|
Winlockers и с чем их едят
| |
| cx | Дата: Пятница, 17.06.2011, 02:32 | Сообщение # 1 |
|
Admin
Группа: Администраторы
Сообщений: 1371
Статус: Offline
| Учебка есть учебка. И здесь не обязательно должны быть статьи только об игре. Решил вот написать мануал по борьбе с Winlocker-ами. Да-да. Есть такая зараза. Это когда у Вас на экране видно только окно с сообщением, что компьютер заблокирован и для разблокировки предлагают отправить смс или пополнить какой нибудь телефон, а в ответ Вы якобы получите код разблокировки. Со 100% уверенностью могу сказать - код Вы получите в ответ, но разблокировать систему Вам он вряд ли поможет. И после оплаты, минимум 10 зеленых, смс или пополнения кому то телефона, Вам все равно прийдется переустанавливать свою Windows. А там же столько было установлено полезного, столько настроек было уже произведено. Жаль терять "все нажитое непосильным трудом".
Я и сам становился жертвой подобной дряни. Но мало того, что я немного жадный (а может просто домовитый?), так у меня еще и голова работает примерно в одном направлении с руками. Раньше я просто сносил старую Windows и устанавливал новую. Но недавно мне попался ноут, с которого инфу просто так слить не получалось. И нужно было умудриться поднять родную Windows в рабочее состояние. Ах да. Почему же все так оказалось запутанно? Да все просто - владелец влез на какой то сайт и поймал этот злополучный винлокер. Пришлось попотеть, но затраченное время оправдало себя. Мало того, что я человеку ноут поднял в абсолютно рабочее состояние, так еще и научился, как вылечить комп без хирургического вмешательства. Вернее как раз хирургическое вмешательство и понадобится, но, скажем так, без полной ампутации жизненно важных органов.
Итак. С чего начать? Винлокеры бывают разные. Вот варианты:
Вариантов на самом деле намного больше, но суть у них одна - заблокировать Windows, напугать страшным текстом пользователя и стребовать оплату.
Увидев что нибудь подобное не спешите сразу убивать человека, который сидел за компом перед блокировкой. Все надписи на блокировочных окнах это полнейшая чушня. Ну кроме номера телефона, который нужно пополнить или на который нужно отправлять смс. В общем приключилась неприятность - Windows заблокирована. Но как оказывается это не смертельно. И имея под рукой всего 1 диск, несколько резервных файлов и 15-20 минут времени, можно с успехом все вернуть в рабочее состояние. Как? Об этом читаем ниже.
Лучше молчать и прослыть дураком, чем заговорить и развеять сомнения...
Я не материально ответственное лицо! Я духовно безответственная морда!
|
| |
| |
| cx | Дата: Пятница, 17.06.2011, 16:58 | Сообщение # 2 |
|
Admin
Группа: Администраторы
Сообщений: 1371
Статус: Offline
| Дабы появление винлокера не застало Вас в расплох, рекомендую заранее подготовить папку с резервными копиями файлов. Нам понадобятся файлы windows\system32\userinit.exe, windows\system32\logonui.exe, windows\system32\svchost.exe советую на каком нибудь отдельном от системы разделе создать папку типа "backup" или "rezerv" и сложить туда эти файлы. Так же нам понадобится диск или флешка с так называемым LiveCD - это Windows, в которой можно работать загрузившись с диска или флешки. Я обычно пользуюсь диском AlkidLiveCD. Ссылки на образы подготовлю чуть позже. Ну вот собственно и все - мы подготовились к неожиданной атаке винлокеров. А раз мы подготовились, значит мы о них знаем, а раз знаем, значит предупреждены, а раз предупреждены, значит вооружены. Пусть теперь лезут сволочи, хотя, конечно, лучше обойтись без крайних мер и просто спокойно работать, не нахватываясь разной заразы. Но это мечты, мечты, мечты...
