Блочим Блокеры (Полный мануал по борьбе с блокираторами)!

Автор Сообщение
Stalus ®

Стаж: 16 лет
Сообщений: 2469
Откуда: Amsterdam

Создавать темы Stalus ® написал(а)
30-Мар-2010 22:01
«Ваша система заблокирована! для активации необходимо отправить код «dpfex» на короткий номер «31337». Под каким только предлогом не заставляют ушастого отправить дорогущую SMS, убеждая его в том, что компьютер завирусован, или то, что Microsoft поймала его за нелицензионную винду, или, в конце концов, за то, что он посмотрел в Инете «клубничку». Развод срабатывает.
Название «Trojan. Winlock» характеризует целую отрасль с вирусостроении, когда малварь не скрывает себя в системе, а наоборот всячески показывает свое присутствие, блокируя работу пользователя. Сначала способы выманивая денег напоминали скорее вымогательства (именно поэтому класс вирусов называется Ransomware — от английского слова ransom, выкуп), явно указывая на то, что экран блокирует вирус и сдастся он только после отправки SMS на платный номер. Позже, методы развода стали более изящными: пользователей припугивают, что появившееся окно является новой системой защиты Microsoft по борьбе с нелицензионным ПО, разыгрывают неплохой спектакль, прикидываясь антивирусом, который разом находит кипу вирусов в системе и так далее — главное, что во всех случаях проблемы предлагается быстро решить отправкой на короткий номер SMS.
Блокираторы могут ограничивать пользователя в посещении определенных страниц (например. Яндекса, Одноклассников, а также сайтов антивирусных компаний), в использовании браузера, но больше всего тех. и они серьезнее всех других, версий малвари, которая блокируют доступ к ресурсам операционной системы. Подхватив заразу, пользователь нарывается на то самое окно, в котором ему предлагается ввести код для разблокировки, полученный после отправки SMS на указанный номер. При этом выполнить какие-либо другие действия на компьютере невозможно или практически невозможно. Приложение либо вообще запрещает любые операции в системе, ограничивая поле деятельности активным окном, либо же внимательно следит за тем, что делает пользователь. Например, если юзер ломится за антивирусом. то вирус, определив ключевые слова в заголовке окна, тут же закрывает браузер. В любом случае, даже самые продвинутые блокеры — малварь, как правило, примитивная. Всяко не руткит TDL3, который хитроумным способом прячется в недрах системы. Все, что требуется от блокиратора — хорошенько ограничить пользователя в действиях и по возможности отрубить антививирусы (с чем. кстати, он нередко справляется]. Так или иначе, заразу довольно легко удалить как вручную, так и с помощью многочисленных антивирусных тулз (o них ниже).

Главная загвоздка в том. что компьютер заблокирован, и заблокирован, если ты, конечно, не подцепил малварь столетней давности, довольно жестко. Но если получится добраться до системы, то можно заюзать вспомогательные инструменты и избавиться от заразы, но как это сделать? Первые версии блокеров было легко обмануть. даже банальной перезагрузкой в безопасный режим. Далее можно либо скачать и запустить какой-нибудь антивирусный сканер, либо же расправиться с заразой вручную. Последние модификации блокираторов умело блокирует все возможные варианты подхода к системе, поэтому и пути приходится использовать обходные.


1. Очевидно, что если выгрузить блокирующий процесс из памяти, то можно вернуть ОС к нормальному состоянию. И если с локального компьютера запустить менеджер задач не получается, то можно попробовать кильнуть процесс малвари удаленно, воспользовавшись другим компьютером в сети.

Для этого использоваться оболочка wmic (WMI Command-line), которой в качестве параметров можно передать адрес удаленной машины и имя пользователя, получив таким образом возможность выполнять команды удаленно:

Код:

wmic /NODE:<имя компьютера или сетевой адрес> (например / NODE:192.168.1.12) /USER:<имя пользователя на зараженной машше> (например, /USER:yastep)


После того как ты введешь пароль указанного в параметрах пользователя, появится интерактивная консоль. Управление процессами осуществляется с помощью команды process. Если запустить ее без параметров, то на экране отобразится список процессов на удаленной системе. Дальше подход нехитрый: ищем подозрительнье процессы и последовательно удаляем их с помощью все той же команды и ее ключа delete:

