От программ-вымогателей можно избавиться вручную

По данным компании «Доктор Веб», только за январь количество граждан, пострадавших от действий злоумышленников, использующих троянцы семейства Trojan.Winlock, достигло нескольких миллионов. А предположительные финансовые потери составили несколько сотен миллионов рублей.

Специалисты также отметили, что аппетиты злоумышленников сильно возросли с момента, когда появились первые версии вируса (около трех лет назад): если раньше стоимость SMS, которое злоумышленники требовали отправить на короткий номер для разблокировки системы, составляла примерно десять рублей, то теперь расценки хакеров повысились до 300-600 рублей.

При этом новые модификации вируса появляются постоянно, и в группе риска оказываются даже пользователи, на компьютерах которых установлены регулярно обновляемые антивирусы.

Наличие постоянно растущего числа подобных программ, а также их опасность подтверждают и в «Лаборатории Касперского». Так, эксперт компании отметил рост количества подобных программ в период с конца 2009 -- начала 2010 годов в своем блоге от 12 января этого года.

Плохое поведение

Чаще всего подобные троянцы проникают в компьютер под видом музыкальных и видеофайлов, кодеков и через различные уязвимости в операционной системе Windows. Попав в компьютер, вредоносные программы разворачивают бурную деятельность: блокируют работу файловых менеджеров, антируткитов, утилит по сбору информации, которые могут пригодиться в лечении «заразы», а кроме того, часто отключают возможность загрузки операционной системы в безопасном режиме, в котором можно вручную удалять некоторые версии вируса.

После активации вирус обычно извлекает из своего тела файл и размещает его в папке Temp текущего пользователя, затем -- изменяя параметры в системном реестре -- «разрешает» самому себе запускаться в автоматическом режиме. После перезагрузки компьютера вирус начинает работать.

Принцип действия и состав разных троянцев может различаться: это может быть пара из драйвера и библиотеки, а может быть и один исполняемый файл, но результат их вредоносной деятельности практически всегда одинаков: пользователь зараженного компьютера видит окно, занимающее весь экран, в котором содержится сообщение о том, что Windows заблокирована и для ее разблокировки необходимо отправить sms на короткий номер. В обмен злоумышленники обещают прислать код разблокировки, но ничего подобного не происходит.

Часто, чтобы эффективнее склонять пользователей к отсылке SMS, мошенники указывают в графе «стоимость сообщения» относительно небольшую цифру, хотя на самом деле это может быть крайне дорогое сообщение (300-1000 рублей). Свернуть окно, переключиться на другие окна командой Alt+Tab или вызвать «Диспетчер задач» возможности нет: вредоносная программа успешно их отключает. Тем не менее возможностей «вылечиться», не отправляя SMS предостаточно.

Самолечение

Самые простые способы избавиться от этой заразы -- воспользоваться сервисами деактивации вымогателей-блокеров, которые есть на сайтах ведущих российских антивирусных компаний, в частности и на drweb.com и на kaspersky.ru.

Посетив страничку, нужно просто ввести в специальную строку короткий номер, на который злоумышленники предлагают отправить SMS, и нажать расположенную рядом кнопку. В соседней строке появится сгенерированный программой код для разблокировки системы.

После разблокировки необходимо обновить антивирусное ПО и устроить полную проверку системы.

Безусловно, данный способ актуален, когда есть возможность выйти в интернет с другого компьютера; если возможности нет, то можно либо воспользоваться недавно открытым компанией «Доктор Веб» мобильным сервисом-деактиватором, либо расправиться с цифровым вредителем вручную.

Раздел технической поддержки «Лаборатории Касперского» предлагает сразу несколько способов борьбы с подобными программами, каждый из которых помогает против разных модификаций троянца.

Самый простой из «ручных» способов -- загрузить компьютер в «Безопасном режиме» и запустить процедуру «Восстановление системы», которая откатит систему на предыдущую контрольную точку (если она была создана) и обезоружит троянца. Однако этот способ работает только в случае, если троянец не отключил возможность загружать компьютер в «Безопасном режиме».

Если отключил, то вполне может помочь способ с использованием загрузочного диска LiveCD, с помощью которого можно попасть в системный реестр и восстановить значение ключа userinit с установленного вредоносной программой на стандартный C:\Windows\system32\userinit.exe, после чего нужно удалить вредоносный файл вручную и загрузить компьютер в обычном режиме.

Семейство блокираторов

Специалисты по вирусам различают целый ряд видов троянцев-блокираторов, которые можно подцепить в сети. Помимо программ-вымогателей, блокирующих работу с операционной системой, есть программы, блокирующие или нарушающие работу с браузерами.

В случае если при запуске браузера вместо стартовой страницы появляется сообщение о том, что браузер заблокирован, специалисты по сетевой безопасности рекомендуют открыть в текстовом блокноте файл hosts (искать нужно в Windows\System32\drivers\), самостоятельно удалить из него все строчки, кроме 127.0.0.1 localhost и сохранить файл в таком виде. После этого нужно проверить систему на вирусы актуальными антивирусным ПО.

Если в браузере (Internet Explorer) появился баннер, закрывающий пол-экрана и мешающий полноценной работе с программой, необходимо заглянуть в «Управление надстройками» из меню обозревателя (Сервис/Надстройки/Включение и отключение надстроек). В открывшемся окне нужно просмотреть все работающие надстройки и запретить подозрительные (не имеющие издателя или имеющие не проверенного издателя).

Впрочем, основной совет антивирусных специалистов остается прежним: как можно тщательнее подходить к вопросу защиты компьютера от вредоносных программ и как можно больше внимания уделять тому, на какие сайты заходит пользователь и что он с них скачивает.