Вирусы

НЕ шлите 1000 рублей на номер +79171277508

В очередной раз столкнулся с вирусом-вымогателем. Тесть звонит вечером и говорит, что у него компьютер заблокирован и посреди экрана висит окно в котором говорится, что он якобы смотрел какие-то сайты запрещенного содержания и за это нужно заплатить штраф 1000 рублей (аппетиты ростут, недавто было по 300 р.). Деньги нужно положить на счет телефона +79171277508, и тогда на квитанции об оплате будет код разблокировки. Бред вообще.
Я, на всякий случай, заверил тестя, что на квитанции никакого кода не будет, а то мало ли что, вдруг он поверит в эту ерунду. Попытался объяснить в двух словах, что нужно сделать, но он ответил, что, во-первых, он сам с этим не справится, а во-вторых, у него для этого есть я. Пришлось ехать.
Ни на сайте Касперского, ни на сайте Доктора Вебера кодов разблокировки для номера +79171277508 не оказалось. Скачал у Dr.Web программу, которая делает закрузочну. флэшку для разблокировки ПК (Dr.Web LiveUSB). А у Касперского, для разнообразия скачал ISO-образ для создания спасательного компактдиска (Kaspersky Rescue Disk 10). У доктора Вебера сделано поудобнее — запускаешь скачанный ЭКЗЕшник и он все делает. ДЛя работы с антивирусными средствами от Касперского приходится создвать диск или флэшку сторонними средствами, а это задача — не интуитивная. Но с загрузочной флэшки ПК тестя так и не запустился, видимо, BIOS не умеет так. Были пункты: USB-CDROM, USB-FDD, USB-ZIP, ни один не сработал. Запустился с CD от касперского. Но и тут каспер оказался в своем репертуаре. У них все сложно. Нужно сделать удар по клавиатуре и несколько щесчков мышью прежде чем запустится оболочка. Однако, это далеко не все. Вместо того чтобы сделать на рабочем столе значек, который запустит разблокировку Виндовс. Они сотворили следующее: кнопка типа «Пуск» — Терминал — и в черном окне терминала вручную! нужно ввести команду windowsunlocker. У нас на работе рядовые пользователи ПК в таких сдучаях обычно воворят: «Да ты что, офанарел, я же не программист!» или «Это ты сейчас с кем разговариваешь?!». Но надо отдать должное, со своей задачей windowsunlocker от Касперского справился отлично. Прогнали потом еще сканером, и после перезагрузки все стало хорошо.

Вирусобезопасность против защиты от вирусов

вирусобезопасностьНа днях снова столкнулся с темой вирусов и понял одну важную вещь. Самое главное во взаимоотношениях с вирусами типа WinLock — это не антивирус и не сетевой экран (фаервол, брандмауэр). Важнее всего постоянная готовность к тому, что вирус заблокирует машину. Т.е. блокировка ПК вирусом — это должно быть не ЧП, а штатная ситуация.

Сразу вспомнилась презентация фирмы Google в одном из университетов, где докладчик кроме прочего рассказывал, об организации сети хранения и обработки данных Google, где ставка не делается на мощные серверы, а наоборот, машин много и слабых, полная унификация и взаимозаменяемость. Если какая-то из машин отказывает, то это не ЧП, а рабочая ситуация, её просто заменяют на другую, а данные на ней самовосстанавливаются.

Сразу еще вспомнилось (ох, люблю я отвлекаться), на одном семинаре докладчик рассказывал о взрывобезопасности зданий. Не о защите от взрывов, т.к. это крайне неэффективно, а именно о взрывобезопасности объектов. Дело в том, что как бы не были совершенны защиты, вероятность взрыва все равно остается отличной от нуля. Мало того — она довольно высока и жертв при таком подходе не избежать. Дак, вместо того, чтобы тщетно пытаться предотвратить взрыв, предлагалось к нему подготовиться. Тогда взрыв причинит минимальный ущерб и, главное, не приведет к человеческим жертвам. Если кому интересно, то, коротко, концепция следующая: ставятся очень быстродействующие датчики давления и как только они срабатывают, окно (а в некоторых случаях и вся внешняя стена) раскрывается наружу. Основной фактор, поражающий человека при взрыве, — это давление (со слов докладчика). Раскрывая помещение, сбрасываем давление.

