-Ransom.Win32.Digitala (Get Accelerator, Digital Access, Get
Access, Download manager v1.34)
Программы, ограничивающие работу с обозревателем
В результате действий таких программ-вымогателей в браузере
создается всплывающее окно без возможности закрытия, мешающее или
полностью препятствующее работе в Интернете. Например:
Наиболее характерные представители этого подвида вымогателей – вредоносные программы семейств Trojan-Ransom.Win32.Hexzone и Trojan-Ransom.Win32.BHO.
Если по каким-либо причинам антивирусное ПО не было установлено
или вредоносное ПО этого типа не было удалено, то в качестве
альтернативного способа лечения специалисты Лаборатории Касперского рекомендуют проделать следующие действия:
- в меню обозревателя Internet Explorer откройте окно Управление надстройками из меню обозревателя «Сервис→ Надстройки→ Включение и отключение надстроек»
- в окне Управление надстройками перечислены все
установленные и активные надстройки, среди которых следует выявить
вредоносную. Для этого обратите внимание на все надстройки, у которых в
графе Издатель либо ничего не указано, либо есть строка (Не проверено) – их следует проверить в первую очередь.
- в графе Файл проверьте расширения файлов таких подозрительных надстроек. Отключите подозрительные расширения, нажав кнопку Отключить.
- перезапустите Internet Explorer и убедитесь, что всплывающее окно исчезло.
Если описанная процедура не помогла, то возможно, причина в другом
расширении, и чтобы его выявить, последовательно отключите все
расширения, проверяя результат.
Программы, блокирующие доступ к ресурсам операционной системы
Этот вид вредоносной программы класса Trojan-Ransom
основан на блокировке доступа пользователя к ресурсам операционной
системы. В этом случае пользователь не может завершить работу
вредоносной программы или запустить любую другую программу, в том числе
Диспетчер задач. Запустив такую троянскую программу,
пользователь увидит на экране сообщение с требованием выкупа.
Клавиатура и мышка будут продолжать работать, но на экране появится
окно, которое невозможно свернуть, с которого невозможно переключиться
(например, с помощью сочетания клавиш «Alt-Tab»).
Остается только окно, расположенное поверх остальных, в котором
сформулированы условия получения пароля для восстановления
работоспособности системы.
Способ лечения №1. Для решения проблемы необходимо
завершить вредоносный процесс, блокирующий экран. Если компьютер
находится в сети, то можно подключиться к компьютеру с помощью средств
удаленного администрирования. Приведем пример с использованием
стандартного средства WMIC (Windows Management Instrumentation Command-line).
- на удаленной машине запустите командную оболочку cmd.exe
- выполните следующие команды:
wmic /NODE:<имя компьютера или сетевой адрес>
(например «/NODE:192.168.10.128») /USER:<имя пользователя на
зараженной машине> (например «/USER:Analyst»)
- появится предложение ввести пароль пользователя на компьютере, заблокированном программой-вымогателем, который также надо ввести
- далее выполните команду process
- после этого будет выведен список запущенных процессов на удаленной машине
-
найдите в списке подозрительный процесс, который не относится к ОС и пользовательским приложениям, например, aers0997.exe
- выполните следующую команду:
process where name=”<имя зловредного процесса>” delete (например, process where name=”aers0997.exe” delete)
- после завершения вредоносного процесса, на зараженной машине исчезнет окно с требованием выкупа
- установите антивирусное ПО и проведите проверку на вирусы.
Способ лечения №2. Другим вариантом функционирования вредоносных программ семейств Blocker
является блокирование работы не сразу после запуска вредоносного ПО, а
после перезагрузки компьютера. Если способ лечения №1 не помог, можно
воспользоваться встроенной возможностью восстановления ОС Windows. Рассмотрим последовательность шагов на примере ОС Windows 7 с использованием установочного DVD-диска. Инсталляционный диск понадобится Windows в процессе работы.
- загрузите компьютер в Безопасном режиме
- в меню на экране выберите пункт «Repair Your Computer».
- в процессе запуска вам будет предложено выбрать раскладку клавиатуры и ввести пароль пользователя Windows
- в появившемся далее диалоговом окне выберите пункт «System Restore» («Восстановление системы»)
- мастер восстановления предложит вам откатить систему к
одной из точек восстановления. Выберите последнюю точку восстановления
и дождитесь окончания работы мастера
- по завершении вам будет предложено перегрузиться, после чего скорее всего ограничения будут сняты.
Следует
отметить улучшенную защиту ОС Windows 7, в которой некоторые из
вредоносных программ семейства Blocker можно обезвредить средствами
«Диспетчера Задач Windows», завершив подозрительные запущенные процессы.
Способ лечения №3. Если предыдущий способ лечения не помог,
можно воспользоваться методом ручного удаления вредоносной программы из
безопасного режима.
Метод удаления вредоносного ПО вручную подходит только в том случае, если вы четко представляете последствия своих действий.
Для удаления вредоносной программы вручную проделайте следующие действия:
- перезагрузите компьютер в Безопасном режиме
- в меню выберите пункт «Safe mode with Command Prompt» (безопасный режим с запуском командной строки)
- дождитесь загрузки системы в безопасном режиме
- введите пароль для входа в систему (если это необходимо)
- после ввода пароля появится окно командной строки. Из окна
командной строки можно запускать любые утилиты и программы. В этом
случае искать, где прописалась вредоносная программа придется
самостоятельно, например, это можно сделать с помощью бесплатной
утилиты Autoruns.
