Тег «Защита»

29 июня 2015

Назойливая реклама. Рекламные программы и вирусы.

В последнее время основная вирусная угроза - это не вирусы в классическом понимании этого слова, а программы или расширения браузеров, показывающие пользователю нежелательную рекламу.

Избавится от них в большинстве случаев легко - открыл список установленных программ, отсортировал по дате установки, удалил подозрительные и установленные недавно программы - вуаля, всё чисто. Но всё не так просто как кажется на первый взгляд. Большинство распространённых сейчас рекламных вирусов создаёт в системе службу Windows и задания в планировщике задач, которые запускают по расписанию скачивание новой порции рекламных радостей.

Будьте внимательны: когда сами удаляете или доверяете кому-то очистку от рекламных угроз, проверьте, чтобы это было не только поверхностное удаление, но и очистка от служб, задач планировщика и отладчиков системных процессов, выполненная с помощью специализированных утилит, таких как avz, adwCleaner и т. п.

Спасибо за внимание и до новых встреч.

17 апреля 2015

Вирусы шифровальщики. Trojan.Encoder.

В последний год активизировались вирусы-шифровальщики. Давайте разберёмся, как от них защититься и что делать, если ваши файлы были зашифрованы.

Что такое вирус-шифровальщик (Trojan.Encoder)?
Вирусы, которые шифруют информацию, находящуюся на компьютере, после чего вы уже не можете открыть свои файлы, называются шифровальщиками. Чаще всего имена файлов изменяются на случайный набор символов или в конец имени файла дописывается одно или несколько расширений, например РеальноеИмяФайла.xtbt. Схема работа данного класса вирусов достаточно проста: после запуска приложения вируса, он шифрует файлы ключом RCA, после чего удаляет себя, оставляя сообщение на экране или в корне дисков с требованием перевести определённую сумму на счёт злоумышленника, чтобы получить дешифратор и расшифровать свои файлы.

Пути распространения.
Шифровальщики распространяются только через электронную почту или (очень редко) через веб-сайты. Через флешки, документы и другие источники ими заразиться нельзя. Чаще всего на электронную почту приходит письмо якобы от судебных приставов, во вложении которого находиться вирус под именем исполнительное производство № такой-то.

Как избежать заражения?
Чтобы избежать заражения не следует открывать письма от неизвестных вам источников, а так же проверять соответствие адреса отправителя. То есть, если счета за телефон всегда приходили вам с одного адреса, а вы получили письмо с темой "услуги связи" с другого, не стоит открывать данное письмо, узнайте сначала у своего оператора, меняли ли они адрес электронной почты для рассылок.

Что делать, если файлы уже зашифрованы?
Главное, что нужно сделать - скопировать несколько зашифрованных файлов на флешку или другой внешний носитель и выключить компьютер. Нельзя пользоваться жёстким диском с зашифрованной информацией. После этого есть три возможных решения:

1. Найти дешифратор. Есть несколько вируов-шифровальщиков, к которым уже найден ключ шифрования и изготовлены дешифраторы. Вы можете обратиться на форумы ESET, Kaspersky, Dr. Web, приложить образцы зашифрованных файлов и получить ответ - есть ли для этого вируса лекарство.

2. Попытаться восстановить файлы. Вы можете отдать диск на восстановление нашим специалистам, возможно удастся восстановить дешифрованные копии файлов. Во время работы шифровальщика он считывает незашифрованные файлы, шифрует их, и записывает шифрованные копии на свободное место жёсткого диска, после чего удаляет оригиналы файлов. Вполне реально восстановить по-крайней мере часть оригиналов файлов при помощи программно-аппаратных средств восстановления информации.

3. Заплатить злоумышленникам. Если предыдущие два варианта не помогли, можно попробовать выполнить требование вымогателей и перевести нужную сумму. Судя по отзывам в интернете процент получивших дешифратор после оплаты - около 50%. Один к одному - решать вам.


