Винлок
Материал из Lurkmore
Винлок (англ. Winlock) — троян-вымогатель, актуальная беда рядовых юзеров и прочих нубов начиная с конца 2007 года. Для большинства возникает ВНЕЗАПНО и самостоятельно очень сложно выводится — большинство винлоков имеют довольно хорошую защиту от дурака, да и, собственно, недалёкость реципиента и есть основа прибыли создателей этой подставы.
Содержание |
[править] Что это?
Внешне выглядит как окошко, в котором вам пытаются втюхать какую-то фигню и заставить вас отправить СМС (недешевое, разумеется), дабы разблокировать ваш комп. После отправки, якобы, придёт код активации, или же будет напечатан на чеке qiwi, который разблокирует комп.
Винлок развивался долго:
- Изначально это был баннер, который, как правило, полностью состоял из прона. «Прикреплялся» к браузеру и вне его не распространялся.
- Затем этот баннер «научился» перекрывать рабочий стол и диспетчер задач. Опытный юзер быстро побеждал этот вирус путём разных хитростей типа regedit'а и разных известных сочетаний клавиш.
- Вирусописатели в ответ доработали троян напильником. Теперь он полностью загораживает рабочий стол, завершает explorer, перекрывает доступ почти ко всему и запрещает диспетчер задач.
- Последние версии и вовсе устанавливаются как отдельный загрузчик и стартуют ещё ДО загрузки венды, не оставляя пушистой жертве ни единого шанса.
[править] Где скачать?
Скачать винлок не составляет труда. Достаточно просто побродить по интернету некоторое время. Винлок сам найдёт вас. Вы даже не заметите, как он скачается и установится в вашу систему. Нет, серьёзно, всё так и есть, особенно если вы шляетесь по всяким сетевым аналогам общественных сортиров при дефолтном браузере и без отключения скриптов. Винлок может попасть к вам на комп с любого брошенного или порно-сайта, кулхацкеры могут заразить им часто посещаемый форум или сайт, а также вы сами по-старинке можете скачать его под видом «нового мега-ПО». Мойте руки перед едой!
Существует распространённое заблуждение, что эта напасть касается только пользователей Windows XP, и что юзеры Висты или Семёрки могут спать спокойно. Разумеется, это типичный нубский миф. Не менее года существуют и активно приносят доход ушлым людям версии под Seven. Пользователи линупса и макося: просто двиньте вперёд, эта статья не для вас и не про вас.
[править] Как это работает?
Работает это элементарно:
После скачки, винлок запускается и прописывает себя в авторан (см. выше про борьбу с напастью, на всякий случай ещё раз: запущенный из-под ограниченной учётки винлок не сможет прописать себя в авторан куста HKLM, а только в пользовательский куст HKCU — почистить же пользовательский куст труда не составляет). Соответственно, после перезагрузки (а в последних версиях — прямо тут же), пользователь увидит перед собой этот баннер. Выключить его почти невозможно — он блокирует заветные сочетания Ctrl+alt+Del, Alt+F4, Winkey+r, а также завершает эксплорер путём подмены пути к нему в реестре на файл вируса. Последнее поколение винлоков вылезает даже в безопасном режиме, поэтому их удаление ещё более затруднено. Также, они могут представлять собой DLL-библиотеку, которая будет генерировать случайный exe-файл с этим самым винлоком.
Естественно, незнающий чайник с выпученными глазами побежит оплачивать выписанный счёт (теряя кучу денег), либо начнет звонить в Скорую компьютерную помощь (и опять-таки лишится пары тысяч деревянных), либо прибежит к знакомому компьютерщику (придётся потратиться на пузырь водки), причём бегать начнет сразу же — ибо дедлайн в 24 часа, написанный на баннере, после чего все файлы с компа пропадут.
[править] Как лечить?
