Ваша система заблокована! Щоб активації необхідно відправити код xakep на короткий номер 31337. Під яким тільки приводом не змушують вухатого відправити дорогущую SMS, переконуючи його в тому, що на комп'ютері віруси, або те, що Microsoft зловила його за неліцензійну вінду, або, врешті-решт, за те, що він подивився в Інеті "полуничку". Розлучення спрацьовує.

Назва "Trojan.Winlock" давно стало характеризувати цілу галузь в вірусостроеніі, коли малварь не приховує себе в системі, а навпаки всіляко показує свою присутність, блокуючи роботу користувача. Спочатку способи виманюючи грошей нагадували швидше здирництва (саме тому клас вірусів називається Ransomware - від англійського слова ransom, викуп), явно вказуючи на те, що екран блокує вірус і здасться він тільки після відправки SMS на платний номер. Пізніше, методи розлучення стали більш витонченими: користувачів страхають, що вікно, що з'явилося є новою системою захисту Microsoft по боротьбі з неліцензійним ПЗ, розігрують непоганий спектакль, прикидаючись антивірусом, який разом знаходить стос вірусів у системі і так далі - головне, що у всіх випадках проблеми пропонується швидко вирішити відправкою на короткий номер SMS.
Як разлочить систему?

Блокатори можуть обмежувати користувача у відвідуванні певних сторінок (наприклад, Яндекса, Однокласників, а також сайтів антивірусних компаній), у використанні браузера, але найбільше тих, і вони серйозніше за всіх інших, версій малварі, яка блокують доступ до ресурсів операційної системи. Підхопивши заразу, користувач наривається на те саме вікно, в якому йому пропонується ввести код для розблокування, отриманий після відправки SMS на вказаний номер. При цьому виконати будь-які інші дії на комп'ютері неможливо або практично неможливо. Додаток або взагалі забороняє будь-які операції в системі, обмежуючи поле діяльності активним вікном, або ж уважно стежить за тим, що робить користувач. Наприклад, якщо юзер ломиться за антивірусом, то вірус, визначивши ключові слова в заголовку вікна тут же закриває браузер.

У будь-якому випадку, навіть найбільш просунуті блокери - малварь, як правило, примітивна. Всяко НЕ руткіт TDL3, який хитромудрим способом ховається в надрах системи. Все, що потрібно від блокіратора - гарненько обмежити користувача в діях і по можливості відрубати антівівіруси (з чим, до речі, він нерідко справляються). Так чи інакше, заразу досить легко видалити як вручну, так і за допомогою численних антивірусних тулз (про їх нижче).

Головна заковика в тому, що комп'ютер заблоковано, і заблокований, якщо ти, звичайно, не підчепив малварь сторічної давності, досить жорстко. Але якщо вийде добратися до системи, то можна заюзать допоміжні інструменти і позбутися від зарази, але як це зробити?

Перші версії блокерів був легко обдурити, навіть банальної перезавантаженням в безпечний режим. Далі можна або скачати і запустити який-небудь антивірусний сканер, або ж розправитися із заразою вручну. Останні модифікації блокіраторів вміло блокує всі можливі варіанти підходу до системи, тому й шляхи доводиться використовувати обхідні.

1. Очевидно, що якщо вивантажити блокуючий процес з пам'яті, то можна повернути ОС до нормального стану. І якщо з локального комп'ютера запустити менеджер завдань не виходить, то можна спробувати кільнуть процес малварі віддалено, скориставшись іншим комп'ютером в мережі. Для цього використовуватися оболонка wmic (WMI Command-line), якій в якості параметрів можна передати адресу віддаленої машини та ім'я користувача, отримавши таким чином можливість виконувати команди віддалено:

wmic / NODE: <ім'я комп'ютера або мережеву адресу> (наприклад / NODE: 192.168.1.12) / USER: <ім'я користувача на зараженій машині> (наприклад, / USER: yastep)

Після того, як ти впровадиш пароль зазначеного в параметрах користувача, з'явиться інтерактивна консоль. Управління процесами здійснюється з допомогою команди process. Якщо запустити її без параметрів, то на екрані відобразитися список процесів на віддаленій системі. Далі підхід нехитрий: шукаємо підозрілі процеси і послідовно видаляємо їх за допомогою все тієї ж команди і її ключа delete:

process where name = "<ім'я процесу>" delete

У результаті отримуємо розблокувати систему, в якій можна приступати до лікування, про яке ми поговоримо нижче.