Итак. Случилось - Windows заблокирована. Что делать? Во первых не паниковать, не обращать внимания на надписи в блокировщике, типа "Все данные будут уничтожены" или "информация о Вас будет передана в контролирующие органы". Это все направлено на устрашение и на наведение упаднических настроений у пользователя. Испугавшись, человек первым делом что делает? правильно - то, что ему советуют, а блокировщик советует ЗАПЛАТИТЬ. Ну уж дудки. Пусть чувак, который потратил время, а иногда и деньги, на запуск своего винлокера останется с носом. Мы спокойно достаем свой диск с LiveCD вставляем его в привод и неспеша жмем RESET на своем компе, если нет кнопки RESET то просто выдергиваем шнур питания из компа, ждем несколько секунд и вставляем обратно. О том, что Windows завершит свою работу некорректно даже не думайте. В данный момент это неважно. Главное поставить вымогателя на место (жаль морду ему набить нельзя, хотя если приложить усилий, то человека можно вычислить, найти и все таки набить морду. Но все это сводится к растрате времени и обычно оканчивается тем, что человек живет ну очень далеко и просто нет смысла ехать ему бить морду.). В общем включаем свой комп, диск уже вставлен в привод, в BIOS(еслиу кого возникнут вопросы что это и как там работать, то напишите вопрос, постараюсь описать несложными фразами и понятиями) и выбираем там загрузку с CD/DVD или флеш (у кого что припасено). Так же вариант загрузки можно выбрать нажимая кнопку F8 (обычно F8, но в разных моделях материнок эта функция может быть настроена на разные функциональные кнопки, например F2 или F12, смотрите или в руководстве к материнке или на экране при включении компа). В общем мы должны загрузить компьютер не с жесткого диска, а с нашего загрузочного LiveCD. LiveCD обычно стартует довольно долго, связано это с тем, что вся Windows и куча примочек грузится напрямую в память. Поэтому на слабых компах время загрузки LiveCD может затянуться до 15-20 минут. Не переживайте. В это время можно спокойно попить чаю, покурить, ну кому что интересней. И вот загрузилась наша Windows. Вернее не наша, а Windows с LiveCD. Находим там тотал коммандер, обычно все варианты LiveCD комплектуются тотал коммандером. Рекомендую использовать именно тотал коммандер, потому, что используя проводник, есть шанс, что какой нибудь зверек, тайно живущий на вашей родной Windows, все таки сможет прицепиться и просочиться вновь. В общем запускаем тотал коммандер и преспокойно, без зазрения совести копируем наши файлы из папки с резервом в папку windows\system32\ только учтите, что файлы нужно копировать не в C:\windows\system32\ а найти диск, на котором лежит именно Ваша Windows. Найти его несложно, можно по размеру раздела, можно по наличию каких нибудь папок или файлов, можно посмотреть в Мой компьютер(правой кнопкой мыши)-Управление-управление дисками. Примерно вот так:
В общем копируем резервные файлы поверх потенциально зараженных. Почему потенциально зараженные? Потому что у разных винлокеров разный принцип работы, некоторые модифицируют эти файлы, а некоторые нет. Но скопировав резервные файлы мы будем увеерены наверняка, что эти файлы чистые. При копировании, на вопросы тотала нужно отвечать, что да мы согласны и уверены, что файлы нужно скопировать поверх старых. Кстати, если Вы хотите проверить, действительно ли файлы были заражены, то рекомендую создать какую нибудь отедльную папку. например "virus!!!" и старые файлы, которые могут быть заражены скопировать туда. Т.е. сначал копируем эти файлы из windows\system32\ в папку "virus!!!" а потом уже из резерва в windows\system32\
Но одним копированием этих файлов дело не ограничится. Если попытаться после копирования перезапустить Windows, то с вероятностью 99.99% Вы вновь увидите окошко блокировщика, а эти файлы будут вновь заражены. Еще нам нужно провести чистку системы. Для этого в том же тотале нужно полность очистить папку Temp, Temporary Internet Files, кэши своих браузеров, если в интернете бродим чем нибудь кроме ИЕ (интересно, а много еще людей ползуется ИЕ?), ну и всякий посторонний мусор. Что я подразумеваю под посторонним мусором? А это исполняемые файлы самого вируса. Сейчас буду расписывать все места, где может затаиться этот гаденыш. Итак. Папка Temp. Ее может быть несколько. По умолчанию Windows создает как минимум две папки Temp: одна находится в windows\ вторая в Documents and Settings\user\Local Settings\ под "user" подразумевается имя пользователя, под которым Вы работаете в своей Windows. Если Вам комп устанавливал какой нибудь посторонний человек, то, вполне возможно, что этим пользователем окажется "Администратор". Лично я у себя сразу настраиваю папку Temp отдельно, чтобы потом не геморроиться с поиском и удалением хлама, кстати, папку Temp рекомендуется периодически вычищать - там собираются временные файлы от разных программ и со временем размер этой папки может достигать довольно внушительных размеров. В общем ищем эти две папки и все что в них находится со спокойной совестью удаляем.