Дак вот, к чему это все. В прошлые разы мне удавалось достаточно легко обезвредить вирус, подключившись с другой машины по сети и прибив процесс вируса. Потом прогон антивирусом и хеппиэнд. На этот раз то ли я что-то не доглядел, то ли пропустил, но после перезагрузки компьютер просто не запустился. Единственный режим, в котором ПК грузился — это безопасный режим с поддержкой командной строки. Из командной строки запускался и regedit и explorer, но добиться нормального запуска от моего ПК мне так и не удалось. Тогда я просто скопировал все ценное с диска C: на остальные диски, нашел образ прежней инсталляции Windows в формате Acronis и, загрузившись с диска Acronis True Image Home, буквально за 7 минут восстановил работоспособность ПК, развернув этот самый образ. (Если бы на было имиджа, я просто переустановил бы систему с нуля, но это долго.)

Почитав про антивирусы для защиты от вирусов типа WinLock, решил больше не ставить AVG, а установить Avast. Для более-менее адекватной защиты в наше время рекомендуется обязательно иметь кроме антивируса еще и сетевой экран (фаервол, брандмауэр). Но это опять все про защиту, а сейчас речь идет про готовность к нападению, т.е. о вирусобезопасности. Ближе к делу.

Моя концепция вирусобезопасности. Совершенно не бояться вирусов типа WinLock позволяет такой подход. В системе не меньше двух дисков (разделов или физических — не важно). Первый — под систему, размеров Гигов на 30 для XP, либо 50 для Windows 7. Этого должно хватить за глаза. На диск C: не сохраняем ничего ценного или уникального. На втором диске создаем каталог, скажем D:\Doc и переназначаем папку «Мои документы» туда или в его подкаталог по пользователям. На рабочем столе тоже — только ярлыки. Если удобно бросать что-то прямо на рабочий стол (например, привычка такая дурацкая), то создаем на рабочем столе ярлык для каталога, который на самом деле расположен на втором диске и бросаем уже не на сам рабочий стол, а на этот ярлык. В результате файлы будут попадать именно на второй диск. Операционку обновляем до последних или хотя бы критических апдейтов, ставим дрова, настраиваем как нужно и делаем образ диска C:, сохраняя его на втором диске. Время от времени, скажем, каждый месяц можно делать образы живой системы. Если вдруг вирус WinLock блокировал компьютер и быстро избавиться от него не удается, то смело грузимся с диска Acronis True Image Home и восстанавливаем образ диска C: (либо последний из сохраненных, либо чистый, по ситуации).

Напоследок примечание для тех, кто не в курсе: при блокировании WinLock’ом деньги отправлять бессмысленно. Это не поможет разблокировать систему.

Добрый вирус

Вчера столкнулся со сравнительно безвредным, но очень наглым вирусом, с вирусом, который берет на понт. Искал какую-то прогу и на одном из сайтов подцепил эту заразу. Внешне немного напоминает WinLock. Посреди экрана синенькое окошечко (к сожалению, на догадался его сфотографировать) с сообщением о том, что для разблокировки Windows необходимо отправить 400 рублей на счет абонента BeeLine 8-960-257-75-77. В ответ якобы придет код, который нужно ввести в это окошечко. Не понятно, как технически это может произойти, ведь речь не идет об SMS и невозможно идентифицировать источник платежа. Если в течение 12 часов деньги не поступят, то с компьютера будет стерто все, включая, БИОС. Остальная часть экрана вокруг окошечка видна, но недоступна. Мышь заблокирована внутри этого окна, которое всегда выше всех. Меню Пуск доступно с клавиатуры, но запуск редактора реестра блокирован, диспетчер задач — тоже.

Что делать? Первое, что пришло на ум – как раньше, найти в интернете код ответа для номера 8-960-257-75-77, ввести его, прогнать с экрана синее окно вируса и потом уже с ним бороться. Ни на «8-960-257-75-77», ни на «89602577577», ни на «9602577577» не было выдано ни одного результата поиска. Это я делал с другого ПК, отобрав ноут у жены. Машины объединены в локальную сеть. Тогда я подключился с ноута к реестру зараженного ПК и посмотрел ключ реестра, который обычно изменяют подобные вирусы  – ничего подозрительного не нашел. Автозагрузку еще проверил: саму папку и ключи в реестре – ничего.

