Винлок
Винлок (англ. Winlock) — троян-вымогатель, актуальная беда рядовых юзеров и прочих нубов начиная с конца 2007 года. Для большинства возникает ВНЕЗАПНО и самостоятельно очень сложно выводится — большинство винлоков имеют довольно хорошую защиту от дурака, да и, собственно, недалёкость реципиента и есть основа прибыли создателей этой подставы.
Содержание |
Что это?
Внешне выглядит как окошко, в котором вам пытаются втюхать какую-то фигню и заставить вас отправить СМС (недешевое, разумеется), дабы разблокировать ваш комп. После отправки, якобы, придёт код активации, или же будет напечатан на чеке qiwi, который разблокирует комп.
Винлок развивался долго:
- Сначала это был простенький троян, который заменял файл hosts и защищал его от записи, что приводило к замене некоторых страниц на уютный сайтик вымогателя. Самые первые версии выглядели скорее шуткой, так как ничего не вымогали, а просто блокировали рабочий стол, показывая на весь экран что-то вроде большой волосатой задницы.
- Затем это был баннер, который, как правило, полностью состоял из прона и распространялся как гуглояндексовый бар. «Прикреплялся» к браузеру и вне его не распространялся.
- Затем этот баннер «научился» перекрывать рабочий стол и диспетчер задач. Опытный юзер быстро побеждал этот вирус путём разных хитростей типа regedit'а и разных известных сочетаний клавиш.
- Вирусописатели в ответ доработали троян напильником. Теперь он полностью загораживает рабочий стол, завершает explorer, перекрывает доступ почти ко всему и запрещает диспетчер задач.
- Последние версии (MBR-Locker'ы) и вовсе устанавливаются как отдельный загрузчик и стартуют ещё ДО загрузки венды, не оставляя пушистой жертве ни единого шанса.
- Очень редко встречались винлоки, которые переписывали биос и стартовали сразу, вместе с биосом, но работало это только на некоторых моделях материнских плат.
Где скачать?
Скачать винлок не составляет труда. Достаточно просто побродить по интернету некоторое время. Винлок сам найдёт вас. Вы даже не заметите, как он скачается и установится в вашу систему. Нет, серьёзно, всё так и есть, особенно если вы шляетесь по всяким сетевым аналогам общественных сортиров при дефолтном браузере и без отключения скриптов. Винлок может попасть к вам на комп с любого брошенного или порно-сайта, кулхацкеры могут заразить им часто посещаемый форум или сайт, а также вы сами по-старинке можете скачать его под видом «нового мега-ПО». Есть версии под Макось и называются маклоками. Мойте руки перед едой!
Существует распространённое заблуждение, что эта напасть касается только пользователей Windows XP, и что юзеры Висты, Семёрки или Макоси могут спать спокойно. Разумеется, это типичный нубский миф. Не менее года существуют и активно приносят доход ушлым людям версии под Seven и Макось. И даже самая залатанная контрацепция, в конечном итоге, не спасает безликие массы Анонимусов от простуды в виде винлока.
Пользователи линупса: просто двиньте вперёд, эта статья не для вас и не про вас.
Как это работает?
Работает это элементарно:
После скачивания винлок запускается и прописывает себя в авторан (см. выше про борьбу с напастью, на всякий случай ещё раз: запущенный из-под ограниченной учётки винлок не сможет прописать себя в авторан куста HKLM, а только в пользовательский куст HKCU — почистить же пользовательский куст труда не составляет). Соответственно, после перезагрузки (а в последних версиях — прямо тут же), пользователь увидит перед собой этот баннер. Выключить его почти невозможно — он блокирует заветные сочетания Ctrl+alt+Del, Alt+F4, Winkey+r, а также завершает эксплорер путём подмены пути к нему в реестре на файл вируса. Последнее поколение винлоков вылезает даже в безопасном режиме, поэтому их удаление ещё более затруднено. Также, они могут представлять собой DLL-библиотеку, которая будет генерировать случайный exe-файл с этим самым винлоком.