2. Маючи справу з Windows XP/2000, можна спробувати натиснути на клавіатурі комбінацію <WIN-U> - має з'явитися вікно з активацією спеціальних можливостей, у якого дуже великий пріоритет і далеко не всі трояни вміють цю ситуацію обробляти. Далі запускаємо екранну лупу і у вікні з попередженням натискаємо на посилання "Веб-сайт Майрософт", після чого запускається браузер, через який можна достукатися до будь-якого файлу, що виконується.

3. Логічно, що якщо дістатися до реєстру і файлової системи безпосередньо з системи не виходить, то можна спробувати зробити це з допомогою іншої ОС. Найбільш очевидний варіант - завантажитися з LiveCD. Один з найбільш підходящих дистрибутивів, який допоможе реанімувати систему, називається ERD Commander. У торрентах широко поширений образ, що включає в себе версії продукту для реанімації різних ОС: 5.0 - для Windows XP, 6.0 - для Windows Vista, 6.5 - для Windows 7/Server 2008 R2. У результаті отримуємо вдало створений завантажувальний білд вінди, звідки можна запустити практично будь-які допоміжні тулзи. Крім таких таких rescue-наборів ідеально підійдуть спеціальні LiveCD від антивірусних компаній, які вже мають на борту засоби для видалення зарази: Dr.Web LiveCD і Kaspersky Rescue Disk.

4. Незважаючи на те, що цей спосіб стоїть останнім, спробувати його потрібно в першу чергу. По правді кажучи, коли я вперше побачив блокери, то наївно вірив, що для генерації кодів використовуються хитрі алгоритми, а варіантів ключа нескінченно багато - загалом, вважав, що використається складний генератор, як для у шароварних програм. На ділі ж виявилося, що у більшості блокерів ключ захистів всередину в єдиному екземплярі, в інших використовується вкрай примітивні алгоритми, як, наприклад, різні ключі в залежності від дня тижня. До того ж, тіло вірусу нерідко дуже просто отреверсіть і витягти звідти готовий алгоритм для генерації ключів. Цим природно не забули скористатися ентузіасти, що зібрали бази таких ключів для розблокування, а потім і антивірусні компанії, склавши бази "короткий номер SMS - код для відправки - алгоритм складання ключа для розблокування". Зараз такі онлайн сервіси є у всіх популярних вітчизняних вендорів:

    * Лабораторія Касперського: support.kaspersky.ru / viruses / deblocker;
    * Dr.Web: wwwdrweb.com / unlocker / index;
    * Eset: wwwesetnod32.ru/.support/winlock.

Крім цього для оффлайн використання є програма RansomHide. Пробивши номер для відправки SMS і текст повідомлення, з великою ймовірністю можна отримати робочу комбінацію для розблокування і одержати працездатну систему. Але тут треба розуміти, що зараза, як і раніше залишається в системі, тому її все одно необхідно видалити.
Ручне видалення

Самий вірний спосіб знешкодити і видалити тіло вірусу, - відшукати, де вона встигла прописатися для автоматичного запуску на старті системи. Варіантів дуже багато, і описувати все було б просто нерозумно (зрештою, з завданням непогано справляються такі тулзи, як Hijackthis, Autoruns і OSAM). Але є спосіб, який саме блокери люблять більше всього, і про нього гріх не розповісти.

У реєстрі вінди є ключ HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ userinit, який визначає програми, які Winlogon запускає, коли користувач входить в систему. За замовчуванням, Winlogon запускає файл Userinit.exe, який у свою чергу стартує logon-скрипти, встановлює з'єднання з мережею, а потім запускає і Explorer.exe, тобто користувальницький інтерфейс Windows. Прописавши до Userinit.exe шлях до якої-небудь програми, можна запустити її, перш ніж стартує інтерфейс Windows Explorer, а, прописавши після, - позначити старт конкретного додатка відразу після поява користувальницького інтерфейсу. Блокери дуже часто змінюють цей ключ, дописуючи шлях до свого файлу, що виконується:

Userinit =% systemfolder% \ userinet.exe, [шлях до виконуваного файлу блокера]

Саме тіло вірусу зазвичай розміщується де-небудь у непримітному місці. Як варіант, вдаючи з себе тимчасовим файлом з розширенням tmp, воно знаходиться в каталозі з тимчасовими файлами Windows. Виявивши в цьому ключі підозрілі записи, видаляємо підозрілі бінарники і повертаємо значення ключа до "% systemfolder% \ userinit.exe". Інший поширений спосіб для автозапуску для блокерів - прописатися в ключі shell (знаходиться в тому ж розділі реєстру, що userinit), замінивши стандартне значення explorer.exe на шлях до злобливого бінарниках.

