Форум » ИНТЕРНЕТ » Безопасность. » Ответить
Безопасность.
Адам Градовский: Компания BitDefender, разработчик антивирусного комплекса BitDefender, сообщила о появлении новой вредоносной программы, которая совмещает в себе деструктивное воздействие вируса и способность к воспроизводству сетевого червя. Как правило, Win32.Worm.Zimuse распространяется по электронной почте и маскируется под безобидный IQ-тест. Особая опасность вируса связана с тем, что он начинает действовать не сразу – инкубационный период для разных версий программы составляет от 20 до 40 дней. В первое время после заражения Win32.Worm.Zimuse практически никак себя не проявляет, однако впоследствии полностью уничтожает данные на жестком диске пользователя. После запуска программа создает от 7 до 11 собственных копий в критических областях операционной системы Windows, прописывает себя в автозапуске и генерирует два файла-драйвера в папке %system%\drivers. Спустя 20 или 40 дней после заражения программа вносит изменения в главную загрузочную запись жесткого диска (Master Boot Record, MBR), уничтожая операционную систему компьютера. Добавим, что Win32.Worm.Zimuse также способен распространяться через съемные носители. Видеозапись атаки Win32.Worm.Zimuse доступна по следующей ссылке: http://www.youtube.c...?v=KgjX4LQrkgI. Чтобы не допустить дальнейшего распространения вредоносной программы, BitDefender разработал специальный инструмент для его удаления. Для очистки системы достаточно запустить исполняемый файл zimuse-removal-tool.exe с правами администратора и перезагрузить компьютер. Определить наличие вируса в системе можно с помощью сервиса BitDefender Quick Scan на сайте Zimuse или по адресу http://quickscan.bitdefender.com/ Для того чтобы избежать вирусного заражения, BitDefender рекомендует использовать актуальную версию системы безопасности, а также не открывать файлы, полученные из недостоверных источников. Источник: BitDefender
Ответов - 1
Адам Градовский: В последнее время многократно участились случаи обращения ко мне людей с одной и той же проблемой: в результате тех или иных действий их компьютер становился жертвой троянов-вымогателей, полностью либо частично блокирующих доступ к компьютеру или браузеру и требующих отправить SMS на короткий номер, чтобы получить код разблокировки и тем самым от него избавиться. За 3 дня 5 обращений! Посмотрев на методы, которыми люди боролись с данной напастью, решил изложить более гуманные (чем переустановка Windows) способы борьбы с ней. Заражения происходили разными способами. В большинстве случаев пациент говорил «оно само», очевидно полагая, что я тут же в это поверю, но находились и смелые люди, объяснявшие ничего не стесняясь, как это произошло и на какого рода сайтах эта зараза была подцеплена. Большинство заражений происходили после перехода по заманчивой ссылке в интернете. Например «Посмотри как развлекаются звезды шоу-бизнеса!» или еще чего покруче. Далее либо сразу следовало заражение через дырявый браузер, либо предложение скачать и установить «дополнение к flash player», якобы позволяющее посмотреть это самое видео. Некоторым людям ссылка пришла в Mail.ru-агенте, от проверенных друзей. Некоторые и сами не понимают, откуда подцепили... Итак, вы стали жертвой программы-вымогателя, которая мешает работать и требует отправить SMS с кодом на короткий номер, чтобы получить код разблокировки и тем самым избавить вас от себя. Текст, который показывает такая программа может быть абсолютно разным. Я видел варианты и про какую-то программу-downloader, у которой якобы кончилась лицензия, и про подписку на эротическое видео (при этом кроме текста демонстрировались соответствующие картинки), так же были вариации на тему активации Windows, а то и просто одни знаки вопроса вместо русских букв. В общем, фантазия дерьмописателей таких дерьмопрограмм достаточно богата. (а вот с русским языком у них проблема, сразу видно — неграмотная школота). Что делать? Прежде всего — не паниковать. Ни в коем случае не вздумайте отправлять SMS на указанный номер !!! Мало того, что вы потеряете деньги, так еще и простимулируете злоумышленника продолжать свою деятельность! Пусть этот гад несет убытки (короткий SMS-номер денег стоит, да и написание и раскрутка этого дерьма занимает время)! Никаких СМС. Как бы там в программе вам не угрожали. Мы не идем на переговоры с террористами! Дальнейшие действия зависят от того, как именно вас поимели. Вариантов несколько: 1. Потерян контроль только над браузером. Это когда компьютер работает нормально, но при открытии браузера появляется либо баннер, либо страничка требующая отправить SMS. (пока не важно какой браузер, Internet Explorer, Mozilla FireFox и Opera одинаково подвержены заражению, правда Internet Explorer заразить гораздо проще) 2. Частично потерян контроль над компьютером. В этом случае посреди экрана висит большое окно требующее от вас отправить SMS. Оно не закрывается никакими комбинациями клавиш, но при этом можно открыть меню «Пуск» и запустить какую-либо программу. Кроме того, окно не занимает всю площадь экрана. 