Будьте внимательней работая с электронной почтой и доверяйте лечение ваших компьютеров профессионалам. До новых встреч.

16 апреля 2015

Рекламные вирусы. Как защититься?

На сегодняшний день приходится всё реже сталкиваться с классическими вирусами, которые портили системные файлы, скрывали нужную информацию, блокировали интернет и пр. Современные вирусы создаются не для хулиганства или кибер-атак, а для прямого обогащения их создателей.
Сегодня мы поговорим о самом распространённом типе вирусов - вирусы, показывающие вам рекламные сообщения.

Пути распространения.
Все рекламные вирусы устанавливаются через интернет:
1. При заходе на сайт вам выдаётся запрос на установку ПО, если вы его принимаете, устанавливается приложение, распространяющее рекламу. Оно видно в установленных программах и легко удаляется через диспетчер установки\удалении программ.
2. Рекламное ПО может устанавливаться вместе с другой, нужной вам, программой. Внимательно проверяйте диалоговые окна инсталлятора на предмет предложений по установке дополнительного ПО. Обычно они представляют из себя «галочки», которые нужно снять.
3. Так же участились случаи установки расширений к браузеру или полноценного рекламного ПО без всяких запросов при заходе на сайты порнографического характера, а так же на сайты с пиратским контентом. В 95% случаев через браузер Google Chrome, а так же через браузеры, построенные на его движке (Амиго, Yandex.Браузер и пр.).

Где на компьютере "прячутся" рекламные программы?
Мест много:
1. Диспетчер установки\удаления программ. Многие рекламные вирусы можно удалить, просто зайдя в удаление программ и найдя там ПО, установленной недавно.
2. Расширения браузеров. Зайдите в список расширений и удалите все незнакомые вам.
3. Элементы автозагрузки. Зайдите в msconfig (для ОС Windows 7 или более старые) или диспетчер приложений и отмените автозагрузку всех незнакомых вам приложений.
4. Системные службы. Откройте "Управление компьютером" и в списке служб отключите все, подозрительные службы. Подсказка: пока нет не одного вируса, служба которого названа по-русски.
5. Проверьте свойства ярлыков браузеров, многие вирусы дописывают в них свой сайт, чтобы при клике по браузеру открывался именно он вместо вашей домашней страницы, а иногда и вовсе заменяют путь к исполняемому файлу браузера на .bat файл, запускающий тело вируса.
Хочется отметит, что это не полный список мест обнаружения рекламного ПО, а так же не всегда получается удалить его стандартными служебными средствами.

Что делать и как обезопасить себя?
Прежде всего стоит знать, что ни один антивирус или сетевой экран не может полностью защитить вас от рекламного ПО, так как классифицировать его как вирус очень сложно. Лидеры рынка — ESET и Лаборатория Касперского обеспечивают степень обнаружения в районе 50-60%, а о бесплатных антивирусах не стоит и говорить. Поэтому вся работа по вашей защите ложится на ваши плечи.
По факту единственная защита - это быть аккуратнее в интернете, не переходить по рекламным ссылкам на незнакомых сайтах, а лучше вообще посещать только крупные, проверенные сайты (благо их сейчас в достатке по всем направленностям). Например, если вам нужно скачать какую-то программу, найдите официальный сайт и скачайте её оттуда, что даст гарантию отсутствия вредоносного ПО, а вот запрос в поисковике "скачать программу бесплатно" с большой вероятностью приведёт вас на непроверенный сайт, содержащий рекламу.
Так же хочется заметить, что компьютеры, на которых установлено новейшее ПО (последняя редакция Windows и свежая версия браузера), ОС которых лицензионная и получает обновления безопасности, меньше подвержены любым угрозам, в том числе и рекламным.

Подводя итог хочется сказать, что для избавления от рекламного ПО не стоит использовать утилиты, распространяемые по интернету (как это не парадоксально, но в большинстве случаев это всё то же рекламное ПО), а обращаться к профессионалам (исключение из правил составляет отличная утилита adwcleaner by xplode, советую к ознакомлению). Спасибо за внимание и до новых встреч.