Естественно, незнающий чайник с выпученными глазами побежит оплачивать выписанный счёт (теряя кучу денег), либо начнет звонить в Скорую компьютерную помощь (и опять-таки лишится пары тысяч деревянных), либо прибежит к знакомому компьютерщику (придётся потратиться на пузырь водки), причём бегать начнет сразу же — ибо дедлайн в 24 (2, 3, 5, 12) часа, написанный на баннере, после чего все файлы с компа пропадут. Но изначально винлоки ориентированы на офисный планктон, так как вылезшее на весь экран (гей-)порно (в особо коварных модификациях винлок скачивает (гей-)порноролик, запускает, делает скриншот экрана и ставит обоями) вызывает тонны лулзов у коллег и ненужные вопросы у начальства — хомячок сделает все что угодно, чтобы убрать эту мерзопакость с экрана.
Само собой, никто не гарантирует, что после отправки заветного СМС придет не менее заветный код. Но тем не менее, иногда-таки приходит, и некоторые винлоки имеют систему самоудаления с компьютера с подчищением всех хвостов. Кстати, про удаление всех данных винлоки привирают для убыстрения работы хомячкова нервного ганглия.
Путём многочасовой половой ебли на заражённых машинах выяснено, что некоторые модификации winlock'а прописывают значения, используя символы (буквы) из разных алфавитов! Пример: C:\WINDOWS\system32\usеrinit.exe, значение \usеrinit.exe написано с использованием православной кириллической Е. Посему, самое оптимальное решение — перезаписать ручками значения важных параметров! Однако новая версия антивируса Данилова (возможно, и другие антивирусы) полностью блокирует данные кусты реестра от редактирования (как пользователем, так и вирусами), конечно, если юзверь выставит соответствующие галки в настройках, которые по-обыкновению спрятаны в самые далёкие ебеня. После перезагрузки и входа в систему трояна можно удалить вручную по уже известному пути. Этот способ хоть и эффективен, но подходит только для опытных пользователей.
Обнаружено, что последние и самые совершенные модификации винлока действуют немного по-другому. Можно попасть на вирус, который НЕ меняет пути в реестре, а модифицирует непосредственно файлы explorer.exe и/или userinit.exe. Считается, что надо загрузить РЕ-систему типа ERD Commander или Alkid Live CD, найти у друга/подруги/кошки/соседа оригинальные файлы виндуза, снять с них хэш MD5, снять хэш со своих файлов (если манипуляции с реестром не принесли успеха). При несовпадении хэша есть смысл свои родные заменить на скопированные и принесенные от друга/подруги/кошки/соседа файлы. Опять же, не проверялось, есть ли разница в хеш-суммах при разных вариантах виндуза (наличие сервис паков, обновлений и т. д.). Другого способа, кажется, больше нет. Ну, конечно, остается незабвенная переустановка виндус. Это печально…
Как лечить?
Итак, %username%, внезапно ты включил комп и точно также внезапно узнал, что оказывается, ты смотришь гей-порнуху и теперь за это должен. Что делать? Знай: удалить винлок можно. Есть даже несколько разных способов на выбор.
- Способ нулевой, неожиданный: Некоторые вирусописатели прячут код разблокировки в середине стостраничного пользовательского соглашения, открывающегося по незаметной гиперссылке где-то в окне вируса. Рассчитывать на это, естественно, не стоит, а проверить нужно. В особо веселых случаях после ввода этого кода вирус полностью самоудаляется.
- Способ первый, радикальный: самый простой — переустановить Шindoшs
и форматнуть винты. Не стоит обращать внимание на уловки вирусописателей, BIOS они не удалят, файлы тоже. Но переустанавливать винду, если, конечно, ты не пользуешься portable-версиями программ — это та ещё еботня. Пользователей поумнее спасет заблаговременно выполненное резервное копирование (WIM, Acronis, Symantec Ghost и прочие), но большинству делать регулярный бэкап системного раздела лень, а хранить его на жестком диске не позволяет жаба. Еще вариант, при создании разделов на новом винте отформатировать небольшой кусок под операционку, а 95% оставшейся памяти — под все данные. В этом случае переустановка винды с форматированием одного маленького диска не будет вызывать никаких серьезных проблем с потерей музычки, кинца, рефератов и любимой порнухи.- Сюда же совершение локального виндекапца и переход на незагаженные ОСи. Берегись синдрома утёнка!
