Главная » 2011 » Ноябрь » 11 » Заблоковано екран?
Заблоковано екран? | 14:22 |
Нижче мова піде про троян-блокерів. Метою дій програм-вимагачів класу Trojan - Ransom являється блокування доступу користувача до даних на комп'ютері або обмеження можливостей роботи на комп'ютері і вимога викупу за повернення до початкового стану системи. Відмінність шкідливих програм класу Trojan - Ransom полягає в їх первинній комерційній спрямованості. Кожна програма цієї поведінки є інструментом для отримання грошей кіберзлочинцями. Розглянемо види шкідливих програм класу Trojan - Ransom в порядку складності боротьби з ними вручну, без антивіруса. Позбавитися від наслідків запуску перших двох видів досить просто, третього і четвертого - трохи складніше, а усунення наслідків роботи програм, віднесених до п'ятого виду, не завжди можливо. Програми-віруси поділяються на такі види: 1. Обмежують доступ до веб - сторінок. 2. Обмежують роботу з браузером . 3. Блокують доступ до ресурсів операційної системи. 4. Обмежують дії користувача в операційній системі. 5. Шифрують файли користувача. Прикладом програм першогоо виду може бути шкідлива програма Trojan - Ransom.BAT.Agent.c, яка є BAT -файл розміром 13 Кб. Після запуску цієї шкідливої програми блокується доступ користувача до багатьох сайтів, у тому числі, сайтам Лабораторії Касперського, пошукових засобів Google, Яндекс, соціальних мереж «Однокласники», vkontakte і інших (всього біля 200 доменних імен). Ввівши адресу сайту замість очікуваної початкової сторінки, користувач бачить вікно з вимогою викупу. дивись в прикріплених файлах картинка№1
Для блокування доступу до сайтів, троянська програма змінює файл HOSTS :
дивись в прикріплених файлах картинка№2
В даному випадку вартість відправки SMS, як правило, складає невелику суму, щоб мотивувати користувача заплатити. У відповідь автори обіцяють прислати код для розблокування. Якщо з яких-небудь причин антивірусне програмне забезпечення не було встановлено або шкідливе програмне забезпечення цього типу не було видалено, то в якості альтернативного способу лікування фахівці Лабораторії Касперского рекомендують виконати наступні дії: 1. Відкрийте файл HOSTS за допомогою будь-якого текстового редактора. Залежно від використовуваної вами операційної системи цей файл розташовується: - для Windows - 95/98/ME: в кореневому каталозі диска, на якому встановлена операційна система; - для Windows NT/2000/XP/Vista/7: в теці Windows\System32\drivers\etc.; - самостійно виправте цей файл, видаливши усі рядки окрім: 127.0.0.1 localhost ; - або замініть свій файл HOSTS на оригінальний файл, який можна викачати в лабораторії в розділі: hosts; - встановіть антивірусне ПЗ, якщо воно не було встановлене раніше; - відновіть антивірусні бази; - запустіть перевірку на віруси . Якщо описані вище дії не допоможуть, то необхідно звернутись в Службу технічної підтримки Лабораторії Касперського, відправивши запит через веб-форму Helpdesk. Також до цього виду програм відноситься шкідлива програма сімейства Trojan - Ransom.Win32.Digitala (Get Accelerator, Digital Access, Get Access, Download Manager v1.34, Ilite Net Accelerator) - це програма-вимагач. Шкідлива програма сімейства Trojan - Ransom.Win32.Digitala блокує доступ до Інтернету і виводить на екран повідомлення про порушення ліцензійної угоди. Повідомлення містить вимогу - відправити смс з певним кодом на вказаний в повідомленні номер, щоб розблоковувати доступ до Інтернету. Шкідлива програма на комп'ютері користувача може з'явитися: - за участю користувача, тобто користувач може сам запустити установку на вигляд легальної програми, яка видає себе за Digital Access. При запуску такої «замаскованої» програми виводиться ліцензійна угода. Якщо користувач погоджується з цією ліцензійною угодою, то відбувається зараження комп'ютера - без участі користувача, тобто шкідлива програма може викачуватися з Інтернету і мовчки встановлюватися за допомогою інших шкідливих програм (Get Access) На екран буде виведено сполучення з вимогою відправки смс-повідомлення для отримання коду активації, який дозволить активувати встановлену програму. Повідомлення може бути виведене як відразу після установки «замаскованої» програми, так і після 6 годин.