Итак, %username%, внезапно ты включил комп и точно также внезапно узнал, что оказывается, ты смотришь гей-порнуху и теперь за это должен. Что делать? Знай: удалить винлок можно. Есть даже несколько разных способов на выбор.
- Способ первый, радикальный: самый простой — переустанавить Шindoшs
и форматнуть винты. Не стоит обращать внимание на уловки вирусописателей, BIOS они не удалят, файлы тоже. Но переустанавливать винду, если, конечно, ты не пользуешься portable-версиями программ — это та ещё еботня.- Сюда же совершение локального виндекапца и переход на незагаженные ОСи. Берегись синдрома утёнка!
- Способ второй, мануальный. Заходим с безопасного режима (если висит и там, то быстро, решительно переходим к другому методу). Находим в реестре (run → regedit.exe) папки автозапуска и удаляем мерзопакость оттуда:
- Воспользоваться откатом системы.
- HKLM — software — microsoft — windows NT (для ХРюши) — current version — winlogon. Там смотрим значения Shell и Userinit. В Shell должна быть только строка Explorer.exe, в Userinit — C:\WINDOWS\system32\userinit.exe.
- HKLM — Software — microsoft — windows — run. Там смотрим строку Shell.
- Сейчас вирус пользуется обоими путями. В шеле и юзерините будут прописаны пути к файлу вируса, удалите файлы, пропись в реестре к ним и, скорее всего, в комп вы попадёте. Затем подчищайте антивирусом систему.
- Способ третий, по-соседски — чистим систему из другой системы.
- Если на одном компе уже установлена не одна ОС (напр. Linux + Windows или Win XP + Win 7), то убираете винлок, зайдя с другой системы.
- Вынимаем свой жесткий диск и несем его к доброму другу со свежим антивирусом. Цепляемся к его компьютеру и при помощи антивируса чистим свой хард. Желательно проверить не одним антивирусом. Есть небольшая вероятность посадить заразу на компьютер доброго друга, так что надёжней использовать его компьютер для поддержки при других методах.
- Через LiveCD, лучше на основе Windows. Исполняемые файлы вируса ищем обычным поиском по дате создания, записи в реестре трем руками. Все интересующие нас ветки лежат в Windows\System32\config и подгружаются в виде куста в обычный RegEdit из командной строки. Можно использовать и линукс без установки, но при этом придется (если повезет, то недолго) шариться по пользовательским папкам и вручную выгребать авгиевы конюшни кэша браузера и т.п. При относительно прямых руках вся процедура лечения занимает минут 15.
- Автоматизированный вариант — идем сюда, качаем образ для домашнего использования AntiWinLockerLiveCD, записываем на болванку, загружаем и радуемся жизни.
- Четвёртый способ — создать любой документ — в блокноте, Ворде, пэйнте, да чём угодно; внести в него пару изменений а затем — нажать на компе или клавиатуре кнопку Power. Начнётся выключение компа, часть процессов завершится — в том числе и Винлок, однако, созданный нами документ не закроется, а выдаст окно: «сохранить изменения? — да, нет, отмена». Жмём отмена, что заодно означает отмену выключения компа. Итог: винлок завершён, комп работает. Можно спокойно править системные файлы. Увы, в последних версиях вируса способ может не сработать.
- Пятый способ — записываем на бамажку, чего возжелало неумолимое поделие (какую и куда отправлять смс, на какой номер положить деньги etc), бежим к ближайшему здоровому ПК с интернетом, заходим на страничку поиска кодов разблокировки от Dr. Web или от Касперского. Читаем, вставляем, вводим, ищем картинку со «своим» винлоком, получаем с сайта код разблокировки. Радостно бежим домой. Вводим. Облегчённо вздыхаем. Если получилось не облегчённо, а обречённо, значит вы гордый первооткрыватель нового штамма сифилиса!
- Способ шестой, телефонно-матершинный:
- Звоним оператору сотовой связи и при помощи длительной эмоциональной и щедро сдобренной матом речи выясняем какому провайдеру принадлежит короткий номер на который просят отправить СМС.
