16 апреля 2015

Рекламные вирусы. Как защититься?

На сегодняшний день приходится всё реже сталкиваться с классическими вирусами, которые портили системные файлы, скрывали нужную информацию, блокировали интернет и пр. Современные вирусы создаются не для хулиганства или кибер-атак, а для прямого обогащения их создателей.
Сегодня мы поговорим о самом распространённом типе вирусов - вирусы, показывающие вам рекламные сообщения.

Пути распространения.
Все рекламные вирусы устанавливаются через интернет:
1. При заходе на сайт вам выдаётся запрос на установку ПО, если вы его принимаете, устанавливается приложение, распространяющее рекламу. Оно видно в установленных программах и легко удаляется через диспетчер установки\удалении программ.
2. Рекламное ПО может устанавливаться вместе с другой, нужной вам, программой. Внимательно проверяйте диалоговые окна инсталлятора на предмет предложений по установке дополнительного ПО. Обычно они представляют из себя «галочки», которые нужно снять.
3. Так же участились случаи установки расширений к браузеру или полноценного рекламного ПО без всяких запросов при заходе на сайты порнографического характера, а так же на сайты с пиратским контентом. В 95% случаев через браузер Google Chrome, а так же через браузеры, построенные на его движке (Амиго, Yandex.Браузер и пр.).

Где на компьютере "прячутся" рекламные программы?
Мест много:
1. Диспетчер установки\удаления программ. Многие рекламные вирусы можно удалить, просто зайдя в удаление программ и найдя там ПО, установленной недавно.
2. Расширения браузеров. Зайдите в список расширений и удалите все незнакомые вам.
3. Элементы автозагрузки. Зайдите в msconfig (для ОС Windows 7 или более старые) или диспетчер приложений и отмените автозагрузку всех незнакомых вам приложений.
4. Системные службы. Откройте "Управление компьютером" и в списке служб отключите все, подозрительные службы. Подсказка: пока нет не одного вируса, служба которого названа по-русски.
5. Проверьте свойства ярлыков браузеров, многие вирусы дописывают в них свой сайт, чтобы при клике по браузеру открывался именно он вместо вашей домашней страницы, а иногда и вовсе заменяют путь к исполняемому файлу браузера на .bat файл, запускающий тело вируса.
Хочется отметит, что это не полный список мест обнаружения рекламного ПО, а так же не всегда получается удалить его стандартными служебными средствами.

Что делать и как обезопасить себя?
Прежде всего стоит знать, что ни один антивирус или сетевой экран не может полностью защитить вас от рекламного ПО, так как классифицировать его как вирус очень сложно. Лидеры рынка — ESET и Лаборатория Касперского обеспечивают степень обнаружения в районе 50-60%, а о бесплатных антивирусах не стоит и говорить. Поэтому вся работа по вашей защите ложится на ваши плечи.
По факту единственная защита - это быть аккуратнее в интернете, не переходить по рекламным ссылкам на незнакомых сайтах, а лучше вообще посещать только крупные, проверенные сайты (благо их сейчас в достатке по всем направленностям). Например, если вам нужно скачать какую-то программу, найдите официальный сайт и скачайте её оттуда, что даст гарантию отсутствия вредоносного ПО, а вот запрос в поисковике "скачать программу бесплатно" с большой вероятностью приведёт вас на непроверенный сайт, содержащий рекламу.
Так же хочется заметить, что компьютеры, на которых установлено новейшее ПО (последняя редакция Windows и свежая версия браузера), ОС которых лицензионная и получает обновления безопасности, меньше подвержены любым угрозам, в том числе и рекламным.

Подводя итог хочется сказать, что для избавления от рекламного ПО не стоит использовать утилиты, распространяемые по интернету (как это не парадоксально, но в большинстве случаев это всё то же рекламное ПО), а обращаться к профессионалам (исключение из правил составляет отличная утилита adwcleaner by xplode, советую к ознакомлению). Спасибо за внимание и до новых встреч.