Код:

process where name= "<имя процесса>" delete
В результате получаем разблокированную систему, в которой можно приступать к лечению, о котором мы поговорим ниже.
Имея дело с Windows ХР/2000, можно попробовать нажать на клавиатуре комбинацию <WIN-U> — должно появиться окно с активацией специальных возможностей, у которого очень большой приоритет и далеко не все трояны умеют эту ситуацию обрабатывать. Далее запускаем экранную лупу и в появившемся окне с предупреждением кликаем на ссылку «Веб узел Майрософт», после чего запускается браузер, через который можно достучаться до любого исполняемого файла.
Логично, что если добраться до реестра и файловой системы непосредственно из системы не получается, то можно попробовать сделать это с помощью другой ОС. Самый очевидный вариант — загрузиться с LiveCD. Один из самых подходящих дистрибутивов, который поможет реанимировать систему, называется ERD Commander. В торрентах широко распространен образ, включающий в себя версии продукта для реанимации разных ОС: 5.0 - для Windows ХР, 6.0 - для Windows Vista. 6 5 - для Windows 7/Server 2008 R2. В результате получаем удачно созданный загрузочный билд винды, откуда можно запустить практически любые вспомогательные тулзы. Помимо таких таких rescue-наборов идеально подойдут специальные LiveCD от антивирусных компаний, которое уже имеют на борту средства для удаления заразы: Dr.Web LiveCD
(www.freedrweb.com/livecd) и Kaspersky Rescue Disk (www.devbuilds.kaspersky-labs.com/devbuilds/RescueDisk)
Несмотря на то, что этот способ стоит последним, попробовать его нужно в первую очередь. По правде говоря, когда я впервые увидел блокеры, то наивно верил, что для генерации кодов используются хитрые алгоритмы, а вариантов ключа бесконечно много — в общем, считал, что используется сложный генератор, как для у шароварных программ. На деле же оказалось, что у большинства блокеров ключ зашит внутрь в единственном экземпляре, у других используется крайне примитивные алгоритмы, как, например, разные ключи в зависимости от дня недели. К тому же, тело вируса нередко очень просто отреверсить и извлечь оттуда готовый алгоритм для генерации ключей. Этим, естественно, не преминули воспользоваться энтузиасты, собравшие базы таких ключей для разблокировки, и антивирусные компании. составившие базы «короткий номер SMS — код для отправки — алгоритм составления ключа для разблокировки» Сейчас такие онлайн сервисы есть у всех популярных отечественных вендоров

Лаборатория Касперского: http://support.kaspersky.ru/viruses/deblocker
Dr.Web: http://www.drweb.com/unlocker/index/?lng=ru
Nod 32: www.esetnod32.ru/.support/winlock
VirusInfo: http://virusinfo.info/deblocker/

Помимо этого для офлайного использования есть программа RansomHide ( http://softget.net/freeware/projects/RansomHide/RansomHide.exe ). Пробив номер для отправки SMS и текст сообщения, с большой вероятностью можно получить рабочую комбинацию для разблокировки и получить работоспособную систему. Но тут -чадо понимать, что зараза по-прежнему остается в системе, поэтому ее все равно необходимо удалить.
Самый верный способ обезвредить и удалить тело вируса - отыскать, где она успела прописаться для автоматического запуска на старте системы. Вариантов очень много, и описывать все было бы просто гпупо (в конце концов, с задачей неплохо справляются такие тулзы, как Hijackthis, Autoruns и OSAM ). Но есть способ, который именно блокеры любят больше всего, и о нем грех не рассказать. В реестре винды есть ключ

Код:

HKLM\SORWARE\ Microsoft\Windows NT\CurrentVersion\Winlcgon\ userinit
, который определяет программы, которые Winlogon запускает, когда пользователь входит в систему. По умолчанию. Winlogon запускает файл Userinit.exe, который в свою очередь стартует logon-скрипты, устанавливает сетевые подключения, а затем запускает и Explorer.exe. т.е. пользовательский интерфейс Windows. Прописав до Userinit.exe путь до какой-нибудь программы, можно запустить ее, прежде чем стартует интерфейс Windows Explorer, а, прописав после, — обозначить старт конкретного приложения сразу после появление пользовательского интерфейса. Блокеры очень часто изменяют этот ключ, дописывая путь до своего исполняемого файла.

