Программа вымогатель

1 1 1 1 1 1 1 1 1 1 Rating 0.00 (0 Votes)

Ransomware (от англ. ransom — выкуп и software — программное обеспечение) — вредоносное программное обеспечение, предназначенное для вымогательства.

Типы программ-вымогателей

В настоящий момент существует несколько кардинально отличающихся подходов в работе программ-вымогателей:

  • шифрование файлов в системе
  • блокировка или помеха работе в системе
  • блокировка или помеха работе в браузерах

Шифрование файлов в системе

После установки на компьютер жертвы, программа зашифровывает большую часть рабочих файлов (например, все файлы с распространёнными расширениями). При этом компьютер остаётся работоспособным, но все файлы пользователя оказываются недоступными. Инструкцию и пароль для расшифровки файлов злоумышленник обещает прислать за деньги.

К таким программам-мошенникам относятся:

  • Trojan-Ransom.Win32.Cryzip
  • Trojan-Ransom.Win32.Gpcode
  • Trojan-Ransom.Win32.Rector
  • Trojan-Ransom.Win32.Xorist
  • и другие

Блокировка или помеха работе в системе

После установки Trojan.Winlock\LockScreen на компьютер жертвы, программа блокирует компьютер с помощью системных функций и прописывается в автозагрузке (в соответствующих ветках системного реестра). При этом на экране пользователь видит какое-либо выдуманное сообщение, к примеру о якобы незаконных действиях, только что совершенных пользователем (даже со ссылками на статьи законов), и требование выкупа, нацеленное на испуг неопытного пользователя — отправить платное СМС, пополнить чей-либо счёт, в том числе анонимным способом вроде BitCoin.
Причём трояны этого типа часто не проверяют пароль. При этом компьютер остаётся в рабочем состоянии. Часто присутствует угроза уничтожения всех данных, но это всего лишь попытка запугать пользователя. Иногда в вирус все же включают инструменты уничтожения данных, таких как шифрование по ассиметричному ключу, но они либо не срабатывают должным образом, либо имеет место низкоквалифицированная реализация.
Известны случаи наличия ключа расшифровки файлов в самом коде трояна, а также технической невозможности расшифровки данных самим взломщиком (несмотря на оплаченный выкуп) по причине отсутствия или утери этого ключа даже у него.

Иногда удается избавиться от вируса, воспользовавшись формами разблокировки на антивирусных сайтах или специальными программами, созданными антивирусными компаниями для разных географических регионов действия троянов и, как правило, доступными свободно.

Способы распространения

Программы, относящиеся к ransomware, технически представляют собой обычный компьютерный вирус или сетевой червь, и заражение происходит точно так же — из массовой рассылки при запуске исполняемого файла или при атаке через уязвимость в сетевой службе.

Основные пути распространения ransomware:

  • уязвимости веб-браузеров (эксплойты iframe, XSS и пр.)
  • уязвимости клиентов электронной почты
  • уязвимости операционной системы
  • скачивание вредоносного контента с заражённых веб-сайтов
  • через ботнет
  • через игровые серверы (Trojan-Ransom.Win32.CiDox)

Способы борьбы

В первую очередь стоит сказать об общих правилах личной информационной дисциплины:

  • наличие на компьютере антивируса уровня Internet Security со свежими базами
  • проверка антивирусом всех новых программ перед первым запуском
  • запуск подозрительных программ в виртуальной среде ("безопасная среда", "песочница"), если антивирус предоставляет такую возможность
  • резервное копирование важных файлов
  • регулярное обновление компонентов операционной системы (Windows Update)
  • предвзятость ко всем получаемым бинарным файлам любым способом и даже от знакомых людей

В силу ряда причин, таких как производительность и энергопотребление, допускается не пользоваться антивирусами. В таком случае важно принципиально не запускать бинарные файлы, полученные из сомнительных или полусомнительных источников, и, при острой необходимости, сперва выполнять их на резервной виртуальной машине ("песочнице"), которую не жалко потерять, и убедиться в последствиях.