10 апреля 2015

Microsoft — MONT. «Как продать инфраструктурные решения?»

Microsoft

Наша компания поучаствовала в тренинге «Как продать инфраструктурные решения?», который организовали совместно компании MONT и Microsoft. Были разобраны особенности новых серверных решений от Microsoft и особенности их лицензирования. Приносим благодарность Куксову Владимиру за приглашение.
28 июля 2013

Winlocker, СМС-баннер, блокировщик. Что это такое? Как удалить СМС баннер?

1. Преамбула. «Все хотят заработать»
Последние несколько лет создатели вирусов стали не только вредить пользователям компьютеров, но и стали искать средства для заработка денег с помощью вирусов. Конечно, такие попытки осуществлялись и ранее, но не имели массового характера и сводились, чаще в сего, к краже паролей от учётных записей сайтов, аккаунтов интернет-банков и т. п. Теперь же мы столкнулись с массовым производством вирусов-вымогателей, поставленным «на поток». Так давайте же разберёмся, что это за вирусы и как с ними бороться.

2. Терминология. «Названий много — суть одна»
Давайте разберёмся в терминологии. Данный подвид вирусов производители антивирусного ПО называют Winlocker, так же в народе распространены названия: СМС-баннер, баннер, блокировщик и т. д. Названий много суть одна — это вирусы, которые не дают пользователю выйти на рабочий стол и осуществить какие-либо действия, тоесть блокируют запуск explorer.exe либо, реже, прописываются в загрузочный сектор жёсткого диска и блокируют запуск операционной системы.

Блокировка сопровождается сообщением вида «Ваш Windows заблокирован за ... (много варинтов, восновном фигурирует обвинение в тиражировании порно материалов). Положите на номер ... (номер) ... (сумма) рублей / Отправьте СМС на номер ... (номер)». «Закидывать» деньги на эти номера или отправлять СМС не нужно! В 99% случаев это не приводит ни к чему. Вы лишь потеряете свои деньги. Если же вы уже совершили ошибку, позвоните своему оператору и проверьте ваш номер на наличие подписок в случае отправки СМС, либо позвоните в службу технической поддержки терминала, через который происходила оплата и объясните ситуацию (иногда они идут навстречу и отменяют платёж).

Так что же делать? Как избавиться от вируса? Варианта решения проблемы два: либо вы можете обратится к специалисту (например к нам, позвонив по номеру, указанному в контактной информации), либо, если уровень ваших знаний достаточен и вы готовы потратить немного времени, давайте попытаемся разобраться в этом вместе. Для этого нам понадобиться определить: какой именно тип блокировщика у вас?

3. Типы блокировщиков. Методы удаления.
3.1. Autorun'ы.
Блокировщики, запускающиеся с помощью записи в автозагрузке (англ. autorun — «автозагрузка»).
Симптомы: Операционная система запускается. Возможен вход в «безопасном режиме с поддержкой командной строки».
Метод лечения:
а) Загружаемся в «безопасном режиме с поддержкой командной строки». Для этого при запуске компьютера нажимаем F8 с интервалом в 0.5-1 секунду, в появившемся меню выбора вариантов загрузке выбираем «безопасный режим с поддержкой командной строки». Ждём пока запустится система, при необходимости вводим пароль пользователя.
б.1) Windows XP: нажимаем комбинацию клавиш ctrl+shift+esc (открывается диспетчер задач), в появившемся окне выбираем Файл → Новая задача (Выполнить...). В появившемся поле вводим msconfig, жмём ОК либо Enter на клавиатуре.
б.2) Windows Vista, 7 (Seven): в командной строке (чёрное окно с белыми буквами) набираем msconfig и нажимаем Enter на клавиатуре.
в) В открывшемся окне «Настройка системы» открываем вкладку Автозагрузка и ищем строки, у котрых в графе Команда присутствует:
Windows XP:
C:\Windows\Temp\*
C:\Documents and Settings\All Users\*.exe
C:\Documents and Settings\All Users\Application Data\*.exe
C:\Documents and Settings\All Users\Local Settings\*.exe
C:\Documents and Settings\All Users\Local Settings\Temp\*
C:\Documents and Settings\(имя пользователя)\*.exe
C:\Documents and Settings\(имя пользователя)\Application Data\*.exe
C:\Documents and Settings\(имя пользователя)\Local Settings\*.exe
C:\Documents and Settings\(имя пользователя)\Local Settings\Temp\*
Windows Vista, 7 (Seven):
C:\Windows\Temp\*
C:\Users\ (имя пользователя)\*.exe
C:\Users\(имя пользователя)\AppData\*.exe
C:\Users\(имя пользователя)\AppData\Local\*.exe
C:\Users\(имя пользователя)\AppData\Local\Temp\*
C:\Users\(имя пользователя)\AppData\Roaming\*.exe
C:\Users\(имя пользователя)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\* (будте внимательны, по этому пути могут быть и нужные программы!)
г) Снимаем галочку с данных строк, запоминаем путь, прописанный в графе Команда, нажимаем ОК.
д) Находим файлы, пройдя по запомненному в предыдущем пункте пути, удаляем их.