Код:

Userinit = %systemfolder%\ userinit.exe, [путь до исполняемого файла блокера]


Само тело вируса обычно размещается где-нибудь в неприметном месте. Как вариант, прикидываясь временным файлом с расширением tmp, оно находится в каталоге с временными файлами Windows. Обнаружив в этом ключе подозрительные записи, удаляем подозрительные бинарники и возвращаем значение ключа до «%systemfoloer%\usennit.exe». Другой распространенный способ для автозапуска для блокеров - прописаться в ключе shell (находится в том же разделе реестра, что userinit). заменив стандартное значение explorer.ехе на путь до зловредного бинарника. Способов на деле очень много, но если отыскать подозрительные записи в реестре, то легко удалить и тела вирусов. Правда, некоторая малварь идет на самую малую хитрость и размещает свои файлы в скрытых потоках на диске, но тем проще ее обнаружить. Какие еще приложения используют такую возможность NTFS? Да никакие. Удалить их несложно с помощью утилиты streams (technet.microsoft.com/en-us/sysinternals/bb897440.aspx) от Марка Руссинсвича, запустив в консоли:

Код:

streams.exe -d -s c:\
Чтобы не ковыряться с файловой системой и реестром вручную, устраивая охоту на малварь (а нам — не превращать материал в описание тех мест в системе, где может обосноваться малварь), можно воспользоваться антивирусными программами, в том числе бесплатными вариантами коммерческих продуктов (естественно предварительно разблокировав систему):

Kaspersky Virus Removal Tool — бесплатная вариация продукта от Лаборатории Касперского, использующая тот же движок и сигнатурные базы, но не предоставляющей постоянной защиты. Прога делает как раз то, что нам нужно - одноразовое сканирование. При этом сигнатуры зашиты в дистрибутив, поэтому перед каждым использованием его необходимо закачивать заново.

Dr. Web Curelt! - полностью аналогичное решение, с той лишь разницей, что разработано другой антивирусной лабораторией. Блокиратор — не руткит, и с удалением такой заразы справится всякий антивирус. Впрочем, если доверия к аверам нет или ты хочешь сам более подробно разобраться, как зараза осела в системе, то неоценимую помощь тебе подскажут две утилиты, которые стали своеобразным стандартом де-факто в ручном поиске вирусов

AVZ - несмотря на то, что в этой программе есть типовой сигнатурный сканер, в первую очередь утилиту нужно воспринимать, как полуавтоматический антивирус. Самое главное - она позволяет не копаться вручную в реестре и на жестком диске в поисках подозрительных записей и файлов. AVZ выполняет поиск малвари по косвенным признакам, анализируя реестр, файловую систему и память, после чего выдает юзеру отчет для осмысления. При этом для анализа используется прямой доступ к диску, позволяя избежать спуфинга малварью результатов вызова API-функций.
HijackThis - так же, как и AVZ, сама ничего не лечит, но при этом проверяет области системы, наиболее подверженные изменениям малварью. Тулза сканирует критические области реестра и выводит полный список найденных ключей, некоторые из которых могут принадлежать вредоносным программам и вирусам.

Обе программы в тандеме используются на различных security-форумах. где людям помогают избавиться от вирусов, в том числе на самом крупной российском ресурсе - virusinfo.info . Пользователи выкладывают логи, полученные с помощью AVZ/HijackThis, а эксперты в качестве ответа присылают скрипты-сценарии, которые легко выполняются с помощью мощного движка AVZ. Для сбора данных как для самостоятельного анализа, так и для обращения за помощью к компьюнити нужно запустить AVZ и через меню «Файл -> Стандартные скрипты» выполнить скрипты «Скрипт лечения/ карантина и сбора информации для раздела «Помогите!» virusinfo.info» и «Скрипт сбора информации для раздела «Помогите!» •/virusinfo.info». B отчете ты получишь подробную инфу о запущенных процессах и сервисах, подгруженных драйверах, инжектированных в процессы DLL-библиотеках, надстройках для Internet Explorer и всем-всем, что только может помочь для анализа. Причем отчет выполнен в формате HTML, так что ты на месте можешь создавать сценарий для удаления тех или иных файлов, ключей реестра и других манипуляций в системе, которые помогут избавиться от малвари.
Увы, даже после удачного удаления процесса из памяти и тела малвари с диска, в системе иногда остаются остаточные явления от деятельности блокера, заключающиеся, например, в невозможности запустить редактор реестра. Чем более кривой вирус попался, тем больше ждать таких вот ограничений. В большинстве случаев это можно поправить через реестр в разделе HKEY_CURRENT_USER, определяющем работу системы для текущего пользователя, а также HKEY_LOCAL_MACHINE, в котором задаются настройки для всех пользователей сразу. Начать надо с того, что вполне может не запускаться сам редактор реестра. Если этого произошло, то придется поправить ключи реестра DisableRegedit и DisableRegistryTools :