Способів на ділі дуже багато, але якщо відшукати підозрілі записи в реєстрі, то легко видалити і тіла вірусів. Щоправда, деяка малварь йде на найменшу хитрість і розміщує свої файли в прихованих потоках на диску, але тим простіше її виявити. Які ще додатки використовують таку можливість NTFS? Та ніякі. Видалити їх нескладно з допомогою утиліти streams від Марка Руссиновича, запустивши в консолі: "streams.exe-d-sc: \".
Кличемо помічників

Щоб не колупатися з файловою системою і реєстром вручну, влаштовуючи полювання на малварь (а нам - не перетворювати матеріал в опис тих місць у системі, де може влаштуватися малварь), можна скористатися антивірусними програмами, в тому числі безкоштовними варіантами комерційних продуктів (природно попередньо розблокувавши систему):

    * Kaspersky Virus Removal Tool - безкоштовна варіація продукту від Лабораторії Касперського, що використовує той же движок і сигнатурні бази, але які не надають постійного захисту. Прога робить саме те, що нам потрібно - одноразове сканування. При цьому сигнатури зашиті в дистрибутив, тому перед кожним використанням його необхідно закачувати заново.
    * Dr.Web CureIt! - Повністю аналогічне рішення, з тією лише різницею, що розроблено інший антивірусною лабораторією.

Блокіратор - не руткіт, і з видаленням такої зарази впорається всякий антивірус. Втім, якщо довіри до Авер немає або ти хочеш сам більш детально розібратися, як зараза осіла в системі, то неоціненну допомогу тобі підкажуть дві утиліти, які стали своєрідним стандартом де-факто в ручному пошуку вірусів:

    * AVZ - незважаючи на те, що в цій програмі є типовий сигнатурний сканер, в першу чергу утиліту потрібно сприймати, як напівавтоматичний антивірус. Найголовніше, що вона дозволяє - не копатися вручну в реєстрі і на жорсткому диску в пошуках підозрілих записів і файлів. AVZ виконує пошук малварі за непрямими ознаками, аналізуючи реєстр, файлову систему і пам'ять, після чого видає звіт для самостійно осмислення. При цьому для аналізу використовується прямий доступ до диска, дозволяючи уникнути спуфінга малварью результатів виклику API-функцій.
    * HijackThis - так само, як і AVZ, сама нічого не лікує, але при цьому перевіряє області системи, найбільш схильні до змін малварью. Тулза сканує критичні області реєстру і виводить повний список знайдених ключів, деякі з яких можуть належати шкідливим програмам і вірусів.

Обидві програми в тандемі використовуються на різних security-форумах, де людям допомагають позбутися від вірусів, в тому числі на самому великої російському ресурсі virusinfo.info. Користувачі викладають логи, отримані за допомогою AVZ / HijackThis, а експерти в якості відповіді надсилають скрипти-сценарії, які легко виконуються за допомогою потужного движка AVZ. Для збору даних як для самостійного аналізу, так і для звернення по допомогу до ком'юніті потрібно запустити AVZ і через меню "Файл -> Стандартні скрипти" виконати скрипти "Скрипт лікування / карантину та збору інформації для розділу" Допоможіть! "Virusinfo.info" і "Скрипт збору інформації для розділу" Допоможіть! "virusinfo.info". До звітів ти отримаєш докладний звіт про запущені процеси і сервіси, завантажених драйверах, інжектованих в процеси DLL-бібліотеках, надбудови для Internet Explorer і всім-всім, що тільки може допомогти для аналізу. Причому звіт виконаний на HTML так, що ти на місці можеш створювати сценарій для видалення тих чи інших файлів, ключів реєстру й інших маніпуляцій у системі, які допоможуть позбутися від малварі.
Якщо щось відключено

На жаль, навіть після вдалого видалення процесу з пам'яті і тіла малварі, в системі іноді залишаються залишкові явища від діяльності блокера, що полягають, наприклад, в неможливості запустити редактор реєстру. Чим більше кривої вірус попався, тим більше чекати таких ось обмежень. У більшості випадків це можна поправити через реєстр в розділі HKEY_CURRENT_USER, що визначає роботу системи для поточного користувача, а також HKEY_LOCAL_MACHINE, в якому задаються налаштування для всіх користувачів відразу.

