Архив Галактики

Безопасность ПК. Боремся с блокираторами

scar169 / 26.05.2012

За последнюю неделю 4 ученика и 1 учитель обратились за помощью в вопросе освобождения их домашних компьютеров от блокираторов. Надоедливая надпись с предложением отослать СМС для разблокировки появляется на стадии загрузки и препятствует обычным действиям пользователя в таких случаях.
Поскольку проблема приобретает масштабность, вообще планирую в следующем году, уже в средней школе, вводить в курс тему борьбы с блокираторами и другими угрозами, противостоять которым штатным антивирусам удается не всегда.

Некоторые варианты работы публикую сейчас, буду рад, если к обсуждению присоединятся коллеги, думаю, совместный опыт может оказаться полезен.

Существует довольно много статей и форумов на тему борьбы с подобным вредоносным ПО:
пример 1, пример 2 и т.д.

Хорошая статья о блокираторах от Kaspersky.

Проблема в том, что развитие и появление новых блокираторов происходит слишком быстро, и наши любимые антивирусные программы очень часто пропускают угрозу, а средства борьбы с ней разрабатываются зачастую ПОСЛЕ заражения.

Я далек от мысли создать всеобъемлющий блог по тематике вредоносного ПО, попробую лишь несколько структуризировать события и наши действия.

Итак, событие 1.
Заражение
Может произойти как во время посещения небезопасного сайта, так и во время вполне безопасного серфинга по знакомым сайтам. Просто зачастую блокираторы, как и многие вредоносные программы, проникают на компьютер через "дыры" безопасности ОС, атакуя в автоматическом режиме. Хотя могу отметить, что часто сам пользователь дает им "добро" на установку, не обратив внимание ну, скажем, на весьма странное ежедневное обновление flash плеера. И т.д. На вопрос, отвечал ли он ОК на какое-то всплывшее окошко в течение недели, пользователь обычно затрудняется ответить. Ну.... кажется... да их много было.
Отсюда два вывода. Первый - читать внимательно все окна с предложением нажать что-либо для подтверждения.
Второй - не обязательно ваш пользователь действительно заходил на неблагонадежный сайт, как о том сообщил блокиратор. Это просто психологический трюк, пользователь смутится, не захочет показывать это сообщение и попробует откупиться СМС. Не поможет.

Далее можно было бы много говорить о способах "уборки". Начиная от CTRL+ALT+Del и попытки вызвать диспетчер задач (чаще всего в новых случаях не получится), загрузиться в безопасном режиме и т.д. Если получится - тогда вы приобретаете доступ к ОС до следующей перезагрузки и можете поискать в реестре, запустить утилиты антивирусов, специализирующихся на шпионах и троянах и т.д. Это отдельная тема, может, когда и обсудим.
У нас же вариант классический для современных блокираторов - безопасный режим, равно как и диспетчер задач - недоступны. ЧТО ДЕЛАТЬ ДАЛЬШЕ?

Вариант 1. Максимально быстрый (проверено). У вас все правильно организовано, диск разбит минимум на 2 раздела, системный и ваш, для документов, а главное, у вас создан ОБРАЗ системного диска, причем он достаточно свежий, чтобы за 10-20 минут доставить прошедшие после создания образа изменения-обновления. Тогда все сводится к загрузке с CD или флешки с тем же Acronis TI (или аналогом), указание на образ, восстановление, обновление системы после восстановления. Начинать стоит с восстановления MBR, часто этого оказывается достаточно.
На все про все - около часа. Долго, но поверьте, остальные способы намного времязатратнее.

Вариант 2. Образа нет, надо лечить.
2.1 Деблокираторы на сайтах антивирусных компаний
Начнем с самого простого: попробуем найти поддержку у антивирусных компаний.
http://sms.kaspersky.ru/ - начать стоит отсюда. Вводим код или телефон, по которому вас просят прислать смс, получаем код разблокировки, пробуем... Если что - детальный разбор как пользоваться сервисом и советы на случай, если "не получится".

Аналогичный сервис есть и у ряда других компаний, если что, задействуем их, например -
https://www.drweb.com/xperf/unlocker/.
Ну, а если и здесь никак, можно направить письмо с призывом о помощи к техподдержке компании.

Часто помогает. Но иногда нет. А машина нужна сейчас, работа стоит... Попробуем еще что-нибудь.
Тут, как ни крути, не обойтись без загрузки в какой-нибудь альтернативной ОС, ибо лечить из под зараженной не получается. Грамотные линуксоиды тут в выигрышной позиции, они привыкли загружаться с тех же LiveCD и т.п., а далее могут посмотреть реестр с диска Windows, глянуть загрузочные записи и т.д.

