Главная » 2011 » Ноябрь » 11 » Заблоковано екран ? - 2
Заблоковано екран ? - 2 | 15:21 |
Спосіб лікування №2. Іншим варіантом функціонування шкідливих програм сімейств Blocker є блокування роботи не відразу після запуску шкідливого ПЗ, а після перезавантаження комп'ютера. Якщо спосіб лікування №1 не допоміг, можна скористатися вбудованою можливістю відновлення ОС Windows. Розглянемо послідовність кроків на прикладі ОС Windows 7 з використанням установчого DVD -диска. Інсталяційний диск знадобиться Windows в процесі роботи. Необхідно провести такі дії:
- завантажити комп'ютер у Безпечному режимі;
- у меню на екрані вибрати пункт «Repair Your Computer;.
- в процесі запуску вам буде запропоновано вибрати розкладку клавіатури і ввести пароль користувача Windows. У діалоговому вікні, що з'явиться далі, необхідно вибрати пункт «System Restore» («Відновлення системи»);
- майстер відновлення запропонує вам повернути систему до однієї з точок відновлення. Виберіть останню точку відновлення і дочекайтеся закінчення роботи майстра.
- після закінчення вам буде запропоновано перевантажитися, після чого швидше за все обмеження будуть зняті.
Слід зазначити поліпшений захист ОС Windows 7, в якій деякі з шкідливих програм сімейства Blocker можна знешкодити засобами «Диспетчера Завдань Windows», завершивши підозрілі запущені процеси.
Спосіб лікування №3. Якщо попередній спосіб лікування не допоміг, можна скористатися методом ручного видалення шкідливої програми з безпечного режиму.
Метод видалення шкідливого ПЗ вручну підходить тільки у тому випадку, якщо ви чітко представляєте наслідки своїх дій.
Для видалення шкідливої програми вручну виконайте наступні дії:
- перезавантажте комп'ютер у Безпечному режимі;
- у меню виберіть пункт «Safe mode with Command Prompt» (безпечний режим із запуском командного рядка);
- дочекайтеся завантаження системи у безпечному режимі;
- введіть пароль для входу в систему (якщо це необхідно);
- після введення пароля з'явиться вікно командного рядка. З вікна командного рядка можна запускати будь-які утиліти і програми. В цьому випадку шукати, де прописалася шкідлива програма прийдеться самостійно, наприклад, це можна зробити за допомогою безкоштовної утиліти Autoruns.
В операційних системах сімейства Windows є гнучкий механізм політик безпеки, що дозволяє системним адміністраторам настроювати призначене для користувача оточення. Використовуючи системний реєстр, можна відключити пункти системного меню, Панель Завдань, змінити вид тек і так далі. Творці вірусів використовують функцію системи у своїх цілях, створивши ціле сімейство шкідливих програм, що обмежують дії користувача в операційній системі.
Зміна системних налаштувань, таких як заборону запуску редагування реєстру, заборону запуску Диспетчера завдань і так далі, вже давно використовується різноманітними шкідливими програмами. До цього виду програм-вимагачів можна віднести сімейства Trojan - Ransom.Win32.Krotten і Trojan - Ransom.Win32.Taras. Як правило, після запуску такої програми на комп'ютері можна запустити тільки Інтернет-браузер, щоб можна було заплатити викуп.
Розглянемо деякі способи лікування. Спосіб лікування №1. Видалення профілю заблокованого користувача. Необхідно зробити наступне:
- перезавантажити комп'ютер у Безпечному режимі;
- увійти до системи під іншим користувачем, наприклад, користувачем «Адміністратор»;
- у випадках деяких програм-вимагачів (наприклад, Trojan - Ransom.Win32.Taras.e) ви побачите, що можливості цього користувача нічим не обмежені, тому що дія троянської програми поширюється тільки на того користувача, який запустив цю шкідливу програму;
- скопіювати вміст робочого столу заблокованого користувача і інші потрібні файли, щоб не втратити важливу інформацію, а потім видалити профіль заблокованого користувача.