Код:

reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v
DisableRegedit /t REG_DWORD /d 0
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v
DisableRegedit /t REG_DWORD  /d 0
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v
DisableRegistryTools /t REG_DWORD  /d 0
Это не всегда может помочь. Если у тебя в принципе не запускаются ехe файлы, то надо попробовать выполнить reg-файл следующего содержания
Это поможет, если вирус переассоциирует запуск исполняемых файлов на себя. Помимо этого малварь может расстроить запуск приложений, например, того же regedit.exe, с помощью раздела HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\lmage File Execution Options. Добавив ветку с названием исполняемого файла, можно заставить систему запускать приложение под отладчиком, который в свою очередь задается с помощью вложенного ключа Debugger. Задать дебаггер можно неправильно, и запуск приложения не произойдет. Удалить мешающие ключи реестра опять же удобно через командную строку:
Если приложение не запускается, ссылаясь на политику ограничения использования программ, то тебе прямиком дорога в НKEY_L0CAL_MACНINE\S0FTWARE\ Policies\Microsoft\Windows\Safer\Codeldentifiers\0\Paths. Придется покопаться и перебрать ветки выбрав те, которые блокируют запуск нужного приложения. Если после удаления малвари не запускается диспетчер задач, то вероятнее всего его запуск ограничили с помощыо ключа «DisableTaskMgr». Это легко правится reg-файлом:
Еще одно ограничение, которое может остаться даже после удаления малвари, - всплывающие окна в браузере. Иногда не убиваемый popup с требованием отправить SMS — единственный симптом вирусов. Увы, многие антивирусные продукты некоторые из ситуаций обработать могут далеко не всегда, а именно когда малварь устанавливается как надстройка для Internet Explorer или как плагин к Firefox'y. Впрочем, избавиться от них проще простого, банально отключив подозрительные расширения. В Internet Explorer для этого необходимо перейти в «Управление надстройками» через меню «Сервис> Надстройки > Включение и отключение надстроек», а в Firefox'e окно для управления дополнениями открывается через «Инструменты > Дополнения».
Рекомендую обзавестись в системе утилитой ProcessExplorer от Марка Руссиновича, представляющую собой прокаченный таскменеджер. Если переименовать ехе-шник в какое-нибудь незамысловатое название есть шанс, что ты сможешь использовать его, если какая-то малварь заблокирует штатный менеджер задач.

Источник - Апрельский номер журнала Хакер

Используемые программы:
Autoruns.zip
avz4.zip
hijackthis_sfx.exe
Cureit.exe
minDrWebLiveCD-5.0.2.iso


Профиль  ЛС 
Mileniym

Стаж: 14 лет
Сообщений: 19

Создавать темы Mileniym написал(а)
03-Дек-2010 23:25 (спустя 8 месяцев 4 дня)
Грамотно))) Но не прошаренным юзерам не советую этого делать........
Профиль  ЛС 
Vivian

Стаж: 15 лет
Сообщений: 613

Создавать темы Vivian написал(а)
05-Апр-2011 15:34 (спустя 4 месяца 1 день)

Цитата:

и в появившемся окне с предупреждением кликаем на ссылку «Веб узел Майрософт»
этого окна на Windows 7 HP SP1 нету

Кто знает, UAC на максимальном уровне защиты помогает предотвратить запуск малваре? А также, антималварные программы типа malwarebytes помогают?

Цитата:

если добраться до реестра
Как добраться до реестра из-под другой ОС? ak

Чтобы включить TaskMgr в Windows7 надо прописать в блокнот следующее:

Код:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=dword:00000001
Чтобы отключить - dword:00000001 поменять на dword:00000000
Затем переименовать расширение .txt в .reg. И запустить. .reg файлы можно редактировать блокнотом.
Твикер + regshot - хороший способ узнать, как что заблокировать или разблокировать через изменения реестра ;)
Windows 7 Manager может заблокировать запуск .reg файлов и редактор реестра XD, а значит, такое могут сделать некоторые вирусы и малвари, в таком случае надо искать другой способ правки реестра
См. Что происходит с реестром.zip
Профиль  ЛС 
Timyr_19997