28 июля 2013

Winlocker, СМС-баннер, блокировщик. Что это такое? Как удалить СМС баннер?

1. Преамбула. «Все хотят заработать»
Последние несколько лет создатели вирусов стали не только вредить пользователям компьютеров, но и стали искать средства для заработка денег с помощью вирусов. Конечно, такие попытки осуществлялись и ранее, но не имели массового характера и сводились, чаще в сего, к краже паролей от учётных записей сайтов, аккаунтов интернет-банков и т. п. Теперь же мы столкнулись с массовым производством вирусов-вымогателей, поставленным «на поток». Так давайте же разберёмся, что это за вирусы и как с ними бороться.

2. Терминология. «Названий много — суть одна»
Давайте разберёмся в терминологии. Данный подвид вирусов производители антивирусного ПО называют Winlocker, так же в народе распространены названия: СМС-баннер, баннер, блокировщик и т. д. Названий много суть одна — это вирусы, которые не дают пользователю выйти на рабочий стол и осуществить какие-либо действия, тоесть блокируют запуск explorer.exe либо, реже, прописываются в загрузочный сектор жёсткого диска и блокируют запуск операционной системы.

Блокировка сопровождается сообщением вида «Ваш Windows заблокирован за ... (много варинтов, восновном фигурирует обвинение в тиражировании порно материалов). Положите на номер ... (номер) ... (сумма) рублей / Отправьте СМС на номер ... (номер)». «Закидывать» деньги на эти номера или отправлять СМС не нужно! В 99% случаев это не приводит ни к чему. Вы лишь потеряете свои деньги. Если же вы уже совершили ошибку, позвоните своему оператору и проверьте ваш номер на наличие подписок в случае отправки СМС, либо позвоните в службу технической поддержки терминала, через который происходила оплата и объясните ситуацию (иногда они идут навстречу и отменяют платёж).

Так что же делать? Как избавиться от вируса? Варианта решения проблемы два: либо вы можете обратится к специалисту (например к нам, позвонив по номеру, указанному в контактной информации), либо, если уровень ваших знаний достаточен и вы готовы потратить немного времени, давайте попытаемся разобраться в этом вместе. Для этого нам понадобиться определить: какой именно тип блокировщика у вас?

3. Типы блокировщиков. Методы удаления.
3.1. Autorun'ы.
Блокировщики, запускающиеся с помощью записи в автозагрузке (англ. autorun — «автозагрузка»).
Симптомы: Операционная система запускается. Возможен вход в «безопасном режиме с поддержкой командной строки».
Метод лечения:
а) Загружаемся в «безопасном режиме с поддержкой командной строки». Для этого при запуске компьютера нажимаем F8 с интервалом в 0.5-1 секунду, в появившемся меню выбора вариантов загрузке выбираем «безопасный режим с поддержкой командной строки». Ждём пока запустится система, при необходимости вводим пароль пользователя.
б.1) Windows XP: нажимаем комбинацию клавиш ctrl+shift+esc (открывается диспетчер задач), в появившемся окне выбираем Файл → Новая задача (Выполнить...). В появившемся поле вводим msconfig, жмём ОК либо Enter на клавиатуре.
б.2) Windows Vista, 7 (Seven): в командной строке (чёрное окно с белыми буквами) набираем msconfig и нажимаем Enter на клавиатуре.
в) В открывшемся окне «Настройка системы» открываем вкладку Автозагрузка и ищем строки, у котрых в графе Команда присутствует:
Windows XP:
C:\Windows\Temp\*
C:\Documents and Settings\All Users\*.exe
C:\Documents and Settings\All Users\Application Data\*.exe
C:\Documents and Settings\All Users\Local Settings\*.exe
C:\Documents and Settings\All Users\Local Settings\Temp\*
C:\Documents and Settings\(имя пользователя)\*.exe
C:\Documents and Settings\(имя пользователя)\Application Data\*.exe
C:\Documents and Settings\(имя пользователя)\Local Settings\*.exe
C:\Documents and Settings\(имя пользователя)\Local Settings\Temp\*
Windows Vista, 7 (Seven):
C:\Windows\Temp\*
C:\Users\ (имя пользователя)\*.exe
C:\Users\(имя пользователя)\AppData\*.exe
C:\Users\(имя пользователя)\AppData\Local\*.exe
C:\Users\(имя пользователя)\AppData\Local\Temp\*
C:\Users\(имя пользователя)\AppData\Roaming\*.exe
C:\Users\(имя пользователя)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\* (будте внимательны, по этому пути могут быть и нужные программы!)
г) Снимаем галочку с данных строк, запоминаем путь, прописанный в графе Команда, нажимаем ОК.
д) Находим файлы, пройдя по запомненному в предыдущем пункте пути, удаляем их.