- створивши нового користувача необхідно увійти до системи під новим аккаунтом.
Спосіб лікування №2. Деякі вимагачі (наприклад, Trojan - Ransom.Win32.Krotten.kq) змінюють системні налаштування, які блокують усіх користувачів в системі. Наприклад, шкідлива програма запускається при старті Windows і застосовує налаштування для кожного нового користувача, крім того, забороняючи вхід у безпечному режимі Windows. В цьому випадку може допомогти лікування з використанням завантажувального диска LiveCD. Необхідно:
- викачати архів з утилітою AVZ;
-розпакувати архів з утилітою за допомогою програми-архіватора, наприклад, WinZip;
- скопіювати утиліту на flash –носій;
- завантажитись з LiveCD. Як правило, шкідливі програми цього виду залишають можливість запуску на заблокованому комп'ютері тільки декількох застосувань: Internet Explorer, Outlook Express, щоб користувач міг відправити лист зловмисникам
- скопіювати вміст каталогу з утилітою AVZ на робочий стіл користувача заблокованого комп'ютера;
- перейменувати виконуваний файл утиліти з AVZ.exe на iexplore.exe (назва виконуваного файлу Internet Explorer)
- перезавантажити комп'ютер;
- увійти до системи під заблокованим користувачем;
- запустити з робочого столу утиліту AVZ під ім'ям iexplore.exe. Утиліта запуститься, оскільки програмі Internet Explorer запуск дозволений.;
- у вікні утиліти виберіть пункт меню «Файл»→ «Відновлення системи»
- відмітити усі пункти, окрім пунктів «Повне перестворення налаштувань SPI (небезпечно)» і «Очистити ключі MountPoints & MountPoints2»
- натиснути кнопку Виконати відмічені операції.
дивись в прикріплених файлах картинку №1
-після закінчення операції відновлення, перезавантажити комп'ютер. Усі обмеження будуть зняті.
Програми, що шифрують файли користувача. Останній вид програм-вимагачів непомітно шифрує дані користувача. Пізніше користувач виявляє, що не може отримати доступ до потрібних файлів. Умови викупу "даних-заручників" або поміщаються в текстовий файл в кожному каталозі із зашифрованими файлами (наприклад, у разі Trojan - Ransom.Win32.GPCode), або розміщуються на шпалерах робочого столу (наприклад, так поступає Trojan - Ransom.Win32.Encore).
дивись картинку №2
Зазвичай програми-вимагачі цього виду шифрують файли вибірково - з розширеннями doc, xls, txt і так далі, тобто ті, які потенційно можуть містити важливу для користувача інформацію. Найбільш відоме сімейство таких програм Trojan - Ransom.Win32.Gpcode.
Спосіб лікування. Оскільки алгоритми шифрування даних варіюються від програми до програми, універсальних способів лікування привести не можна. Для розшифровки файлів як мінімум потрібно мати екземпляр троянської програми, хоча і цього може бути недостатньо. У разі зараження програмою-вимагачем подібного виду, краще звернутись в Службу технічної підтримки фірм-постачальників антивірусного програмного забезпечення.
Перважна більшість користувачів знає, троян, це шкідлива програмка, яка заносить вірус. Вона потрапляє у вашу систему під виглядом іншої програми. Наприклад, інсталяція кодеків. Чому називається блокер? Тому що при активації вірусу ви бачите лише одне вікно , показане нище. Інші програми залишаються «під» вікном блокера. Навіть кнопка task менеджер залишається з нищим пріоритетом.
