Російських користувачів мережі захлеснула епідемія троянців, які блокують доступ до браузерів, програм і навіть операційній системі, заявляють фахівці з інтернет-безпеки і дають поради про те, як уникнути зараження і що робити, якщо шахраям все-таки вдалося заблокувати комп'ютер.
Фахівці також відзначили, що апетити зловмисників сильно зросли з моменту, коли з'явилися перші версії вірусу (близько трьох років тому): якщо раніше вартість SMS, яке зловмисники вимагали відправити на короткий номер для розблокування системи, становила приблизно десять рублів, то тепер розцінки хакерів підвищилися до 300-600 рублів.
При цьому нові модифікації вірусу з'являються постійно, і в групі ризику опиняються навіть користувачі, на комп'ютерах яких встановлені регулярно оновлювані антивіруси.
Погана поведінка
Після активації вірус зазвичай витягує зі свого тіла файл і розміщує його в папці Temp поточного користувача, потім - змінюючи параметри в системному реєстрі - «дозволяє» самому собі запускатися в автоматичному режимі. Після перезавантаження комп'ютера вірус починає працювати.
Принцип дії і склад різних троянців може відрізнятися: це може бути пара з драйвера і бібліотеки, а може бути і один виконуваний файл, але результат їх шкідливої діяльності практично завжди однаковий: користувач зараженого комп'ютера бачить вікно, що займає весь екран, в якому міститься повідомлення про тому, що Windows заблокована і для її розблокування необхідно відправити sms на короткий номер. В обмін зловмисники обіцяють надіслати код розблокування, але нічого подібного не відбувається.
Часто, щоб ефективніше схиляти користувачів до відсилання SMS, шахраї вказують в графі «вартість повідомлення» відносно невелику цифру, хоча насправді це може бути вкрай дороге повідомлення (300-1000 рублів). Згорнути вікно, переключитися на інші вікна командою Alt + Tab або викликати «Диспетчер завдань» можливості немає: шкідлива програма успішно їх відключає. Проте можливостей «вилікуватися», що не відправляючи SMS предостатньо.
самолікування
Найпростіші способи позбутися від цієї зарази - скористатися сервісами деактивації здирників-блокерів, які є на сайтах провідних російських антивірусних компаній, зокрема на сайті «Доктора Веба» і «Лабораторії Касперського».
Відвідавши сторінку, потрібно просто ввести в спеціальну рядок короткий номер, на який зловмисники пропонують відправити SMS, і натиснути розташовану поруч кнопку. У сусідній рядку з'явиться згенерований програмою код для розблокування системи.
Після розблокування необхідно оновити антивірусне ПЗ і влаштувати повну перевірку системи.
Безумовно, даний спосіб актуальний, коли є можливість вийти в інтернет з іншого комп'ютера; якщо можливості немає, то можна або скористатися недавно відкритим компанією «Доктор Веб» мобільним сервісом-деактиватора, або розправитися з цифровим шкідником вручну.
Розділ технічної підтримки «Лабораторії Касперського» пропонує відразу кілька способів боротьби з подібними програмами, кожен з яких допомагає проти різних модифікацій троянця.
Найпростіший з «ручних» способів - завантажити комп'ютер в «безпечному режимі» і запустити процедуру «Відновлення системи», яка відкотить систему на попередню контрольну точку (якщо вона була створена) і обеззброїть троянця. Однак цей спосіб працює тільки в разі, якщо троянець не відключив можливість завантажувати комп'ютер в «безпечному режимі».
Якщо відключив, то цілком може допомогти спосіб з використанням завантажувального диска LiveCD, за допомогою якого можна потрапити до реєстру і відновити значення ключа userinit з встановленого шкідливою програмою на стандартний C: \ Windows \ system32 \ userinit.exe, після чого потрібно видалити шкідливий файл вручну і завантажити комп'ютер в звичайному режимі.
сімейство блокіраторів
Фахівці з вірусам розрізняють цілий ряд видів троянців-блокаторів, які можна підчепити в мережі. Крім програм-вимагачів, які блокують роботу з операційною системою, є програми, які блокують або порушують роботу з браузерами.
У разі якщо при запуску браузера замість стартової сторінки з'являється повідомлення про те, що браузер заблокований, фахівці з мережевої безпеки рекомендують відкрити в текстовому блокноті файл hosts (шукати потрібно в Windows \ System32 \ drivers \), самостійно видалити з нього всі рядки, крім 127.0 .0.1 localhost і зберегти файл в такому вигляді. Після цього потрібно перевірити систему на віруси актуальними антивірусним ПЗ.
Втім, основна порада антивірусних фахівців залишається тим самим: як можна ретельніше підходити до питання захисту комп'ютера від шкідливих програм і якомога більше уваги приділяти тому, на які сайти заходить користувач і що він з них викачує.