- Способ второй, мануальный. Заходим с безопасного режима (если висит и там, то быстро, решительно переходим к другому методу). Находим в реестре (run → regedit.exe) папки автозапуска и удаляем мерзопакость оттуда:
- Воспользоваться откатом системы.
- HKLM — software — microsoft — windows NT (для ХРюши) — current version — winlogon. Там смотрим значения Shell и Userinit. В Shell должна быть только строка Explorer.exe, в Userinit — "C:\WINDOWS\system32\userinit.exe, ".
- HKLM — Software — microsoft — windows — run. Там смотрим строку Shell.
- Сейчас вирус пользуется обоими путями. В шеле и юзерините будут прописаны пути к файлу вируса, удалите файлы, пропись в реестре к ним и, скорее всего, в комп вы попадёте. Затем подчищайте антивирусом систему.
- После зачистки в свойствах безопасности вышеозначенных веток очищаете access-лист, заводите пользователя «Все», ставите галочку «Только на чтение», создаёте себе учётку, запрещаете ей изменять права на данный куст. Всё. С этого момента можно забыть про винлок до конца своих дней и идти дальше разглядывать, как педобир сношает занзибарских младенцев.
- Способ второй, мануальный, модифицированный, самый надёжный. Никаких откатов не требуется. Если троян блокирует обычный безопасный режим, то при нажатии клавиши F8 необходимо выбрать безопасный режим с поддержкой командной строки. На данный момент времени большинство винлокеров не способны его заблокировать. После загрузки надо запустить редактор реестра при помощи команды regedit и искать там подозрительные записи. В первую очередь необходимо проверить ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, в частности в параметре Shell должно быть написано explorer.exe, а в параметре Userinit — C:\WINDOWS\system32\userinit.exe, (обязательно с запятой). Если там всё в порядке, необходимо проверить этот же путь, но в ветке HKEY_LOCAL_USER. Также желательно проверить ветки, в которых прописаны автозагружаемые программы, например HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. В случае обнаружения подозрительных записей, их необходимо заменить на стандартные значения (в случае с автозагрузкой удалить). Также необходимо очистить папки C:\Windows\Temp, C:\Documents and Settings\%Username%\Local Settings\Temporary Internet Files, кеш оперы и мозилы.
Чтобы избежать вышеприведенной еботни с реестром, можно воспользоваться тем же ERD Commander'ом.
- Способ третий, по-соседски — чистим систему из другой системы.
- Если на одном компе уже установлена не одна ОС (напр. Linux + Windows или Win XP + Win 7), то убираете винлок, зайдя с другой системы.
- Вынимаем свой жесткий диск и несем его к доброму другу со свежим антивирусом. Цепляемся к его компьютеру и при помощи антивируса чистим свой хард. Желательно проверить не одним антивирусом. Есть небольшая вероятность посадить заразу на компьютер доброго друга, так что надёжней использовать его компьютер для поддержки при других методах.
- Через LiveCD, лучше на основе Windows. Исполняемые файлы вируса ищем обычным поиском по дате создания, записи в реестре трем руками. Все интересующие нас ветки лежат в Windows\System32\config и подгружаются в виде куста в обычный RegEdit из командной строки. Можно использовать и линукс без установки, но при этом придется (если повезет, то недолго) шариться по пользовательским папкам и вручную выгребать авгиевы конюшни кэша браузера и т. п. При относительно прямых руках вся процедура лечения занимает минут 15.
- Автоматизированный вариант — идем сюда, качаем образ для домашнего использования AntiWinLockerLiveCD, записываем на болванку, загружаем и радуемся жизни.