Стаж: 14 лет
Сообщений: 19
Откуда: Ишимбай

Создавать темы Timyr_19997 написал(а)
05-Июн-2011 01:22 (спустя 1 месяц 29 дней)
Помогите подалуйста я не могу зайти практический не на ододин популярный сайт например вконтакте,одноклассники,мыло,яндекс или гугл.Просит отправить СМСку на такой то номер и причём на каждом сайте,заходил на те сайты чтобы найти и убрать эту херню не помогло((У кого такое было,помогите)))доктором вебом искал вирусы,нашёл один,но это ничего не изменило(и скал касперским нашёл вирусов 200 но это всё ровно не помогло(Скажите что делать?переустанавливать не очень хочу,да и не умею((
Профиль  ЛС 
Stalus ®

Стаж: 16 лет
Сообщений: 2469
Откуда: Amsterdam

Создавать темы Stalus ® написал(а)
05-Июн-2011 13:03 (спустя 11 часов)
Timyr_19997
Ось и браузер ?
Профиль  ЛС 
Timyr_19997

Стаж: 14 лет
Сообщений: 19
Откуда: Ишимбай

Создавать темы Timyr_19997 написал(а)
05-Июн-2011 13:40 (спустя 36 минут)
я сам смог сделать)))
Профиль  ЛС 
neil

Стаж: 15 лет
Сообщений: 131

Создавать темы neil написал(а)
05-Июн-2011 18:03 (спустя 4 часа)
1. Лучше ставить защиту, чем потом удалять всякую дрянь со своего компа. Причем защищать компьютер должен не антивирус, а продукт класса интернет секьюрити, NOD32 Smart Security, Kaspersky Internet Security, желательно вместе с брендмауэром. Антивирус NOD32 эту дрянь пропускает. Да, и любителям различных сборок - автоматическое обновление системы - залог безопасности.
2. Одни из последних блокеров (pornoasset) может подменять загрузочную запись, заражать файл userinit - придется восстанавливать систему. KIS эту бяку легко обнуружил в отличие от доктора веба (очень странно)
3. Пользователи windows xp подвержены заражению этим вирусом гораздо больше чем пользователи с вин7 и вистой. По крайней мере, из пары десятков зараженных блокерами компьютеров за последние полгода не видел ни одного с семеркой или вистой, одни только хр.
Профиль  ЛС 
marvel1543

Стаж: 14 лет
Сообщений: 22
Откуда: Орск

Создавать темы marvel1543 написал(а)
08-Июн-2011 13:49 (спустя 2 дня 19 часов)
помогите! такая беда! лазил по инету, по разным сайтам вылезла реклама порно какого-то хотел закрыть, она открылась, закрыл! через полчаса появляется баннер почти на весь экран((( и там типо вы посетили сайт порно-гей типо, виндоус заблокирован, для разблокировки отправте 500 руб. на номер какой-то, в ответ вам придет сообщение с кодом разблокировки! помогите пожалуйста! что можно сделать, что бы не потерять данные с компа, там фото, очень нужны
Профиль  ЛС 
kseniy-lyashenk

Стаж: 14 лет
Сообщений: 38
Откуда: Уфа

Создавать темы kseniy-lyashenk написал(а)
08-Июн-2011 14:56 (спустя 1 час 7 минут)
marvel1543
в прошлом году тоже такая фигня была,каспер на своем офиц.сайте предлагает бесплатные программы-утилиты,скочала,установила, программа банер удалила,попробуите
Профиль  ЛС 
marvel1543

Стаж: 14 лет
Сообщений: 22
Откуда: Орск

Создавать темы marvel1543 написал(а)
08-Июн-2011 17:05 (спустя 2 часа 8 минут)
kseniy-lyashenk
спасибо, попробую ay
Профиль  ЛС 
Shurikxxx

Стаж: 15 лет
Сообщений: 1
Откуда: Russia

Создавать темы Shurikxxx написал(а)
12-Июн-2011 22:56 (спустя 4 дня)
помогите избавиться от банера , заблокировал всё ОС ak
Профиль  ЛС 
neil

Стаж: 15 лет
Сообщений: 131

Создавать темы neil написал(а)
13-Июн-2011 14:42 (спустя 15 часов)
Shurikxxx
грузись с диска, чисти реестр как описано выше. или в каком нить сервисном центре, мы например за 3 сотни убираем его )
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 21-Ноя 17:53
Часовой пояс: UTC + 5