В случае когда заражение уже произошло, стоит воспользоваться утилитами и сервисами, которые предоставляют антивирусные компании. Однако устранить заражение без выплаты выкупа удается далеко не всегда. Но, как было отмечено выше, даже выкуп не всегда помогает. Поэтому лучшая профилактика — собственная дисциплина.

Утилита для лечения

Для борьбы с программами-вымогателями специалисты Лаборатории Касперского разработали специальную утилиту Kaspersky WindowsUnlocker. Утилита запускается при загрузке компьютера со специальной версии образа Kaspersky Rescue Disk 10 и позволяет работать как в графическом режиме загрузки Kaspersky Rescue Disk, так и в текстовом.

Чтобы в дальнейшем исключить возможность заражения, скачайте и установите Kaspersky Internet Security 2016 с функцией защиты от программ блокировки экрана.

Возможности Kaspersky WindowsUnlocker

Утилита Kaspersky WindowsUnlocker позволяет проводить лечение реестра всех операционных систем, установленных на компьютере (в том числе установленных на разных разделах, в разных папках одного раздела), а также лечение пользовательских веток реестра. Kaspersky WindowsUnlocker не производит никаких операций с файлами (для лечения зараженных файлов вы можете использовать Kaspersky Rescue Disk 10).

Как записать Kaspersky Rescue Disk 10 на USB-носитель и загрузить с него компьютер:

1. Подключите USB-носитель к компьютеру

Для успешной записи USB-носитель должен удовлетворять следующим требованиям:
  • предварительное низкоуровневое форматирование USB-носителя.
  • доступный объем памяти не менее 256 MB.
  • файловая система FAT16 или FAT32.
Если на USB-носителе установлена файловая система NTFS, отформатируйте ее в FAT16 или FAT32. Не используйте для записи Kaspersky Rescue Disk 10 USB-носитель, на котором уже размещена другая загрузочная операционная система. В противном случае загрузка компьютера с Kaspersky Rescue Disk 10 может произойти некорректно или завершиться с ошибкой.

2. Скачайте образ Kaspersky Rescue Disk 10 и утилиту для записи на USB-носитель

1.Скачайте образ Kaspersky Rescue Disk 10
2.Скачайте утилиту для записи Kaspersky Rescue Disk 10 на USB (~379 КБ).
3.Утилита для записи Kaspersky Rescue Disk 10 запустится автоматически (для запуска необходимы права администратора). В окне WinRAR self-extracting archive в строке Destination Folder указана папка, куда будет распакован образ.

3. Запишите Kaspersky Rescue Disk 10 на USB-носитель

Для этого выполните следующие действия:
  1. По окончании работы утилиты для записи запустится окно Kaspersky USB Rescue Disk Maker. Задайте местоположение загруженного образа Kaspersky Rescue Disk 10 c помощью кнопки Обзор. maker
  2. Выберите из списка нужный USB-носитель.
  3. Нажмите кнопку СТАРТ и дождитесь завершения записи.
    maker2
  4. В окне с информацией об успешном завершении записи нажмите ОК.
    maker3

4. Подготовьте компьютер к загрузке с USB-носителя

Для загрузки меню BIOS используются клавиши Delete или F2. Для некоторых материнских плат могут использоваться клавиши F1, F8, F10, F11, F12, а также следующие сочетания клавиш:
  • Ctrl+Esc
  • Ctrl+Ins
  • Ctrl+Alt
  • Ctrl+Alt+Esc
  • Ctrl+Alt+Enter
  • Ctrl+Alt+Del
  • Ctrl+Alt+Ins
  • Ctrl+Alt+S
Информация о способе вызова меню BIOS отображается на экране в начале загрузки операционной системы:
    post
  1. В параметрах BIOS на закладке Boot выберите загрузку с Removable Device, то есть со съемного диска (подробную информацию можно получить из документации к материнской плате вашего компьютера).
  2. Иногда при заражении компьютера после загрузки ОС Windows перестает работать клавиатура. В этом случае убедитесь, что в параметрах BIOS включена поддержка USB клавиатуры и мыши.
  3. klaviatura
  4. Подключите USB-носитель с записанным образом Kaspersky Rescue Disk 10 к компьютеру. Kaspersky USB Rescue Disk 10 готов к работе. Вы можете загрузить с него компьютер и начать проверку системы.