Далее нам нужно почистить кэши браузеров. Кэш ИЕ находится по пути Documents and Settings\user\Local Settings\Temporary Internet Files\ все что мы найдем в этой папке подлежит уничтожению через удаление. Кэши от других браузеров стоит поискать либо в Program Files\browser\cache\ либо в Documents and Settings\user\Application Data\browser\cache\ для каждого браузера(browser) кэш будет свой и находиться в своей папке (если возникнут вопросы по кэшам разных браузеров, то задавайте вопросы, опишу как и где их найти).
Теперь нужно проверить еще несколько папок: Documents and Settings\user\Рабочий стол\, Documents and Settings\user\Главное меню\, и Documents and Settings\user\Application Data\. Мы ищем в этих папках подозрительные файлы. Что есть "подозрительные файлы"? Это файлы с расширением "exe". В данных папках таких файлов быть вообще не должно. Хотя на рабочем столе могут быть Ваши программы (и как люди не понимают, что Рабочий стол не резиновый и чем больше на нем файлов тем тормознутей работает компьютер). Обычно блокировщики, не мудрствуя лукаво, обзываются с кучей цифр в имени. Ну или в имени присутствует что типа "porno", "sex"... Мне попадались файлы с именами "22CC6C32.exe", "xxMMMMMMMM2.exe", "0.27885961534145043.exe", "1BBBBBRRRRR.exe". Вариантов может быть много. Так что тут нужно немного включать мозги и смотреть - что есть Ваши файлы, а что есть непонятно что. Вот это "непонятно что" и нужно поудалять. Опять же - рекомендую их копии сохранить в папку "virus!!!" для последующей проверки или отправки в вирусную лабораторию.
Вот вроде бы мы и вычистили систему от гадости. Остается только подправить реестр. Стало страшно от "подправить реестр"? В принципе правильно. Не зная что, где и как, можно так "подправить реестр", что потом поможет только переустановка Windows. Но мы то не для этого начали ковыряться с ручным удалением блокировщика. В общем правка реестра сводится к тому, чтобы Windows поняла, что запускать нужно нормальный explorer (это собственно вся оболочка, в которой Вы обычно работаете), а не вирус. Но об этом в следущий раз.
Лучше молчать и прослыть дураком, чем заговорить и развеять сомнения...
Я не материально ответственное лицо! Я духовно безответственная морда!
|
| |
| |
| cx | Дата: Суббота, 30.07.2011, 18:25 | Сообщение # 3 |
|
Admin
Группа: Администраторы
Сообщений: 1371
Статус: Offline
| Итак. Мы загрузились со своего LiveCD. Определили, где у нас находится наш зараженный рабочий диск "C:\". Настало время хирургического вмешательства. Делаем "Пуск - Выполнить". В открывшемся окне набираем комманду regedit. Открывается редактор реестра. В левой части становимся на раздел "HKEY_LOCAL_MACHINE". В верхнем меню выбираем "Файл - Загрузить куст".
Ищем и открываем наш файл реестра, который находится по пути "C:\Windows\system32\config\" файл называется "software".