Можно, в принципе, снять жесткий диск с машины и воткнуть в другую, здоровую, или (если ноут) в USB коробочку, и опять же, к здоровой, со свежим антивирусом. Далее действия примерно такие же - проверить все свежим антивирусом и спецутилитами (тем же замечательным и бесплатным AVZ), почитать-посмотреть файл реестра, поискать странности.

Но мы сейчас рассматриваем действия не очень подготовленного пользователя, что можно предложить?

2.2. Загрузочные диски с наборами антивирусных утилит
Можно попробовать один из вариантов загрузочных дисков со специальным антивирусным комплектом, которые выпускают практически все ведущие антивирусные компании.
Например из этого списка.


Тут дело вкуса и личных предпочтений, а также стоит смотреть на свежесть продукта (у большинства на сайтах компаний этот диск-образ обновляется ежедневно и чаще всего бесплатен для использования) и возможность его обновления прямо в загруженном виде. Ну, еще стоит посмотреть, есть ли в составе комплекта деблокираторы.
Скачиваем образ, пишем на CD, загружаемся, запускаем утилиты. Если CD нет, ищем варианты с возможностью запуска на USB (см. далее).

Далее рассмотрим вариант работы с представителем такого ПО -Kaspersky Rescue Disk, включающий в себя по умолчанию и утилиту Kaspersky WindowsUnlocker для борьбы с программами-вымогателями.
Детальное описание загрузки и использования.
Для меня в этом варианте есть определенные предпочтения - в наличии спецутилита для создания из iso образа диска загрузочного USB носителя. Тут стоит отметить ошибку, которую допускают некоторые пользователи: когда запускаете утилиту создания USB, ее НЕ НАДО ПИСАТЬ на usb носитель, распакуйте ее куда угодно, она и запустится. А уже В ЕЕ ОКНЕ ЗАПРОСА вы покажете местоположение загруженного вами ISO образа Kaspersky Rescue Disk и укажете положение USB носителя.

В описании довольно хорошо рассказано о процессе загрузки и лечения. На стадии загрузки идем в BIOS и указываем, что грузиться будем с USB (или с CD, ваш выбор), проходим стадии загрузки, используем в соответствии с рекомендациями (запуск деблокиратора из консоли, затем полная проверка ПК).
Лишь несколько картинок-комментариев:
1. После загрузки системы - вызываем консоль (внизу слева синяя кнопка с буквой К, в меню - Терминал), вводим туда windowsunlocker и нажимаем ОК.


2. Запускаем Kaspersky Rescue Disk (из того же меню синей кнопки) и либо сразу ставим систему на проверку, либо (если есть возможность) - обновляем антивирусные базы и затем ставим систему на проверку. Для обновления баз надо иметь настроенное соединение с Интернетом. Подходит любое, проводное или беспроводное.

Все, можно запускать проверку.


После окончания проверки вам будет предложено лечить или удалить вредоносные объекты. Можете и сами выбрать "Лечить все".

Обратите внимание, что во время проверки вы вполне можете использовать Интернет для получения ккой-либо информации, поддержки. Например, сходить на тот же сайт Касперского с кодами деблокираторов. Так что подобный диск в хозяйстве всегда полезен.


Подобная проверка с использованием загрузочного диска, вообще, вещь полезная, и должна осуществляться регулярно. Для справки, за два последних дня: на машине друзей выловил 67 троянов, на своей домашней - 1 (это при моей-то системе защиты...), на моем месте преподавателя в кабинете ИВТ - 3 (в архивах, но тем не менее, основной антивирус эту угрозу не заметил).

Примерно так же используются и другие загрузочные диски альтернативных компаний-разработчиков.

Если не помогло
Тогда вызывайте друга-спеца, пусть смотрит реестр и BIOS (есть и такая проблема), или связывайтесь с техподдержкой антивирусных компаний, а также гляньте по поисковикам (введя слова из вашего окна блокиратора).

В заключение
В настоящем мире лучше защищаться заранее. При этом защита должна быть комплексной:
1. Антивирусная программа + антишпион (или комплекс).
2. Брандмауер (иногда входит в урезанном виде в антивирусные программы).
3. Обновляемая утилита для поиска вредоносных объектов-процессов (например, AVZ), регулярно запускаемая на проверку.
4. Система создания образов и восстановления из них.
5. Своевременные обновления ОС.

Из того, что хотелось бы, но так редко используют пользователи: ходить в Интернет из специально созданной записи с пользовательскими (а не админскими) правами, настроенный (а не отключенный, это можно делать только опытным пользователям) контроль учетных записей.

Примерно такой минимум. Иначе головная боль рано или поздно будет обеспечена.