Від програм-вимагачів можна позбутися вручну

може

українських користувачів мережі захлеснула епідемія троянців, які блокують доступ до браузерів, програм та навіть операційної системи, заявляють фахівці з інтернет-безпеки та дають поради про те, як уникнути зараження та що робити, якщо шахраям таки вдалося заблокувати комп'ютер.

Фахівці також зазначили, що апетити зловмисників сильно зросли з моменту, коли з'явилися перші версії вірусу (близько трьох років тому): якщо раніше вартість SMS, яку зловмисники вимагали відправити на короткий номер для розблокування системи, становила приблизно десять карбованців, то тепер розцінки хакерів підвищилися до 300-600 рублів.

При цьому нові модифікації вірусу з'являються постійно, і в групі ризику виявляються навіть користувачі, на комп'ютерах яких встановлені антивіруси, що регулярно оновлюються.

Погана поведінка

Після активації вірус зазвичай витягує зі свого тіла файл і розміщує його в папці Temp поточного користувача, потім - змінюючи параметри в системному реєстрі - дозволяє самому собі запускатися в автоматичному режимі. Після перезавантаження комп'ютера вірус починає працювати.

Принцип дії і склад різних троянців може відрізнятися: це може бути пара з драйвера і бібліотеки, а може бути і один файл, що виконується, але результат їх шкідливої ​​діяльності практично завжди однаковий: користувач зараженого комп'ютера бачить вікно, що займає весь екран, в якому міститься повідомлення про тому, що Windows заблокована і для її розблокування необхідно надіслати SMS на короткий номер. Натомість зловмисники обіцяють надіслати код розблокування, але нічого подібного не відбувається.

Часто, щоб ефективніше схиляти користувачів до відсилання SMS, шахраї вказують у графі «вартістьповідомлення» щодо невелику цифру, хоча насправді це може бути вкрай дороге повідомлення (300-1000 рублів). Згорнути вікно, перейти на інші вікна командою Alt+Tab або викликати «Диспетчер завдань» немає можливості: шкідлива програма успішно їх відключає. Проте можливостей «вилікуватися», не надсилаючи SMS достатньо.

Самолікування

Найпростіші способи позбавитися цієї зарази - скористатися сервісами деактивації здирників-блокерів, які є на сайтах провідних українських антивірусних компаній, зокрема і на drweb.com і на kaspersky.ru.

Завітавши на сторінку, потрібно просто ввести в спеціальний рядок короткий номер, на який зловмисники пропонують відправити SMS, і натиснути кнопку, що розташована поруч. У сусідньому рядку з'явиться згенерований програмою код для розблокування системи.

Після розблокування необхідно оновити антивірусне програмне забезпечення та влаштувати повну перевірку системи.

Безумовно, цей спосіб є актуальним, коли є можливість вийти в інтернет з іншого комп'ютера; якщо можливості немає, то можна або скористатися нещодавно відкритим компанією "Доктор Веб" мобільним сервісом-деактиватором, або розправитися з цифровим шкідником вручну.

Розділ технічної підтримки «Лабораторії Касперського» пропонує одразу кілька способів боротьби з подібними програмами, кожен із яких допомагає проти різних модифікацій троянця.

Найпростіший із «ручних» способів – завантажити комп'ютер у «Безпечному режимі» і запустити процедуру «Відновлення системи», яка відкотить систему на попередню контрольну точку (якщо вона була створена) і знеструмить троянця. Однак цей спосіб працює лише у випадку, якщо троянець не вимкнув можливість завантажувати комп'ютер у «Безпечному режимі».

Якщовідключив, то цілком може допомогти спосіб з використанням завантажувального диска LiveCD, за допомогою якого можна потрапити до системного реєстру і відновити значення ключа userinit із встановленого шкідливою програмою на стандартний C:\Windows\system32\userinit.exe, після чого потрібно видалити шкідливий файл вручну та завантажити комп'ютер у звичайному режимі.

Сімейство блокаторів

Фахівці з вірусів розрізняють цілу низку видів троянців-блокаторів, які можна підчепити в мережі. Крім програм-вимагачів, які блокують роботу з операційною системою, є програми, які блокують або порушують роботу з браузерами.

Якщо під час запуску браузера замість стартової сторінки з'являється повідомлення про те, що браузер заблокований, фахівці з мережевої безпеки рекомендують відкрити в текстовому блокноті файл hosts (шукати потрібно в Windows\System32\drivers\), самостійно видалити з нього всі рядки, крім 127.0 .0.1 localhost і зберегти файл у такому вигляді. Після цього потрібно перевірити систему на віруси актуальним антивірусним ПЗ.

Втім, основна рада антивірусних фахівців залишається незмінною: якнайретельніше підходити до питання захисту комп'ютера від шкідливих програм і якомога більше уваги приділяти тому, на які сайти заходить користувач і що він з них завантажує.