Вирусы, блокирующие операционную систему Windows (Trojan.Winlock и аналоги). Эта эпидемия началась ещё в середине 2009 года, но до сих пор держит в напряжении и пользователей и разработчиков антивирусных программ. Принцип работы вируса — вывод на экран большого окна, перекрывающего все другие окна, на котором указано требование оплатить разблокировку. Вирус может использовать и небольшой элемент социальной инженерии, объясняя своё появление необходимостью оплаты штрафа за использование нелицензионного ПО или просмотр порнографических материалов
Блокираторы - вирусное программное обеспечение, препятствующее нормальной работе за персональным компьютером или же полная блокировка действий с ним
Название "Trojan.Winlock" давно стало характеризовать целую отрасль в вирусостроении, когда малварь не скрывает себя в системе, а наоборот всячески показывает свое присутствие, блокируя работу пользователя. Сначала способы выманивая денег напоминали скорее вымогательства (именно поэтому класс вирусов называется Ransomware – от английского слова ransom, выкуп), явно указывая на то, что экран блокирует вирус и сдастся он только после отправки SMS на платный номер. Позже, методы развода стали более изящными: пользователей припугивают, что появившееся окно является новой системой защиты Microsoft по борьбе с нелицензионным ПО, разыгрывают неплохой спектакль, прикидываясь антивирусом, который разом находит кипу вирусов в системе и так далее – главное, что во всех случаях проблемы предлагается быстро решить отправкой на короткий номер SMS.
Блокираторы могут ограничивать пользователя в посещении определенных страниц (например, Яндекса, Одноклассников, а также сайтов антивирусных компаний), в использовании браузера, но больше всего тех, и они серьезнее всех других, версий малвари, которая блокируют доступ к ресурсам операционной системы. Подхватив заразу, пользователь нарывается на то самое окно, в котором ему предлагается ввести код для разблокировки, полученный после отправки SMS на указанный номер. При этом выполнить какие-либо другие действия на компьютере невозможно или практически невозможно. Приложение либо вообще запрещает любые операции в системе, ограничивая поле деятельности активным окном, либо же внимательно следит за тем, что делает пользователь.
В любом случае, даже самые продвинутые блокеры – малварь, как правило, примитивная.
Все, что требуется от блокиратора – хорошенько ограничить пользователя в действиях и по возможности отрубить антививирусы (с чем, кстати, он нередко справляются). Так или иначе, заразу довольно легко удалить как вручную, так и с помощью многочисленных антивирусных инструментов.
Первые версии блокеров был легко обмануть, даже банальной перезагрузкой в безопасный режим. Далее можно либо скачать и запустить какой-нибудь антивирусный сканер, либо же расправиться с заразой вручную.
wmic /NODE: (например
/NODE:192.168.1.12) /USER: (например, /USER:yastep)
process where name="" delete
Dr.Web LiveCD
и Kaspersky Rescue Disk.
Самый верный способ обезвредить и удалить тело вируса, – отыскать, где она успела прописаться для автоматического запуска на старте системы. Вариантов очень много, и описывать все было бы просто глупо (в конце концов, с задачей неплохо справляются такие тулзы, как Hijackthis, Autoruns и OSAM). Но есть способ, который именно блокеры любят больше всего, и о нем грех не рассказать.
В реестре винды есть ключ HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit, который определяет программы, которые Winlogon запускает, когда пользователь входит в систему. По умолчанию, Winlogon запускает файл Userinit.exe, который в свою очередь стартует logon-скрипты, устанавливает сетевые подключения, а затем запускает и Explorer.exe, т.е. пользовательский интерфейс Windows. Прописав до Userinit.exe путь до какой-нибудь программы, можно запустить ее, прежде чем стартует интерфейс Windows Explorer, а, прописав после, – обозначить старт конкретного приложения сразу после появление пользовательского интерфейса. Блокеры очень часто изменяют этот ключ, дописывая путь до своего исполняемого файла:
Userinit = %systemfolder%\userinit.exe, [путь до исполняемого файла
блокера]
Само тело вируса обычно размещается где-нибудь в неприметном месте. Как вариант, прикидываясь временным файлом с расширением tmp, оно находится в каталоге с временными файлами Windows. Обнаружив в этом ключе подозрительные записи, удаляем подозрительные бинарники и возвращаем значение ключа до "%systemfolder%\userinit.exe".
Другой распространенный способ для автозапуска для блокеров – прописаться в ключе shell (находится в том же разделе реестра, что userinit), заменив стандартное значение explorer.exe на путь до зловредного бинарника.
Способов на деле очень много, но если отыскать подозрительные записи в реестре, то легко удалить и тела вирусов. Правда, некоторая малварь идет на самую малую хитрость и размещает свои файлы в скрытых потоках на диске, но тем проще ее обнаружить. Какие еще приложения используют такую возможность NTFS? Да никакие. Удалить их несложно с помощью утилиты streams
от Марка Руссиновича, запустив в консоли: streams.exe -d -s c:\