Боремся с блокираторами [Trojan.Winlock]

Discussion in 'Безопасность и Анонимность' started by HIMIKAT, 22 Dec 2010.

  1. HIMIKAT

    HIMIKAT Elder - Старейшина

    Joined:
    12 Jan 2007
    Messages:
    2,707
    Likes Received:
    581
    Reputations:
    403
    Trojan.Winlock (по классификации Dr.Web) — семейство вредоносных программ-вымогателей, блокирующих или затрудняющих работу с операционной системой, и требующих перечисление денег злоумышленникам за восстановление работоспособности компьютера. Ранее для перевода денег обычно использовались короткие SMS-номера, в настоящее время также подобные программы также могут требовать перечисления денег на электронные кошельки (например, «Яндекс.Деньги») либо баланс мобильного номера. Необходимость перевести деньги часто объясняется тем, что «Вы получили временный бесплатный доступ к сайту для взрослых, необходимо оплатить продолжение его использования» (такие «блокировщики» часто содержат порнографические изображения в своем «интерфейсе») либо тем, что «на Вашем компьютере обнаружена нелицензионная копия Windows» ...читать далее

    Ресурсы предоставляющие коды разблокировки:

    Kaspersky
    Kaspersky [mobile]
    Dr.Web
    Eset
    Google
    [был у меня случай, что кода на разблок не было ни в одной базе, похоже блокер совсем недавно появился. Я значит скопировал номер в поисковик, и там был единственный результат выдачи, я перешел на форум и там буквально несколько часов назад, человек запостил код разблока как раз под нужный мне номер. Я ввел для поиска просто номер на который требовалось отправить смс, но можете попробовать по разному номер блокиратор, номер код активации, номер снять блокировку Windows, вобщем экспериментируйте]


    Доп. сайты которые могут пригодится:

    Лично я если сомневаюсь в содержимом сайта, переходить на него или нет, проверяю этот сайт на наличие разной заразы, посредством online сервисов:

    http://vms.drweb.com/online/?lng=ru
    http://burbon.ru/service/virus.php

    ...в день от 20 до 30 сайтов проверяю

    Утилиты противодействия:

    RansomHide

    [​IMG]

    Микроскопическая, но при этом мегаполезная программа для тех, у кого по той или иной причине на компьютер попал и этот самый компьютер заблокировал вирус, выдающий себя за фальшивую активацию Windows. Программа является сборником кодов, которые надо ввести в соответствующее окно, чтобы эту самую блокировку снять - а дальше либо поставить антивирус и почистить компьютер, либо любым другим способом удалить вредоносную программу. Ведет поиск по номеру SMS и требуемым к отправке текстом.

    Скачать:
    http://www.sendspace.com/file/zlrvmn

    Windows unlocker

    [​IMG]

    Если ты знаком с трояном win.lock, который для разблокировки Windows просит отправить SMS на номер NNNN, то наверняка знаешь, что от него очень и очень сложно избавиться (особенно с появлением последних версий этого "зверька"). Специально для избавления от данной напасти мембер форума Асечки DjFly и написал прогу Windows unlocker. Более подробно ознакомится с функционалом программы можно в теме автора <<ссылка>>, где вы можете почитать все возможности и задать интересующие вопросы. А так же часть функционала, можно понять исходя из скриншота.

    Скачать:
    http://www.sendspace.com/file/1ba14c

    Если удалось разблокировать систему, рекомендуется произвести тотальную проверку системы, дабы удалить все потроха от тела блокера и он в будущем снова больше никак не проявил себя. Для этого я рекомендую одну из двух утилит:

    Dr.Web CureIt!®
    Kaspersky Virus Removal Tool

    Реестр & Hosts

    • Если не открываются какие либо сайты (соц. сети, антивирусных компаний) либо перекидывает на ресурсы с вредоносным содержанием. Делаем так, Пуск - Выполнить - C:\WINDOWS\system32\drivers\etc\hosts.txt

      Вот так должно выглядеть его содержимое, все лишнее удаляете:
      PHP:
      # Этот файл содержит сопоставления IP-адресов именам узлов.
      # Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
      # находиться в первом столбце, за ним должно следовать соответствующее имя.
      # IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
      #
      # Кроме того, в некоторых строках могут быть вставлены комментарии
      # (такие, как эта строка), они должны следовать за именем узла и отделяться
      # от него символом '#'.
      #
      # Например:
      #
      #      102.54.94.97     rhino.acme.com          # исходный сервер
      #       38.25.63.10     x.acme.com              # узел клиента x
    • Как разблокировать Windows посредством редактирования реестра? В реестре винды есть ключ HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit, который определяет программы, которые Winlogon запускает, когда пользователь входит в систему. По умолчанию, Winlogon запускает файл Userinit.exe, который в свою очередь стартует logon-скрипты, устанавливает сетевые подключения, а затем запускает и Explorer.exe, т.е. пользовательский интерфейс Windows. Прописав до Userinit.exe путь до какой-нибудь программы, можно запустить ее, прежде чем стартует интерфейс Windows Explorer, а, прописав после, – обозначить старт конкретного приложения сразу после появление пользовательского интерфейса. Блокеры очень часто изменяют этот ключ, дописывая путь до своего исполняемого файла:

      PHP:
      Userinit = %systemfolder%\userinet.exe, [путь до исполняемого файла блокера]
      Само тело вируса обычно размещается где-нибудь в неприметном месте. Как вариант, прикидываясь временным файлом с расширением tmp, оно находится в каталоге с временными файлами Windows. Обнаружив в этом ключе подозрительные записи, удаляем подозрительные бинарники и возвращаем значение ключа до "%systemfolder%\userinit.exe". Другой распространенный способ для автозапуска для блокеров - прописаться в ключе shell (находится в том же разделе реестра, что userinit), заменив стандартное значение explorer.exe на путь до зловредного бинарника.
    • Если не запускается сам реестр, то нужно произвести следующие манипуляции. Нам нужно будет внести или поправить ключи реестра DisableRegedit и DisableRegistryTools:
      PHP:
      reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegedit /t REG_DWORD /d 0
      reg add HKCU
      \Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegedit /t REG_DWORD /d 0
      reg add HKCU
      \Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0
    • Если вообще не получается запустить exe-файла. Пробуем выполнить такой reg файл скачать.
    • Если не запускается диспетчер задач, создаем reg файл следующего содержания:
      PHP:
      [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
      "DisableTaskMgr"=dword:0

    Live CD или безопасный режим

    Если версия малвари которую вы подцепили, то возможно поможет загрузка в безопасном режиме и дальнейший скан системы при помощи утилит, которые я указал выше. Как правило последние версии блокеров более технологичны и там такое уже не получится реализовать, тогда остается только загрузка при помощи Live CD [я бы рекомендовал: ERD Commander (5.0 – для Windows XP, 6.0 – для Windows Vista, 6.5 – для Windows 7/Server 2008 R2). Так же можно задействовать Live CD от антивирусных компаний, такие как Kaspersky Rescue Disk или Dr.Web LiveCD] и все то же самое пресловутое сканирование на предмет наличия в системе малвари.

    Блокираторы в браузерах

    Так же блокеры могут засесть в вашем браузере и выдавать вам попап порнографического содержания со ссылкой на вредоносный ресурс либо требующие отправить смс. В таком случае нам нужно отключить [удалить] в браузере все подозрительные расширения. Где они находятся:

    Mozilla Firefox [Инструменты - Дополнения]
    Internet Explorer [Сервис - Надстройки - Панели инструментов и расширения]
     
    #1 HIMIKAT, 22 Dec 2010
    Last edited: 23 Dec 2010
    4 people like this.
  2. DesCent

    DesCent Banned

    Joined:
    9 Jul 2010
    Messages:
    276
    Likes Received:
    51
    Reputations:
    16
    Еще юзал такой метод: запускал поиск по файлам с датой изменения/создания примерно на то время, когда был пойман зловред. Парочку убил так.
     
  3. Ponchik

    Ponchik Хлебо-булочное изделие

    Joined:
    30 Aug 2005
    Messages:
    687
    Likes Received:
    807
    Reputations:
    311
    не C:\WINDOWS\system32\drivers\etc\hosts.txt
    а C:\WINDOWS\system32\drivers\etc\hosts
    у него нет расширения =\
    и вяглядит он не так, как ты показал, там должен быть localhost
    хакеры...

    И что это за хрень
    reg add HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem /v DisableRegistryTools /t REG_DWORD /d 0
    ТС, ты когда нагло копируешь, ты читай что ты копируешь... Нет знаков /
    бред а не тема :eek:
     
    #3 Ponchik, 22 Dec 2010
    Last edited: 22 Dec 2010
  4. A_n_d_r_e_i

    A_n_d_r_e_i Elder - Старейшина

    Joined:
    2 Sep 2009
    Messages:
    200
    Likes Received:
    265
    Reputations:
    32
    а тем кто не зареган на асечке, еще и бежать регаться?
     
    #4 A_n_d_r_e_i, 22 Dec 2010
    Last edited: 29 Dec 2010
  5. aim

    aim Historic Person

    Joined:
    1 May 2009
    Messages:
    742
    Likes Received:
    829
    Reputations:
    107
    можно было все эти утилиты и способы вложить в закреплённую тему..
     
  6. HIMIKAT

    HIMIKAT Elder - Старейшина

    Joined:
    12 Jan 2007
    Messages:
    2,707
    Likes Received:
    581
    Reputations:
    403
    A_n_d_r_e_i
    Как я посчитал нужным, так и сделал. Поскольку добавлять сюда описание, это равносильно увеличить тему на половину размера от теперешнего. К тому же из скриншота и так половина функционала понятна.

    upd.
    добавил мини описание для утилиты Windows unlocker