Почати треба з того, що цілком може не запускатися сам редактор реєстру. Якщо цього сталося, то доведеться внести поправити ключі реєстру DisableRegedit і DisableRegistryTools:

reg add HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System / v DisableRegedit / t REG_DWORD / d 0
reg add HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System / v DisableRegedit / t REG_DWORD / d 0
reg add HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System / v DisableRegistryTools / t REG_DWORD / d 0

Це не може допомогти. Якщо у тебе в принципі не запускаються exe-файли, то треба спробувати виконати reg-файл наступного змісту:

Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT \ exefile \ shell]
[HKEY_CLASSES_ROOT \ exefile \ shell \ open]
"EditFlags" = hex: 00,00,00,00
[HKEY_CLASSES_ROOT \ exefile \ shell \ open \ command]
@ = "\"% 1 \ "% *"
[HKEY_CLASSES_ROOT \ exefile \ shell \ runas]
[HKEY_CLASSES_ROOT \ exefile \ shell \ runas \ command]
@ = "\"% 1 \ "% *"

Це допоможе, якщо вірус переассоціірует запуск виконуваних файлів на себе. Крім цього малварь може розладнати запуск додатків (наприклад, того ж regedit.exe) за допомогою розділу HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Image File Execution Options. Додавши гілку з назвою файлу, що виконується, можна змусити систему запускати додаток під відладчиком, який у свою чергу задається за допомогою вкладеного ключа Debugger. Поставити дебаггер можна неправильно, і запуск програми не відбудеться. Видалити заважають ключі реєстру знову ж таки зручно через командний рядок:

REG DELETE "HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Image File Execution Options \ regedit.exe"

Якщо програма не запускається, посилаючись на політику обмеження використання програм, то тобі прямо дорога в HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ Safer \ CodeIdentifiers \ 0 \ Paths. Доведеться покопатися і перебрати гілки, вибравши ті, які блокують запуск потрібного додатка.

Якщо після видалення малварі не запускається диспетчер задач, то ймовірніше за все його запуск обмежили з допомогою ключа "DisableTaskMgr". Це легко правиться reg-файлом:

[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System]
"DisableTaskMgr" = dword: 0
Блокіратор браузерів

Ще одне обмеження, яке може залишитися навіть після видалення малварі, - спливаючі вікна в браузері. Іноді не вбиває popup з вимогою відправити SMS, - єдиний симптом вірусів. На жаль, багато антивірусних продукти деякі із ситуацій обробити можуть далеко не завжди, а саме коли малварь встановлюється як надбудова для Internex Explore або як плагін до Firefox'у. Втім, позбутися від них простіше простого, банально відключивши підозрілі розширення. В Internet Explorer для цього необхідно перейти в "Керування надбудовами" через меню "Сервіс> Надбудови> Увімкнення та вимкнення надбудов", а в Firefox'е вікно для керування доповненнями відкривається через "Інструменти> Додатки".
INFO

Рекомендую обзавестися в системі утилітою ProcessExplorer від Марка Руссиновича, що представляє собою Прокатаний таскменеджер. Якщо перейменувати exe-шник в яке-небудь нехитре назва є шанс, що ти зможеш використовувати його, якщо якась малварь заблокує штатний менеджер завдань.

    Чому короткі номери для платних SMS не прикривають?

    Для того щоб приймати платежі через SMS необов'язково йти на контакт зі стільниковим оператором. Зараз величезна кількість компаній, які пропонують посередницькі послуги та зручні інтерфейси для впровадження такого способу платежів на своєму сайті. Просто набери в Google'е "sms біллінг" і зрозумієш, наскільки багато подібних пропозицій. До речі, практично будь-який короткий номер, будь він з реклами, блокіратора або звідки-небудь ще, досить легко пробити через Google і знайти обслуговуючий його біллінг із зазначенням реальної вартості, яка за нього знімається.

    Як правило, у білінгу є строгі правила, які не дозволяють використовувати їх шахраям. Навіть якщо останнім вдається пройти первинний контроль модератора, аккакунт блокується при першому ж факт виявлення розлучення. Проте ситуація тут така сама, як і з хостингом: перебувають люди і компанії, готові закривати очі на витівки клієнтів, отримуючи при цьому відповідну винагороду. Такі білінги називаються антіабузние.

    Не дивлячись на те, що користувачів, по суті, вимагають відправити платну SMS, реальних випадків, щоб людина пішла подати заяву в міліцію дуже мало (а до недавнього часу не було взагалі), тому блокатори досить успішно існували майже півтора року. Щоб убезпечити себе, договори з білінгом полягають, як правило, на дропа або ІП, також зареєстрованого на документи підставного людини.

    Втім, вже зараз жити заповзятливим хлопцям стає складніше. Оператори стали жорстко карати рублем контент-агрегаторів і провайдерів, яких викрили у Фродо.