Боротьба з програмами-вимагачами, Хард
Останнім часом багаторазово почастішали випадки звернення до мене людей з однією і тією самою проблемою: внаслідок тих чи інших дій їх комп'ютер ставав жертвою троянів-вимагачів, які повністю або частково блокують доступ до комп'ютера або браузера і вимагають відправити SMS на короткий номер, щоб отримати код розблокування і тим самим його позбутися. За 3 дні 5 звернень! Подивившись на способи, якими люди боролися з цією навалою, вирішив викласти більш гуманні (ніж переустановка Windows) методи боротьби з нею.
Подальші дії залежать від того, як саме вас отримали. Варіантів кілька:
1.Втрачено контроль тільки над браузером. Це коли комп'ютер працює нормально, але при відкритті браузера з'являється або банер, або сторінка, яка вимагає відправити SMS. (поки не важливо який браузер, Internet Explorer, Mozilla FireFox і Opera однаково схильні до зараження, правда Internet Explorer заразити набагато простіше)
2.Частково втрачено контроль над комп'ютером. У цьому випадку серед екрану висить велике вікно, що вимагає від вас відправити SMS. Воно не закривається жодними комбінаціями клавіш, але при цьому можна відкрити меню "Пуск" і запустити будь-яку програму. Крім того, вікно не займає всю площу екрану.
3.Контроль над комп'ютером втрачено повністю. Тут уже повний триндець: комп'ютер завантажується, але весь екран закрити вікном, що вимагає грошей і більше комп'ютер не реагує. Жодні комбінації (включаючи Ctrl+Alt+Del) не допомагають.
Якщо втрачено контроль над браузером
Отже, комп'ютер працює нормально, але відкриваючи Internet Explorer, Mozilla FireFox або Opera бачимо погану бяку. Що робити?
1. Спробуйте відновити систему достану попереднього зараження. Спосіб актуальний для всіх Windows, починаючи з Windows XP. Для цього заходимо "Пуск"-> "Всі програми"->"Стандартні"->"Службові"->"Відновлення системи". У Windows різних версій відновлення системи виглядає по-різному, тому описуватиму стосовно Windows XP . Якщо запитають яке завдання хочемо виконати, вибираємо «Відновлення більш раннього стану комп'ютера». Далі, в календарі зліва вибираємо точку відновленняранее моменту зараження, тобто. наприклад, якщо зараження відбулося сьогодні, краще вибрати точку відновлення найближчу до поточної дати, наприклад, учора. Дні, для яких є точки відновлення у Windows XP, відзначаються на календарі жирним шрифтом. У Windows 7 точки відновлення показані списком, де в першій колонці стоїть дата та час створення точки. Отже, вибираємо точку раніше моменту зараження, тиснемо "Далі", комп'ютер перезавантажиться і почне процедуру відновлення. У 80% випадків цей спосіб мені допоміг швидко і безболісно привести комп'ютер до тями.
2. Якщо відновлення системи не допомогло, або немає точок відновлення, або просто не хочеться ним користуватися, тоді копатимемо глибше. Для кожного браузера індивідуально.
ДляInternet Explorer — Запускаємо Internet Explorer, заходимо в меню «Сервіс» і вибираємо або «Керування надбудовами» або «Надбудови» (залежить від версії IE). У вікні, що відкрилося, проходимося по всіх надбудовах, що мають стан «Включено» і вимикаємо їх (або перемикачем внизу вікна, або кнопкою «Вимкнути», залежить від версії IE). Після цього закриваємо Internet Explorer і запускаємо його ще раз – все має бути нормально
ДляMozillaFireFox - Відкриваємо меню Tools (Інструменти) - Add - ons (Додатки).Перевіряємо всі закладки: Extensions (Розширення), Themes (Теми), Plugins (Надбудови). Відключаємо все підозріле.
Якщо частково втрачено контроль над комп'ютером
Отже, висить бридке віконце, але комп'ютер реагує на команди і дозволяє запускати програми. Це добре. Навіть якщо вікно трояна нам заважає, вікно іншої програми можна рухати під ним так, щоб побачити чи вибрати щось. Це радує. Отже:
1. Спробуйте відновити систему до попереднього зараження. Як це зробити описано в попередньому розділі в пункті 1. Доведеться посміятися віконцем відновлення системи під віконцем трояна так, щоб все побачити і вибрати. Але це не складно. У 80% випадків на комп'ютерах клієнтів відновлення мені допомогло.
2. Якщо не вдалося запустити відновлення системи або вікно закривається вікном трояна так, що нічого там зробити не можна - спробуйте завантажити Windows в безпечному режимі. Якщо в безпечному режимі вікна здирника не буде, запускайте відновлення і вперед.
3. Якщо відновлення системи не вдалося, або цей спосіб вам не підходить - спробуйте обчислити код, який змусить троянця закритися. Зробити це можна на сайті Сервіс деактивації здирників-блокерів Лабораторії Касперського або на аналогічній сторінці сайту антивірусу DrWeb.
Якщо ви погано розбираєтеся в комп'ютерах і на даному етапі у вас нічого не вийшло - рекомендую звернутися за допомогою до професіоналів, тому що це не так. Перелічені далі способи можуть викликати у вас труднощі.
4. Способи 1-3 не прокотили? Настав час пускати в хід важку артилерію. Качаємо із сайту Sysinternals програму Process Explorer. Запускаємо її та бачимо список процесів, які запущені в системі. Шукаємо підозрілі процеси та видаляємо їх, попередньо запам'ятовуючишляхи до запущених файлів. Якщо після видалення процесу вікно лайнопрограми зникло - значить йдемо запам'ятованим шляхом і вбиваємо цю наволоч. А заразом пошукаємо її в реєстрі і видалимо посилання на неї і звідти.
Нічого не допомагає? Почитайте статтю Лабораторії Касперського Способи боротьби з програмами-вимагачами класу Trojan-Ransom. Там досить добре викладено методи боротьби.
Якщо контроль над комп'ютером втрачено повністю
Цей варіант значно гірший, т.к. потребує певного багажу знань для боротьби. Якщо ви не маєте таких знань - рекомендую звернутися до професіоналів. Людям із досвідом пораджу наступне:
1. Завантажити систему в безпечному режимі за допомогою командного рядка та обчислити процес, що блокує роботу системи. Наприклад, утилітою Марка україниновича Process Explorer.
2. Завантажити систему у безпечному режимі з підтримкою командного рядка та пройтися за списком автозапуску за допомогою утиліти Марка україниновича Autoruns вилучивши все підозріле.
Висновок
2.Не використовуйте Internet Explorer -ом. Завантажте Opera або Mozilla FireFox. Ці браузери набагато менш діряві, ніж дітище Microsoft
3.Регулярно оновлюйте Windows. Дуже багато гидоти проникає не тільки через браузери, але й через дірки самої Windows.
5.Регулярно оновлюйте антивірус. Чомусь про це люди теж не думають. Сидять із базами дворічної давності, і думають, що захищені.
Загалом, будьте пильні! Ви – на війні! Інтернет не тільки велике благо, а й кубло шахраїв. Варто позіхатись — і ви вже на гачку.
За цим прощаюсь. Подяки, як завжди, приймаються тут.
Дякуюfreeman _ net за допомогу в підготовці статті.
PPS: Запитання та пропозиціївітаються. Запитуйте, допоможу чим можу.