- Пишем этому самому провайдеру гневное послание — мол ваши действия квалифицируются как сговор с мошенниками, содействие вредителям и т. д. — блокировка компьютеров нашего предприятия нанесла нам материальный ущерб и мы намерены обращаться в милицию, прокуратуру и суд по месту регистрации фирмы-провайдера.
- Через час получаем звонок от милой барышни из провайдера с извинениями и продиктованным кодом разблокировки
- Делаем некоторые выводы об «отсутствии» каких-либо связей между мошенниками и провайдером.
- После разблокировки все же вычищаем говно при помощи калёного антивируса.
- Седьмой способ — ребут, и по загрузке системы СРАЗУ ЖЕ открываем «Диспетчер задач». Поскольку винлок грузится не моментально, то будет 2-3 секунды на то, чтобы пробежать список запущенных приложений и найти подозрительный процесс (что-нибудь вроде Win.exe, запущенный не под SYSTEM, а под %USERNAME%). Затем винлок наконец включается и блокирует диспетчер задач. Снова ребут, снова сразу же открываем диспетчер задач, и держим один палец на клавише с первой буквой названия процесса, второй — на Del, третий на Enter. Непрерывно долбим кнопку с первой буквой названия процесса, чтобы как только винлок начинает грузиться, строка с названием его процесса стала активной. Дальше быстро жмем Del и Enter, убивая процесс не дожидаясь его полной загрузки. Если не получилось, а с первой попытки скорее всего и не получится, ребут и снова повторяем те же манипуляции. Чем больше процессов стартует при запуске системы тем легче успеть выпилить винлок. Если в компе стоит несколько плашек оперативы, то можно облегчить себе задачу, оставив только самую малоемкую плашку и вытащив все остальные. После отключения винлока переключаемся в диспетчере задач на вкладку «Приложения», жмем «Новая задача» и вбиваем explorer.exe. Дальше ручками сносим винлок из автозагрузки (какие ключи проверять уже написано выше), палим его местонахождение и удаляем, после чего для пущего спокойствия сканируем ПК антивирусом.
[править] Профилактика
В качестве превентивных мер начни с повседневной работы в винде под юзером с ограниченными правами, а не под админом — признай уже, ты никакой не профессионал и не спец в компах и уследить за всем всё равно не сможешь, да и админские права каждый день ни к чему. Кажущееся неудобство — глупость, кроме того, виста и семёрка практически на любое действие, требующее повышенных прав, научились запрашивать логин/пароль админа.
Почему поможет? Потому что криворукие пионерские поделки, называемые винлоками, прописывают себя в авторан в кусте реестра HKLM, в папки windows, system32, program files, а также меняют системные файлы — ко всем этим ресурсам учётная запись обычного пользователя не имеет прав на запись, изменение, удаление, таким образом, винлок, запустившийся под пользователем с ограниченными правами, просто не сможет ничего сделать с твоей системой.
Учётной записи администратора задай пароль позаковыристей, чтобы винлок с зачатками интеллекта не смог за две минуты тупым перебором его подобрать. Это главное!
Только после понижения прав своей учётке прав и задания пароля админу имеет смысл использовать Firefox с дополнением NoScript (или иной браузер с параноидальными аддонами), в настройках браузера выставь вычищение кэша после сеанса, запрещать исполнение файлов из временных папок браузера и т. д.
Можно заранее запастись LiveCD (LiveUSB). Скачать его можно на любом торренте (но лучше на проверенном, а то какой-нибудь другой троян уже будет ждать тебя внутри). Про LiveCD можно всё прочитать в интернете: как лечить и как чинить. Ещё лучше — запастись всякими аварийными виндоуз-коммандерами, они чуть попроще в исполнении.
[править] Примеры кривых пионерских поделок
[править] См. также
[ + ]
|
|||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|