Убийство вирусаТогда пришла мысль просто прибить процесс вируса. Наверное есть для этого утилиты командной строки, но я действовал по пословице: «Самая короткая дорога та, которую хорошо знаешь». Посмотреть список процессов, да еще и с датой/временем запуска каждого из них, позволяет набор утилит DameWare. Пошукал на ноуте – не нашел, поискал на зараженном ПК – нету. Но я знаю, что есть на рабочем ПК, и там у меня должен быть запущен TeamViewer. Иду на сайт этого самого тимвьювера, скачиваю портабле-инсталяху (15 Мб). Подключаюсь ею на рабочий ПК и с её помощью пытаюсь скачать к себе на ноут DameWare. Это около 70 Мб. В прогнозе пишет, что качать будет час. Бросаю закачку. Запускаю на зараженном ПК этот же тимвьювер (меню пуск и клавиатура доступны, а этого для запуска достаточно). С ноута подключаюсь к рабочему столу рабочего ПК. Там запускаю VPN соединение с зараженным ПК, получаю его IP адрес. На рабочем ПК запускаю DameWare и по IP адресу подключаюсь к зараженному. Запрашиваю список процессов, и сортирую по времени запуска – вот он гад. Правый клик, «завершить процесс», «Вы уверены?», «Да». И синенькое окошечко с монитора исчезает.

Что любопытно, никаких последствий этого странного вируса я не обнаружил. Однако, не понятно другое. СИМки мобильных операторов обязательно регистрируются на паспортные данные. Для полиции нет никакой проблемы по номеру 8-960-257-75-77 определить владельца. Почему же его не арестуют и не расстреляют на площади, чтобы другим не повадно было. Заснять казнь на видео и на YouTube. Думаю, эффективно было бы.

P.S.(10.03.2011): Вчера снова столкнулся с этой же пакостью. Только номер был уже другой: 8-960-272-71-00.

Вирус Билайн

Толи в прошлый раз не добил, то ли снова подцепил. Помог простой способ. При запуске F8, входим в режиме защиты от сбоев с поддержкой командной строки. Там regedit и заменяем в параметре HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell дурацкое имя с цифрами на explorer.exe, предварительно запомнив (записав) имя и путь к этой гадости.  Перезагружаемся, удаляем файл вируса, прогоняем докторвебером (Cure It!).

Вирус trojan.pws.ibank

Недавно снова боролся с вирусом на своей машине. Заколебали уже эти вирусы. На этот раз вирус назывался trojan.pws.ibank. Как следует из названия, вирус trojan.pws.ibank ворует пароли к интернет-банкам пользователей и отправляет их своему разработчику вместе со всей необходимой информацией. Из тех трех интернет-банков, которыми я пользовался в разное время, что-то ни у одного не было такой примитивной защиты, как просто ввод пароля. Обязательно используется, как минимум две защиты: пароль и еще что-то, что-то такое, что невозможно стырить через интернет.

Тем не менее trojan.pws.ibank этот создавал мне неприятности. Первое, на что обратил внимание — интернет стал как-то тормозить и временами подвисать. Сразу мелькнула мысль про вирусы, глянул в трей — а где мой антивирус-то, его нет. trojan.pws.ibank падла прибил мне антивирус и, по традиции, блокировал доступ на известные ему сайты антивирусных программ. Т.е. я не мог скачать или обновить ни AVG, ни Dr.Web, ни Касперского, ну и, видимо, остальные антивирусы тоже. С помощью другой машины я скачал бесплатный Cure It с сайта Dr.Web, и прогнал им свою машину, но даже в безопасном режиме Dr.Web полностью со своей задачей не справился. Файлы вируса он нашел и поудалял, плюс, сообщил мне название врага — trojan.pws.ibank, но, видимо, поудалял не все и проблема осталась.

Оказывается, ключевым действием при борьбе с вирусом trojan.pws.ibank, да и со многими другими вирусами его поколения, является восстановление параметра Userinit в реестре по адресу:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

В нормальном состоянии он выглядит примерно так:

c:\windows\system32\userinit.exe

Все, что там написано после этого текста, нужно удалить.