3.2. Прописывающиеся в реестр.
Блокировщики, запускающиеся с помощью подмены параметров Shell, Userinit и UIHost ветки реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.
Симптомы: Операционная система запускается, но сразу высвечивается окно блокировщика. Вход в «безопасном режиме с поддержкой командной строки» так же приводит к появлению окна блокировщика.
Метод лечения:
а) Загружаемся с LiveCD WindowsPE (например, MSDaRT (ERD), Hiren Boot CD или любой другой). Пакет MSDaRT All ERD доступен по данной ссылке. Его лиш нужно скачать и записать на чистый DVD диск.
б) Открываем редактор реестра из ERD и переходим в ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.
в) Исправляем значения ключей:
Shell → Explorer.exe
Userinit → C:\Windows\system32\userinit.exe, (запятая в конце обязательна!)
UIHost → logonui.exe

3.3. Прописывающиеся в MBR.
Блокировщики, запускающиеся с помощью подмены загрузчика ОС, находящегося в MBR (англ. Master Boot Record — «главная загрузочная запись» (загрузочный сектор жёсткого диска)).
Симптомы: Операционная система не запускается, сразу появляется сообщение, выводимое блокировщиком.
Метод лечения:
а) Загружаемся с LiveCD WindowsPE (например, MSDaRT (ERD), Hiren Boot CD или любой другой). Пакет MSDaRT All ERD доступен по данной ссылке. Его лиш нужно скачать и записать на чистый DVD диск.
б) Восстаноавливаем загрузчик Windows, используя мастер работы с жёстким диском или fixmbr.

4. Послесловие. «Как защититься впоследствии?»
Как это ни печально, но на данный момент нет надёжной защиты от вирусов-блокировщиков. Производители антивирусного ПО не успевают за стремительно развивающимися и изменяющимися локерами, программы а-ля AntiWinLocker безсмысленны, так как не дают защиты одновременно от всех типов блокировщиков, а зачастую и вовсе не защищают от них, либо же запрещают все элементы автозагрузки или их изменение, что сказывается на удобстве работы.

Стоит оговорится, что блокировщики эффективны только лишь для систем Windows по 7 (Seven) включительно, тоесть новая 8'ка (Windows 8 (Eight)), как бы её не ругали, таким вирусам пока не подвержена, что является её несомненных плюсом.

Так как же защититься и не «словить баннер»? Совет один — старайтесь заходить на известные вам проверенные ресурсы, избегать порно-ресурсов и ресурсов, распространяющих нелицензионный контент, не щёлкать на рекламные баннеры, не верить сообщениям вида «на вашем компьютере обнаружено 116 вирусов. Лечить?», не открывать исполняемые файлы, присланные неизвестными, не переходить по ссылкам, присланным в социальных сетях и т. д. Выполняя эти рекомендации, можно с 99% вероятностью защитится от любых «вирусных» угроз.