дивись в прикріплених файлах картинка№3
Через 5 хвилин після появи повідомлення-вимоги шкідлива програма перезавантажує комп'ютер, крім того блокує роботу Інтернету. До другого виду програм, які обмежують роботу з браузером, можна віднести програми-вимагачі, коли у браузері створюється спливаюче вікно без можливості закриття, що заважає або повністю перешкоджає роботі в Інтернеті. Наприклад:
дивись в прикріплених файлах картинка№4
Найбільш характерні представники цього підвиду вимагачів - шкідливі програми сімейств Trojan - Ransom.Win32.Hexzone і Trojan - Ransom.Win32.BHO. Фахівці Лабораторії Касперського рекомендують виконати наступні дії: - в меню оглядача Internet Explorer відкрити вікно Управління надбудовами з меню оглядача «Сервіс→ Надбудови→ Включення і відключення надбудов» ; - у вікні Управління надбудовами перераховані усі встановлені і активні надбудови, серед яких слід виявити шкідливу. Для цього необхідно звернути увагу на усі надбудови, у яких в графі Видавець або нічого не вказано, або є рядок (Не перевірено), - їх слід перевірити в першу чергу; - у графі Файл перевіряється розширення файлів таких підозрілих надбудов. Відключіть підозрілі розширення, натиснувши кнопку Відключити. ; - перезапустіть Internet Explorer і переконайтеся, що спливаюче вікно зникло.
дивись картинку №5
З кінця 2010 року в інтернеті лютує СМС-блокер Trojan - Ransom.Win32.PornoCodec.cv, який вимагає гроші у відвідувачів порно-сайтів і любителів безкоштовного софтвера. Вірус займає перше місце в рейтингах шкідливих програм. Вірус інсталюється на комп'ютер двома нехитрими способами. У першому випадку, він орієнтований на любителів дорослого відео. Відвідувачам підробних порносайтів пропонують безоплатно викачати відеоролик, який в результаті виявляється трояном. Причому підробні порносайти просуваються через баннерную систему абсолютно легальних сайтів, наприклад, ресурсів новин або прогнозу погоди. Кликнувши по одному з банеров, користувачі потрапляють на подібний порно-ресурс, а що далі описане вище. Цей вид шкідливої програми класу Trojan - Ransom заснований на блокуванні доступу користувача до ресурсів операційної системи. В цьому випадку користувач не може завершити роботу шкідливої програми або запустити будь-яку іншу програму, у тому числі Диспетчер завдань. Запустивши таку троянську програму, користувач побачить на екрані сполучення з вимогою викупу. Клавіатура і мишка продовжуватимуть працювати, але на екрані з'явиться вікно, яке неможливо згорнути, з якого неможливо перемкнутися (наприклад, за допомогою поєднання клавіш "Alt-Tab"). Залишається тільки вікно, розташоване поверх інших, в якому сформульовані умови отримання пароля для відновлення працездатності системи.
дивись картинку№6
Спосіб лікування №1. Для вирішення проблеми необхідно завершити шкідливий процес, блокуючий екран. Якщо комп'ютер знаходиться в мережі, то можна підключитися до комп'ютера за допомогою засобів видаленого адміністрування. Наведемо приклад з використанням стандартного засобу WMIC (Windows Management Instrumentation Command - line). На удалённой машині необхідно запустити командну оболонку cmd.exe і виконати наступні команди: - wmic /NODE:<ім'я комп'ютера або мережева адреса> (наприклад "/NODE :192.168.10.128") /USER:<ім'я користувача на зараженій машині> (наприклад "/USER: Analyst") ; - з'явиться пропозиція ввести пароль користувача на комп'ютері, заблокованому програмою-вимагачем, якого також потрібно ввести; - далі виконайте команду process - знайдіть в списку підозрілий процес, який не відноситься до ОС і призначених для користувача застосувань, наприклад, aers0997.exe
дивись картинку №7
виконайте наступну команду: - process where name="<ім'я шкідливого процесу>" delete (наприклад, process where name="aers 0997.exe" delete); Після завершення шкідливого процесу, на зараженій машині зникне вікно з вимогою викупу. Встановіть антивірусне ПО і проведіть перевірку на віруси.
Далі буде ...
Статья: Заблоковано екран?
|
Категория: Новости строительного сектора |
Просмотров: 837 |
Добавил: Victor
|
Добавлять комментарии могут только зарегистрированные пользователи. [ Регистрация | Вход ]
|
Украинская Баннерная Сеть
|
|