Кроме того, нужно зачистить таблицу маршрутизации командой:

route -f

Это делается в командной строке: Пуск, выполнить, cmd, Enter. Далее вводим route -f и нажимаем Enter. Теперь перезагружаемся, прогоняем бесплатным Cure It от Dr.Web и все в порядке.

Еще можно посоветовать обратить внимание на файл:

c:\Program Files\Common Files\keylog.TxT

Антивирус его не удаляет. Если к вашей машине есть доступ не только у Вас, то лучше этот файл прибить. Нажимая клавишу Del, не забудьте придерживать Shift, чтобы он не в Корзину переместился, а совсем удалился.

Вирус Internet Security

Уже несколько раз писал про эти чертовы вирусы, блокируюющие виндовс, но этот Internet Security — просто шедевр. Обычно на экране сразу появляется окно, от которого нельзя избавиться, и там написано, куда отправлять СМС и с каким текстом. Здесь же антураж заслуживает уважения.

Как-будто в автозагрузке стоит проверка на вирусы. Быстро так проверяет, что сразу настораживает, но это же не всем бросается в глаза. После, якобы, проверки в этом вражеском окне Internet Security появляется список из 53 «зараженных» файлов с указанием, какой именно вирус обнаружен. Под списком 3 кнопки: «Лечить», «Удалить», «Отправить в карантин». Что характерно, отказа от каких бы то ни было действий не предусмотрено. Нажимать можно на любую кнопку, можно и вообще не нажимать, все равно результат один и тот же — программа говорит, что она тут работала, пора бы и заплатить ей за работу отправкой СМС на номер 4460. Стоимость указана 10 рублей. Выглядит очень натурально, особенно для неискушенного пользователя. И, главное, это даже не как простое вымогательство представляется, а как оплата проделанной работы. Да, и цена не большая.

Читать далее

Ты сам себе враг!

Порно бесплатноНаписал предыдущую заметку про вирусы вдогонку к предпредыдущей, но тема так и осталась не раскрытой. Хорошая мысля приходит опосля. Для тех, кто все-таки озабочен состоянием своих нервов, кошелька и комфорта добавлю еще пару советов на тему противовирусоной безопасности.

Первое, что нужно четко понимать, всегда иметь ввиду и ясно осознавать — это неразрывную связь: «порнуха — вирусы«. Нужно отдавать себе отчет в том, что ты рискуешь получить вирус типа WinLock, заходя на порносайт. В интернете порно — основной источник денег. Это тема для отдельного разговора, но для данного обсуждения она является ключевым моментом, отправной точкой, если хотите.

Безусловно, в сети предостаточно и бесплатного порно, т.е. нахаляву,  но, как правило, выставляется оно бесплатно с единственной целью: привлечение целевой аудитории (любителей порно) для получения с неё денег. Рыбак прикармливает неосторожного посетителя и как только тот, теряя рассудок от повышения давления в нижней части тела, перестает отличать контент от рекламы, ОП! и он тебя подсекает. Ты болтаешься на крючке. А на твоем экране болтается WinLock.

Как это происходит. По неосторожности, в онлайне все точно так же как и в реале.
Реал: Забыл про презик -> и подцепил неприличную болезнь (умышленно не перечисляю названия, дабы не компрометировать себя своей же собственной осведомленностью).
Онлайн: Не обновил / не поставил совсем антивирус, не глядя (впопыхах) щелкнул на ОК в каком-то окошке -> и подцепил WinLock, Encoder или подобную заразу.

А теперь конкретные шаги:

Читать далее

Вирус eKAV, WinLock, Encoder и другие — Профилактика

Защита от вирусовВ предыдущей статье о борьбе с вирусами типа eKAV, WinLock, Encoder и подобных совсем позабыл упомянуть об одном очень важном факторе, эффект от которого достаточно велик, чтобы терпеть некоторые неудобства, связанные с его применением. Речь идет об административных правах учетной записи, под которой пользователь ПК работает в интернете и от имени которой действует вирус на данном компьютере при его заражении.

Предполагаю, что большинство читателей сейчас вообще не понимают, о чем идет речь. А это как раз и означает, что человек работает на своем ПК всегда с правами администратора. Чем существенно подрывает безопасность своей системы и повышает уязвимость не только от вирусов типа eKAV, WinLock, Encoder, но и от многих других.

Читать далее