Tagged “Блокировщики”

July 28, 2013

Winlocker, СМС-баннер, блокировщик. Что это такое? Как удалить СМС баннер?

1. Преамбула. «Все хотят заработать»
Последние несколько лет создатели вирусов стали не только вредить пользователям компьютеров, но и стали искать средства для заработка денег с помощью вирусов. Конечно, такие попытки осуществлялись и ранее, но не имели массового характера и сводились, чаще в сего, к краже паролей от учётных записей сайтов, аккаунтов интернет-банков и т. п. Теперь же мы столкнулись с массовым производством вирусов-вымогателей, поставленным «на поток». Так давайте же разберёмся, что это за вирусы и как с ними бороться.

2. Терминология. «Названий много — суть одна»
Давайте разберёмся в терминологии. Данный подвид вирусов производители антивирусного ПО называют Winlocker, так же в народе распространены названия: СМС-баннер, баннер, блокировщик и т. д. Названий много суть одна — это вирусы, которые не дают пользователю выйти на рабочий стол и осуществить какие-либо действия, тоесть блокируют запуск explorer.exe либо, реже, прописываются в загрузочный сектор жёсткого диска и блокируют запуск операционной системы.

Блокировка сопровождается сообщением вида «Ваш Windows заблокирован за ... (много варинтов, восновном фигурирует обвинение в тиражировании порно материалов). Положите на номер ... (номер) ... (сумма) рублей / Отправьте СМС на номер ... (номер)». «Закидывать» деньги на эти номера или отправлять СМС не нужно! В 99% случаев это не приводит ни к чему. Вы лишь потеряете свои деньги. Если же вы уже совершили ошибку, позвоните своему оператору и проверьте ваш номер на наличие подписок в случае отправки СМС, либо позвоните в службу технической поддержки терминала, через который происходила оплата и объясните ситуацию (иногда они идут навстречу и отменяют платёж).

Так что же делать? Как избавиться от вируса? Варианта решения проблемы два: либо вы можете обратится к специалисту (например к нам, позвонив по номеру, указанному в контактной информации), либо, если уровень ваших знаний достаточен и вы готовы потратить немного времени, давайте попытаемся разобраться в этом вместе. Для этого нам понадобиться определить: какой именно тип блокировщика у вас?

3. Типы блокировщиков. Методы удаления.
3.1. Autorun'ы.
Блокировщики, запускающиеся с помощью записи в автозагрузке (англ. autorun — «автозагрузка»).
Симптомы: Операционная система запускается. Возможен вход в «безопасном режиме с поддержкой командной строки».
Метод лечения:
а) Загружаемся в «безопасном режиме с поддержкой командной строки». Для этого при запуске компьютера нажимаем F8 с интервалом в 0.5-1 секунду, в появившемся меню выбора вариантов загрузке выбираем «безопасный режим с поддержкой командной строки». Ждём пока запустится система, при необходимости вводим пароль пользователя.
б.1) Windows XP: нажимаем комбинацию клавиш ctrl+shift+esc (открывается диспетчер задач), в появившемся окне выбираем Файл → Новая задача (Выполнить...). В появившемся поле вводим msconfig, жмём ОК либо Enter на клавиатуре.
б.2) Windows Vista, 7 (Seven): в командной строке (чёрное окно с белыми буквами) набираем msconfig и нажимаем Enter на клавиатуре.
в) В открывшемся окне «Настройка системы» открываем вкладку Автозагрузка и ищем строки, у котрых в графе Команда присутствует:
Windows XP:
C:\Windows\Temp\*
C:\Documents and Settings\All Users\*.exe
C:\Documents and Settings\All Users\Application Data\*.exe
C:\Documents and Settings\All Users\Local Settings\*.exe
C:\Documents and Settings\All Users\Local Settings\Temp\*
C:\Documents and Settings\(имя пользователя)\*.exe
C:\Documents and Settings\(имя пользователя)\Application Data\*.exe
C:\Documents and Settings\(имя пользователя)\Local Settings\*.exe
C:\Documents and Settings\(имя пользователя)\Local Settings\Temp\*
Windows Vista, 7 (Seven):
C:\Windows\Temp\*
C:\Users\ (имя пользователя)\*.exe
C:\Users\(имя пользователя)\AppData\*.exe
C:\Users\(имя пользователя)\AppData\Local\*.exe
C:\Users\(имя пользователя)\AppData\Local\Temp\*
C:\Users\(имя пользователя)\AppData\Roaming\*.exe
C:\Users\(имя пользователя)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\* (будте внимательны, по этому пути могут быть и нужные программы!)
г) Снимаем галочку с данных строк, запоминаем путь, прописанный в графе Команда, нажимаем ОК.
д) Находим файлы, пройдя по запомненному в предыдущем пункте пути, удаляем их.

3.2. Прописывающиеся в реестр.
Блокировщики, запускающиеся с помощью подмены параметров Shell, Userinit и UIHost ветки реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.
Симптомы: Операционная система запускается, но сразу высвечивается окно блокировщика. Вход в «безопасном режиме с поддержкой командной строки» так же приводит к появлению окна блокировщика.
Метод лечения:
а) Загружаемся с LiveCD WindowsPE (например, MSDaRT (ERD), Hiren Boot CD или любой другой). Пакет MSDaRT All ERD доступен по данной ссылке. Его лиш нужно скачать и записать на чистый DVD диск.
б) Открываем редактор реестра из ERD и переходим в ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.
в) Исправляем значения ключей:
Shell → Explorer.exe
Userinit → C:\Windows\system32\userinit.exe, (запятая в конце обязательна!)
UIHost → logonui.exe

3.3. Прописывающиеся в MBR.
Блокировщики, запускающиеся с помощью подмены загрузчика ОС, находящегося в MBR (англ. Master Boot Record — «главная загрузочная запись» (загрузочный сектор жёсткого диска)).
Симптомы: Операционная система не запускается, сразу появляется сообщение, выводимое блокировщиком.
Метод лечения:
а) Загружаемся с LiveCD WindowsPE (например, MSDaRT (ERD), Hiren Boot CD или любой другой). Пакет MSDaRT All ERD доступен по данной ссылке. Его лиш нужно скачать и записать на чистый DVD диск.
б) Восстаноавливаем загрузчик Windows, используя мастер работы с жёстким диском или fixmbr.

4. Послесловие. «Как защититься впоследствии?»
Как это ни печально, но на данный момент нет надёжной защиты от вирусов-блокировщиков. Производители антивирусного ПО не успевают за стремительно развивающимися и изменяющимися локерами, программы а-ля AntiWinLocker безсмысленны, так как не дают защиты одновременно от всех типов блокировщиков, а зачастую и вовсе не защищают от них, либо же запрещают все элементы автозагрузки или их изменение, что сказывается на удобстве работы.

Стоит оговорится, что блокировщики эффективны только лишь для систем Windows по 7 (Seven) включительно, тоесть новая 8'ка (Windows 8 (Eight)), как бы её не ругали, таким вирусам пока не подвержена, что является её несомненных плюсом.

Так как же защититься и не «словить баннер»? Совет один — старайтесь заходить на известные вам проверенные ресурсы, избегать порно-ресурсов и ресурсов, распространяющих нелицензионный контент, не щёлкать на рекламные баннеры, не верить сообщениям вида «на вашем компьютере обнаружено 116 вирусов. Лечить?», не открывать исполняемые файлы, присланные неизвестными, не переходить по ссылкам, присланным в социальных сетях и т. д. Выполняя эти рекомендации, можно с 99% вероятностью защитится от любых «вирусных» угроз.