 |
Аркады | Чат | Форум |   |
19.09.2013, 10:23
|
Сообщение: #1 (1077921) |
|
   
|
Чистим компьютер от Winlock'ера
Вступление:
Наверное каждый пользователь ПК с установленной ОС Windows знает о вирусах, троянах, червях итд. Но есть подгруппа зловредов по имени "RansomWare". Дословно: Ransom - выкуп, шантаж, а Ware(Software) - Программное обеспечение. А именно это - группа Троянов-Вымогателей. Наша "Гроза интернета" Winlock, или же по офф. базе Dr.Web - trojan.Winlock.xxxx. Сейчаз его может сделать любая школота благодаря проге "Winlocker Builder"(этими винлоками "Леквидаторы" казнят читаков). Но любой винлок будь то Дефолтный, требующий бабла за разлочку, или подсунуты леквидатором легко лечится. Разумеется при прямых руках и ХОТЯБЫ МИНИМАЛЬНЫМ НАВЫКОМ РАБОТЫ В РЕЕСТРЕ Windows. Принцип работы trojan.winlock: Для примера возьмем винлок сделанный через билдер. Он числится в базе Dr.Web как trojan.winlock.3333 . Сия модификация винлока требует запуска со стороны пользователя. При запуске, зловред придает своему ехе'шнику атрибут "Скрытый", затем отключает показ скрытых файлов в проводнике Windows, и прописывает себя в авторан. Как-то просто. Но другие модификации WinLocker'а прописывают себя в реестр /HKLM/Software/Microsoft/Windows NT/Current Version/WinLogOn/, там есть два ключа: shell и userinit. Обычно винлок прописывает себя или туда или в автозагрузку. Если чтотто дефолтные значения ключей: Shell = Explorer.exe Userinit = C:/WINDOWS/System32/userinit.exe Чистка + Логические Размышления: Ну что %username%, однажды ты запустил какой-то левый ехе'шник или просто включил комрьютер и видишь окно с текстом вроде "Windows Заблокирован! Гони бабло чтобы разблокировать!"? Ты столкнулся с распостраненным вымогателем бабла. Естественно, гнать бабло никому не надо, надо пошевелить мозгами, подчистить ФС и Реестр и все, вымогателя-зловреда как не бывало! Как следует из выше написанного, нужен доступ к ФС и к Реестру Винды. Так как доступ к основной ОС заблокирован винлоком, пойдем через черный ход - загрузимся с ERD Commander(ссылку на образ не оставляю, так как в инете его легко найти). Подключаемся к нашей ОС, заходим в реестр(если у вас не 3333'ая модификация - она в реестр немзалазит) и идем по пути /HKLM/Software/Microsoft/Windows NT/Current Version/WinLogOn/, ищем ключи shell и userinit, если они по дефолту остались, ищем в реестре записи по дате создания(приблизительно в день заражения) и внимательно проверяем автозагрузку, так как некоторые модификации винлоков прописываются сюда(например 3333). Далее ищем в ФС ехе'шник трояна. Чаще всего он лежит в корне папки пользователя(C:/Documents and Settings/%username%/),НО например ехе'шник winlock.3333 лежит в той директории, в которой был открыт. После всех действий и проверок жмем Start/Log-Off/Reboot. Достаем диск с ERD из привода как только комп токо начнет загружаться(во время Power On Self Test), хотя можно нажать Escape и выбрать загрузку с Жесткого Диска. Проверяем - после трояна не должно остаться ни следа! Еще после удачной загрузки рекомендую прошерстить все диски(локальные) хорошим антивирусом. В качестве профилактики советую держать на компе и антивирь и фаервол(Брандмауера недостаточно), и естественно не лазить по сайтам сомнительного содержания и ТЕМБОЛЕЕ НЕ КАЧАТЬ ОТ ТУДА ФАЙЛЫ! |
|
(1)|
19.09.2013, 10:55
|
Сообщение: #2 (1077925) |
|
|
Даа, вообще была идея собрать целую коллекцию скринов всех существующих винлоков. Они забавные.
Вот кажется один из САМЫХ первых, много лет назад еще гулял по сетям. Последний раз редактировалось vash; 19.09.2013 в 17:47. Причина: На некоторые вещи даже ссылок давать не нужно. |
|
|
|
19.09.2013, 17:32
|
Сообщение: #3 (1077942) | |
|
|
Мне он попался всего один раз в жизни, и то я тогда незнал о нем и не держал антивирь. Я планирую снимать обзоры модификаций этого вымогателя, хотя помимо дефолтного, сделанного самим же собой через билдер я ни разу не видел. Последний раз редактировалось vash; 19.09.2013 в 17:48. Причина: Та же, что и выше. |
|
|
|
|
28.09.2013, 11:50
|
Сообщение: #4 (1078247) |
|
|
Некоторые винлоки рассчитаны на определённый срок жизни (обычно 24 часа), после чего они самоуничтожаются. Поэтому, один из простых способов лечения - это оставить компьютер включённым где-то на сутки, и если не помогло, то приступать к более сложному "лечению".
Также, есть бесплатные сервисы для разблокировки системы, вот некоторые из них: Kaspersky Deblocker Разблокировка Windows Разблокировка Trojan.Winlock |
|
|
 |
| Социальные закладки |
| Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
Линейный вид
|
|
Текущее время: 11:51. Часовой пояс GMT +3.
|
Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2024, vBulletin Solutions, Inc. Перевод: zCarot PSPx Forum - Сообщество фанатов игровых консолей. |
![C чего начать? ⇒ ⇒ ⇒ [ЧАВО] - ответы на ЧАсто задаваемые ВОпросы](../forum/images/panel_start.png "C чего начать? ⇒ ⇒ ⇒ [ЧАВО] - ответы на ЧАсто задаваемые ВОпросы")