Способ лечения №4. Если предыдущий способ лечения не помог или возможность загрузки Windows
из безопасного режима отключена вредоносной программой, можно
воспользоваться методом ручного удаления вредоносной программы с
использованием загрузочного компакт-диска, так называемого LiveCD, например, ERD Commander. Вредоносные программы класса Trojan-Ransom обычно используют системный реестр Windows. Рассмотрим самый распространенный случай – изменение значения «Userinit» в ветке «HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon». При такой автозагрузке блокировка компьютера происходит сразу после ввода пароля при входе в систему.
Для разрешения возникшей ситуации проделайте следующие действия:
- загрузите диск ERD Commander
- зайдите в меню «Start»→«Administrative Tools»→«Registry Editor»
- найдите ключ Userinit в ветке реестра «HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon»
- восстановите значение на «C:\Windows\system32\userinit.exe,»
Будьте осторожны и внимательны при работе с системным реестром!
- удалите вредоносный файл, который был прописан в «Userinit» (в случае, изображенном на рисунке, это файл: «C:\blocker.exe»)
- загрузите компьютер в обычном режиме.
Способ лечения №5. Если вы зарегистрированный пользователь продукта Лаборатории Касперского, обратитесь в Службу технической поддержки.
Программы, ограничивающие действия пользователя в операционной системе.
В операционных системах семейства Windows имеется
гибкий механизм политик безопасности, позволяющий системным
администраторам настраивать пользовательское окружение. Используя
системный реестр, можно отключить пункты системного меню, Панель Задач,
изменить вид папок и т.д. Вирусописатели используют функцию системы в
своих целях, создав целое семейство вредоносных программ,
ограничивающих действия пользователя в операционной системе. Изменение
системных настроек, таких как запрет запуска редактирования реестра,
запрет запуска Диспетчера задач и т.д., уже давно используется
разнообразными вредоносными программами. К этому виду
программ-вымогателей можно отнести семейства Trojan-Ransom.Win32.Krotten и Trojan-Ransom.Win32.Taras.
Как правило, после запуска такой программы на компьютере можно
запустить только Интернет-браузер, чтобы можно было заплатить выкуп.
Рассмотрим некоторые способы лечения.
Способ лечения №1. Удаление профиля заблокированного пользователя.
- перезагрузите компьютер в Безопасном режиме
- войдите в систему под другим пользователем, например, пользователем «Администратор»
- в случаях некоторых программ-вымогателей (например, Trojan-Ransom.Win32.Taras.e)
вы увидите, что возможности этого пользователя ничем не ограничены,
потому что действие троянской программы распространяется только на того
пользователя, который запустил эту вредоносную программу
- скопируйте содержимое рабочего стола заблокированного пользователя
и другие нужные файлы, чтобы не потерять важную информацию, а затем
удалите профиль заблокированного пользователя
- создайте нового пользователя и войдите в систему под новым аккаунтом.
Способ лечения №2. Некоторые вымогатели (например, Trojan-Ransom.Win32.Krotten.kq)
изменяют системные настройки, оказывающие эффект на всех пользователей
в системе. Например, вредоносная программа запускается при старте Windows и применяет настройки для каждого нового пользователя, кроме того, запрещая вход в безопасном режиме Windows. В этом случае может помочь лечение с использованием загрузочного диска LiveCD.
- скачайте архив с утилитой AVZ
- распакуйте архив с утилитой с помощью программы-архиватора, например, WinZip
- скопируйте утилиту на flash-носитель
- загрузитесь с LiveCD. Как правило, вредоносные
программы данного вида оставляют возможность запуска на заблокированном
компьютере только нескольких приложений: Internet Explorer, Outlook Express, чтобы пользователь мог отправить письмо злоумышленникам
- скопируйте содержимое каталога с утилитой AVZ на рабочий стол пользователя заблокированного компьютера
- переименуйте исполняемый файл утилиты с AVZ.exe на iexplore.exe (название исполняемого файла Internet Explorer)
- перезагрузите компьютер
- войдите в систему под заблокированным пользователем
- запустите с рабочего стола утилиту AVZ под именем iexplore.exe. Утилита запустится, т.к. программе Internet Explorer запуск разрешен.
- в окне утилиты выберите пункт меню «Файл»→«Восстановление системы»
- отметьте все пункты, кроме пунктов "Полное пересоздание настроек SPI (опасно)" и "Очистить ключи MountPoints & MountPoints2"
- нажмите кнопку Выполнить отмеченные операции
- по завершении операции восстановления, перезагрузите компьютер. Все ограничения будут сняты.
Способ лечения №3. Если вы являетесь зарегистрированным пользователем продукта Лаборатории Касперского, обратитесь в Службу технической поддержки.
Программы, шифрующие файлы пользователя.
Последний вид программ-вымогателей незаметно шифрует данные
пользователя. Позже пользователь обнаруживает, что не может получить
доступ к нужным файлам. Условия выкупа «данных-заложников» либо
помещаются в текстовый файл в каждом каталоге с зашифрованными файлами
(например, в случае Trojan-Ransom.Win32.GPCode), либо размещаются на обоях рабочего стола (например, так поступает Trojan-Ransom.Win32.Encore).
Обычно программы-вымогатели этого вида шифруют файлы избирательно – с расширениями doc, xls, txt
и т.д., то есть те, которые потенциально могут содержать важную для
пользователя информацию. Наиболее известное семейство таких программ Trojan-Ransom.Win32.Gpcode.
Способ лечения. Так как алгоритмы шифрования данных
варьируются от программы к программе, универсальных способов лечения
привести нельзя. Для расшифровки файлов как минимум надо иметь
экземпляр троянской программы, хотя и этого может быть недостаточно. В
случае заражения программой-вымогателем подобного вида, обратитесь в Службу технической поддержки Лаборатории Касперского. |