дивись картинку №3
Цей блокер був написаний спеціально для України, оскільки вимагає гроші в гривнах. Ця версія просить 500 грн. Блокер вимагає гроші за перегляд порно матеріалів, хто знає може у кого те таки відпаде бажання надалі захоплюватися таким відео. Оплата по вказаних реквізитах нічого не дасть, ви не отримаєте ніякого коду деактивації. Це чистий лохотрон!!! Як розказав мені знайомий спеціаліст, щоб вивести троян знадобитися будь-який Live - CD. Наприклад XP - E / PE. Також потрібна утиліта антивірусного сканера. Вибирайте по своїх смаках, оскільки практично у кожного антивірусного проекту свої безкоштовні одноразові софтинки, що не вимагають інсталяцій. Завантажуємося з диска, запускаємо сканер, в результаті повинен виявитися Trojan.Winlock.3333.jpg. В якості лікування виберіть видалення. Також рекомендується повністю очистити директорії C :\WINDOWS\Temp і C :\Documents and Settings\user\Local Settings\Temp. В полі user буде назва вашого користувача. Пробуйте перезапустити систему, після чого відразу необхідно перевірити параметри запуску системи в реєстрі -
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]. Після «лікування» цього вірусу диск може «втратити» розділи (в системі відображається як непомічений) В тексті є згадка-загроза про те, щоб не робили спроб обійти блокер, тому що Ця інформація представлена для ознайомлення і не є керівництвом до дії. Увесь ризик за дії і наслідки несете Ви самі
Іншим виявленим блокером став троянець Seftad, який вражає головний запис на диску операційної системи (MBR). Два різновиди цієї шкідливої програми додані в антивірусні бази компанії під іменами Trojan - Ransom.Win32.Seftad.a і Trojan - Ransom.Boot.Seftad.a. Після зараження Seftad переписує MBR (Master Boot Record) і вимагає гроші за надання пароля, за допомогою якого можна відновити початкову MBR.Після трьох невірно введених паролів інфікований комп'ютер перезавантажується, і троянець знову виводить вимогу про переказ коштів.
Ще один троян-здирник Trojan - Ransom.Win32.Vkont.a. СМС-блокер використовує нестандартну схему поширення, маскуючись під безкоштовну програму, яку завантажують бажаючі пошпигувати в Інтернеті за друзями і знайомими. Ті, хто попалися на цю приманку розплачуються за свою цікавість грошима, не отримуючи натомість очікуваного результату. Поширюється «звір» через шахрайський сайт, на якому пропонується завантажити ПЗ для злому облікових записів в соціальній мережі «ВКонтакте». Очевидно, що відвідувачами цієї сторінки рухають аж ніяк не благородні мотиви. Однак після кліка на кнопку завантаження під виглядом «програми-зломщика» починається скачування трояна-здирника, при чому про підміну нічого не повідомляється. Потрапивши на комп'ютер, «звір» виводить на робочий стіл вікно з пропозицією відправити СМС-повідомлення на короткий номер, щоб отримати програму для доступу до особистих даних користувачів мережі «ВКонтакте». Одночасно троян блокує роботу системи до тих пір, поки вимагачі не отримають оплату у вигляді СМС-ки.
Однак, відправивши СМС-повідомлення, користувач виявляється двічі «покараний» зловмисниками. Троянець скачає архів VK - Hack.zip, в якому знаходяться програма для підбору паролів до акаунтів у популярних поштових сервісах, а також ПО класу ShareWare, за повноцінне використання якого необхідно заплатити додатково. Таким чином, жертва афери шахраїв не тільки оплачує відправку дорогої СМС-ки, а й отримує зовсім не безкоштовні програми сумнівного функціоналу. До речі, оплачуючи такі вимоги, користувачі фінансово підтримують зловмисників.
Статья: Заблоковано екран ? - 2
|
|
Категория: Новости строительного сектора |
Просмотров: 1468 |
Добавил: Victor
|
Добавлять комментарии могут только зарегистрированные пользователи. [ Регистрация | Вход ] |
Украинская Баннерная Сеть
|
|
Все про дизайн