3.2. Прописывающиеся в реестр.
Блокировщики, запускающиеся с помощью подмены параметров Shell, Userinit и UIHost ветки реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.
Симптомы: Операционная система запускается, но сразу высвечивается окно блокировщика. Вход в «безопасном режиме с поддержкой командной строки» так же приводит к появлению окна блокировщика.
Метод лечения:
а) Загружаемся с LiveCD WindowsPE (например, MSDaRT (ERD), Hiren Boot CD или любой другой). Пакет MSDaRT All ERD доступен по данной ссылке. Его лиш нужно скачать и записать на чистый DVD диск.
б) Открываем редактор реестра из ERD и переходим в ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.
в) Исправляем значения ключей:
Shell → Explorer.exe
Userinit → C:\Windows\system32\userinit.exe, (запятая в конце обязательна!)
UIHost → logonui.exe

3.3. Прописывающиеся в MBR.
Блокировщики, запускающиеся с помощью подмены загрузчика ОС, находящегося в MBR (англ. Master Boot Record — «главная загрузочная запись» (загрузочный сектор жёсткого диска)).
Симптомы: Операционная система не запускается, сразу появляется сообщение, выводимое блокировщиком.
Метод лечения:
а) Загружаемся с LiveCD WindowsPE (например, MSDaRT (ERD), Hiren Boot CD или любой другой). Пакет MSDaRT All ERD доступен по данной ссылке. Его лиш нужно скачать и записать на чистый DVD диск.
б) Восстаноавливаем загрузчик Windows, используя мастер работы с жёстким диском или fixmbr.

4. Послесловие. «Как защититься впоследствии?»
Как это ни печально, но на данный момент нет надёжной защиты от вирусов-блокировщиков. Производители антивирусного ПО не успевают за стремительно развивающимися и изменяющимися локерами, программы а-ля AntiWinLocker безсмысленны, так как не дают защиты одновременно от всех типов блокировщиков, а зачастую и вовсе не защищают от них, либо же запрещают все элементы автозагрузки или их изменение, что сказывается на удобстве работы.

Стоит оговорится, что блокировщики эффективны только лишь для систем Windows по 7 (Seven) включительно, тоесть новая 8'ка (Windows 8 (Eight)), как бы её не ругали, таким вирусам пока не подвержена, что является её несомненных плюсом.

Так как же защититься и не «словить баннер»? Совет один — старайтесь заходить на известные вам проверенные ресурсы, избегать порно-ресурсов и ресурсов, распространяющих нелицензионный контент, не щёлкать на рекламные баннеры, не верить сообщениям вида «на вашем компьютере обнаружено 116 вирусов. Лечить?», не открывать исполняемые файлы, присланные неизвестными, не переходить по ссылкам, присланным в социальных сетях и т. д. Выполняя эти рекомендации, можно с 99% вероятностью защитится от любых «вирусных» угроз.