- По сети. Для исполнения этого метода надо провести предварительную подготовку, а именно создать пользователя с паролем и админскими правами (можно просто нарезать пароль пользователю «Админ»). Ну и заиметь локальную сеть с кем-нибудь. После получения вируса идем к доброму соседу, открываем командную строку и пользуем команды tasklist и taskkill, для начала запустить их с ключом «/?», чтобы лицезреть справку и (при наличии некоторого количества серого вещества) понять, как их запустить на своем больном компе, и выпилить нахрен вирус из списка запущенных процессов. Дальше — антивирус и чистка реестра уже у себя дома.
- Четвёртый способ — создать любой документ — в блокноте, Ворде, пэйнте, да чём угодно; внести в него пару изменений а затем — нажать на компе или клавиатуре кнопку Power. Начнётся выключение компа, часть процессов завершится — в том числе и Винлок, однако, созданный нами документ не закроется, а выдаст окно: «сохранить изменения? — да, нет, отмена». Жмём отмена, что заодно означает отмену выключения компа. Итог: винлок завершён, комп работает. Можно спокойно править системные файлы. Увы, в последних версиях вируса способ может не сработать.
- Пятый способ — записываем на бyмажку, чего возжелало неумолимое поделие (какую и куда отправлять смс, на какой номер положить деньги etc), бежим к ближайшему здоровому ПК с интернетом, заходим на страничку поиска кодов разблокировки от Dr. Web или от Касперского. Читаем, вставляем, вводим, ищем картинку со «своим» винлоком, получаем с сайта код разблокировки. Радостно бежим домой. Вводим. Облегчённо вздыхаем. Если получилось не облегчённо, а обречённо, значит, вы гордый первооткрыватель нового штамма сифилиса, а, скорее всего, разблокировка кодом вообще не предусмотрена, чистый развод.
- Способ шестой, телефонно-матершинный:
- Звоним оператору сотовой связи и при помощи длительной эмоциональной и щедро сдобренной матом речи выясняем, какому провайдеру принадлежит короткий номер, на который просят отправить.
- Пишем этому самому провайдеру гневное послание — мол, ваши действия квалифицируются как сговор с мошенниками, содействие вредителям и т. д., — блокировка компьютеров нашего предприятия нанесла нам материальный ущерб, и мы намерены обращаться в полицию, прокуратуру и суд по месту регистрации фирмы-провайдера.
- Через час получаем звонок от милой барышни из провайдера с извинениями и продиктованным кодом разблокировки
- Делаем некоторые выводы об «отсутствии» каких-либо связей между мошенниками и провайдером.
- После разблокировки все же вычищаем говно при помощи калёного антивируса.
- Седьмой способ — ребут, и по загрузке системы СРАЗУ ЖЕ открываем «Диспетчер задач». Можно заранее установить альтернативный диспетчер задач Process Explorer, который чаще всего неизвестен винлокерам. Поскольку винлок грузится не моментально, то будет 2-3 секунды на то, чтобы пробежать список запущенных приложений и найти подозрительный процесс (что-нибудь вроде Win.exe, запущенный не под SYSTEM, а под %USERNAME%). Затем винлок наконец включается и блокирует диспетчер задач. Снова ребут, снова сразу же открываем диспетчер задач, и держим один палец на клавише с первой буквой названия процесса, второй — на Del, третий на Enter. Непрерывно долбим кнопку с первой буквой названия процесса, чтобы как только винлок начинает грузиться, строка с названием его процесса стала активной. Дальше быстро жмем Del и Enter, убивая процесс не дожидаясь его полной загрузки. Если не получилось, а с первой попытки скорее всего и не получится, ребут и снова повторяем те же манипуляции. Можно просто зажать клавишу Shift при загрузке Винды — все процессы пользователя в автозапуске по ветке Run не запустятся! Чем больше процессов стартует при запуске системы, тем легче успеть выпилить винлок. Если в компе стоит несколько плашек оперативы, то можно облегчить себе задачу, оставив только самую малоемкую плашку и вытащив все остальные. После отключения винлока переключаемся в диспетчере задач на вкладку «Приложения», жмем «Новая задача» и вбиваем explorer.exe. Дальше ручками сносим винлок из автозагрузки (какие ключи проверять уже написано выше), палим его местонахождение и удаляем, после чего для пущего спокойствия сканируем ПК антивирусом.