Редактор реестра запросит дать имя загружаемому кусту. Я обычно именую так, чтобы имя очень выделялось, например несколько одинаковых цифр.
Если все сделано правильно, то у нас в редакторе реестра появится новый куст с заданным именем.
Нажимая на плюсики возле названий разделов и веток, добираемся до нужной нам ветки "111\Microsoft\Windows NT\Current version\Winlogon". Ветку "Winlogon" можно не открывать. Нужные нам параметры находятся в записях именно этой ветки. На нее просто нужно установить курсор.
Затем в правой части редактора находим запись "Shell"
Если там значение отличное от "explorer.exe" это и есть Ваш вирус, вместе с путем, откуда он запускается. Потом по этому пути нужно будет найти этот файл и скопировать в папку "virus!!!", если планируется отправить его в вирусную лабораторию, и удалить. Итак, мы нашли где обитает наш вирус. Нужно исправить запуск нашей Windows. Нажимаем два раза левой кнопкой мыши на запись "Shell". И в открывшемся окне удаляем абсолютно все. Прописываем туда значение "explorer.exe", естественно без кавычек. И нажимаем кнопку "ОК"
После этого становимся в левой части редактора реестра на наш куст.
И обязательно делаем выгрузку куста. Для этого в верхнем меню выполняем следующее "Файл - Выгрузить куст"
Вот собственно и все. После этого можно смело закрывать редактор реестра и перезагружать компьютер. Перезагружку можно выполнить как стандартно "Пуск - Выключение - Перезагрузка" либо просто кнопкой Reset. У кого нет кнопки Reset, тот может просто отключить питание на несколько секунд. Не забываем вытащить свой LiveCD или LiveUSB и загружаемся в штатном режиме.
В большинстве случаев, после этого Ваша система нормально загрузится и будет работать в нормальном режиме. Если сохранялись копии файлов для отправки в вирусную лабораторию, то отправляем их и удаляем, дабы не случился казус. ВНИМАНИЕ!!! НИ В КОЕМ СЛУЧАЕ НЕ ЗАХОДИТЕ В ПАПКУ "VIRUS!!!" ПРОВОДНИКОМ!!! ТОЛЬКО КАКИМ НИБУДЬ ФАЙЛОВЫМ КОМАНДЕРОМ, НАПРИМЕР ТОТАЛОМ. В противном случае существует шанс опять сразу же подцепить эту заразу.
Лучше молчать и прослыть дураком, чем заговорить и развеять сомнения...
Я не материально ответственное лицо! Я духовно безответственная морда!
|
| |
| |
| cx | Дата: Суббота, 30.07.2011, 18:37 | Сообщение # 4 |
|
Admin
Группа: Администраторы
Сообщений: 1371
Статус: Offline
| Образы разнообразных LiveCD и LiveUSB предоставлю чуть позже, добавив ссылки на них в этой теме форума.
Вот таким нехитрым способом Вы можете сэкономить себе минимум 10 зеленых и кучу нервов.
Прошу учесть, что данная статья не является панацеей от ВСЕХ вариантов винлокеров. Существует шанс, что какой нибудь из новоиспеченных винлокеров использует другой алгоритм. И даже выполнив все рекомендации, которые я выдал выше, Вы не сможете вылечить свой комп от этой заразы. В таком случае самый лучший вариант - загрузиться с LiveCD, скопировать все необходимые документы и программы, и после этого произвести переустановку Windows с форматированием раздела.
Если я найду винлокер, который не лечится описанным выше способом, и найду способ его удалить, то обязательно добавлю данную статью подробным описанием.
За сим пока что раскланиваюсь, желаю не хватать никакой заразы и спокойно работать за своим компом. С наилучшими пожеланиями - Я.
Лучше молчать и прослыть дураком, чем заговорить и развеять сомнения...
Я не материально ответственное лицо! Я духовно безответственная морда!
|
| |
| |
|
Winlockers и с чем их едят - Форум 