5. Загрузите компьютер с созданного диска

  1. Перезагрузите компьютер. После перезагрузки на экране появится сообщение Press any key to enter the menu.
  2. zagruzka1
  3. Нажмите на любую клавишу.Если в течение десяти секунд вы не нажали ни на одну клавишу, то компьютер автоматически загрузится с жесткого диска.
  4. С помощью клавиш перемещения курсора выберите язык графического интерфейса. Нажмите на клавишу ENTER.
  5. zagruzka2
  6. Прочтите Лицензионное соглашение использования Kaspersky Rescue Disk. Если вы согласны с его требованиями, нажмите 1 на клавиатуре. Для перезагрузки нажмите 2, для выключения компьютера нажмите 3.
  7. trebovaniy
  8. Выберите один из следующих режимов загрузки:
  • Kaspersky Rescue Disk. Графический режим — загружает графическую подсистему (рекомендован большинству пользователей)
    Если к вашему компьютеру не подключена мышь (например, у вас ноутбук и вы пользуетесь тачпадом вместо мыши), выберите Текстовый режим.
  • Kaspersky Rescue Disk. Текстовый режим — загружает текстовый пользовательский интерфейс, который представлен консольным файловым менеджером Midnight Commander.
  6.Нажмите на клавишу Enter и дождитесь загрузки системы.
    grafregim
После загрузки операционной системы вы можете приступить к работе с Kaspersky Rescue Disk 10. Обновите антивирусные базы программы и запустите проверку на вирусы с помощью Kaspersky Rescue Disk 10.

6. Запуск утилиты и лечение реестра

Для лечения реестра с помощью Kaspersky WindowsUnlocker выполните следующие действия:

  • Загрузите Kaspersky Rescue Disk в графическом режиме, нажмите на кнопку в виде буквы К в левом нижнем углу экрана и в меню выберите пункт Терминал. В командной строке введите команду windowsunlocker и нажмите Enter на клавиатуре.
terminal

После запуска утилиты в окне Терминала появится меню с возможностью выбора команды для выполнения (для выбора нажмите на соответствующую клавишу и Enter на клавиатуре):

  • 1 - Разблокировать Windows (утилита произведет очистку реестра и отобразит окно с результатом).

Специалисты Лаборатории Касперского рекомендуют выполнить это действие.

  • 2 - Сохранить копии загрузочных секторов (утилита скопирует загрузочные секторы в папку Карантина. На экране отобразится путь к созданным файлам
    (/var/kl/WUnlocker.1.2.0.0_%dd.mm.yy_hh.mm.ss_quarantine/).
  • 0 - Выход.

7. Проверка компьютера с помощью Kaspersky Rescue Disk

После очистки реестра необходимо удалить остатки вымогателя-блокера с вашего компьютера. Для этого обязательно запустите полную проверку компьютера с помощью Kaspersky Rescue Disk.

8. Восстановление поврежденных системных файлов

Некоторые вредоносные программы удаляют системные файлы Windows, что препятствует нормальной работе системы даже после удаления блокера с компьютера. Чтобы восстановить пропавшие системные файлы, запустите диск Windows, который вы использовали при установке системы, и в меню автозапуска выберите Восстановление системы. Следуйте указаниям мастера восстановления системы.

9. Если Kaspersky WindowsUnlocker не помогает

Если у вас возникли какие-либо вопросы по использованию утилиты или при выполнении шагов инструкции, посетите ветку Kaspersky WindowsUnlocker, Обсуждение утилиты на официальном форуме Лаборатории Касперского.

Скриншоты программы вымогателя:

Смотрите также:

 

You have no rights to post comments