- Восьмой способ — для тех локеров, которые прописывают себя в MBR. Нужен загрузочный диск той самой винды — грузимся с него, заходим в консоль восстановления и пишем команду fixmbr, нажимаем Y, нажимаем Enter. Всё, перезагружаемся, радуемся. Если у Вас Vista и старше — нужна утилита bootsect.exe (входит в WAIK) — грузимся с загрузочного диска и вводим в командную строку:
bootsect /nt60 c: — восстанавливаем загрузчик Vista и выше. bootsect /nt52 c: — восстанавливаем загрузчик XP.
- Девятый способ — купить болванку и записать rescue disc от Кашпировского или доктора Паука, вставить и проверить ПК. К некоторым иногда можно применить отключение питания компьютера, но новых этим не обманешь.
- Десятый способ — попробуйте нажать Ctrl+Alt+Del. Часть локеров его не блокирует. Если удалось, попробуйте сменить пользователя — при перезапуске винлок самоубивается. Как вариант: найти на вкладке «процессы» процесс Explorer.exe и завершите его. На предупреждение венды о том, что завершение какого-то процесса вызовет ёбаный пиздец, ответьте положительно (нажмите ДА), после чего, не закрывая диспетчер задач, идём по такому пути: файл -> Новая задача (выполнить…). Вводим слово «Explorer», жмём Enter. Теперь компьютер свободен от баннера. Далее следует выполнить откат к более раннему состоянию системы. Ну, и не помешает, кончено же, прочистить свой ПК антивирусным ПО.
Профилактика
В качестве превентивных мер начни с повседневной работы в винде под юзером с ограниченными правами, а не под админом — признай уже, ты никакой не профессионал и не спец в компах и уследить за всем всё равно не сможешь, да и админские права каждый день ни к чему. Кажущееся неудобство — глупость, кроме того, виста и семёрка практически на любое действие, требующее повышенных прав, научились запрашивать логин/пароль админа. Также можно в XP использовать «запуск от имени», сидя в админской учетке. То есть explorer с правами админа уже есть, остальное запускаем с правами пользователя. А в семерке надо отключить UAC и сидеть в учетке «обычный доступ», потому что с отключенным дурацким UAC винлок запустится с правами пользователя. А с включенным UAC так не получится.
Почему поможет? Потому что криворукие пионерские поделки, называемые винлоками, прописывают себя в авторан в кусте реестра HKLM, в папки windows, system32, program files, а также меняют системные файлы — ко всем этим ресурсам учётная запись обычного пользователя не имеет прав на запись, изменение, удаление, таким образом, винлок, запустившийся под пользователем с ограниченными правами, просто не сможет ничего сделать с твоей системой.
Учётной записи администратора задай пароль позаковыристей, чтобы винлок с зайчатками интеллекта не смог за две минуты тупым перебором его подобрать. Это главное!
Только после понижения прав своей учётке прав и задания пароля админу имеет смысл использовать Firefox с дополнением NoScript (или иной браузер с параноидальными аддонами), в настройках браузера выставь вычищение кэша после сеанса, запрещать исполнение файлов из временных папок браузера и т. д.
Можно заранее запастись LiveCD (LiveUSB). Скачать его можно на любом торренте (но лучше на проверенном, а то какой-нибудь другой троян уже будет ждать тебя внутри). Про LiveCD можно всё прочитать в интернете: как лечить и как чинить. Ещё лучше — запастись всякими аварийными виндоуз-коммандерами, они чуть попроще в исполнении.
Примеры кривых пионерских поделок
См. также
- SMS-лохотрон
- BSOD
- Винлок — это не только троян!
| |
[ + ]
|
||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
|||||||||||||||||||||||||||||