3. Контроль над компьютером потерян полностью. Тут уже полный трындец: компьютер загружается, но весь экран закрыть окном требующим денег и больше ни на что компьютер не реагирует. Никакие комбинации (включая Ctrl+Alt+Del) не помогают. Если потерян контроль над браузером Итак, компьютер работает нормально, но открывая Internet Explorer, Mozilla FireFox или Opera видим нехорошую бяку. Что делать? 1. Попробуйте восстановить систему до состояния предшествующего заражению. Способ актуален для всех Windows начиная с Windows XP. Для этого заходим «Пуск»-> «Все программы»->"Стандартные"->"Служебные"->"Восстановление системы". В Windows разных версий восстановление системы выглядит по разному, поэтому буду описывать применительно к Windows XP. Если спросят какую задачу мы хотим выполнить, выбираем «Восстановление более раннего состояния компьютера». Далее, в календарике слева выбираем точку восстановления ранее момента заражения, т.е. например, если заражение произошло сегодня, лучше выбрать точку восстановления ближайшую к текущей дате, например вчера. Дни, для которых есть точки восстановления в Windows XP отмечаются на календаре жирным шрифтом. В Windows 7 точки восстановления показаны списком, где в первой колонке стоит дата и время создания точки. Итак, выбираем точку ранее момента заражения, жмем «Далее», компьютер перезагрузится и начнет процедуру восстановления. В 80% случаев этот способ мне помог быстро и безболезненно привести компьютер в чувства. 2. Если восстановление системы не помогло, или нет точек восстановления, или просто не охота им пользоваться, тогда будем копать глубже. Для каждого браузера индивидуально. Для Internet Explorer — Запускаем Internet Explorer, заходим в меню «Сервис» и выбираем либо «Управление надстройками» либо «Надстройки» (зависит от версии IE). В открывшемся окне проходимся по всем надстройкам, имеющим состояние «Включено» и выключаем их (либо переключателем внизу окна, либо кнопкой «Отключить», зависит от версии IE). После этого закрываем Internet Explorer и запускаем его еще раз — все должно быть нормально Для Mozilla FireFox — Открываем меню Tools (Инструменты) — Add-ons (Дополнения). Проверяем все закладки: Extensions (Расширения), Themes (Темы), Plugins (Надстройки). Отключаем все подозрительное. Для Opera — Заходим в настройки: Tools (Инструмены) — Preferences (Настройки). На последней закладке Advanced (Дополнительно) выбираем 4-й пункт Content (Содержимое) и нажимаем справа кнопку «JavaScript Options...» ("Настроить JavaScript "). Удаляем содержимое текстового поля «User JavaScript files» («Папка пользовательских файлов JavaScript») Если частично потерян контроль над компьютером Итак, висит гадкое окошко, но компьютер реагирует на команды и позволяет запускать программы. Это хорошо. Даже если окно трояна нам мешает, окно другой программы можно подвигать под ним так, чтобы увидеть или выбрать что-нибудь. Это радует. Итак: 1. Попробуйте восстановить систему до состояния предшествующего заражению. Как это сделать описано в предыдущем разделе в пункте 1. Придется поерзать окошком восстановления системы под окошком трояна так, чтобы все увидеть и выбрать. Но это не сложно. В 80% случаев на компьютерах клиентов восстановление мне помогло. 2. Если не удалось запустить восстановление системы или его окно закрывается окном трояна так, что ничего там сделать нельзя — попробуйте загрузить Windows в безопасном режиме. Если в безопасном режиме окна вымогателя не будет — запускайте восстановление и вперед. 3. Если восстановление системы не удалось, или этот способ вам не подходит — попробуйте вычислить код, который заставит троянца закрыться. Сделать это можно на сайте Сервис деактивации вымогателей-блокеров Лаборатории Касперского или на аналогичной странице сайта антивируса DrWeb. Если вы плохо разбираетесь в компьютерах и на данном этапе у вас ничего не вышло — рекомендую обратиться за помощью к профессионалам, т.к. перечисленные дальше способы могут вызвать у вас затруднения. 4. Способы 1-3 не прокатили ? Пора пускать в ход тяжелую артиллерию. Качаем с сайта Sysinternals программу Process Explorer. Запускаем ее и видим список процессов, которые запущены в системе. Ищем подозрительные процессы и удаляем их, предварительно запоминая пути к запущенным файлам. Если после удаления процесса окно дерьмопрограммы исчезло — значит идем по запомненному пути и убиваем эту сволочь. А заодно поищем ее в реестре и удалим ссылки на нее и оттуда. Ничего не помогает? Почитайте статью Лаборатории Касперского Способы борьбы с программами-вымогателями класса Trojan-Ransom. Там достаточно хорошо изложены методы борьбы. Если контроль над компьютером потерян полностью Этот вариант значительно хуже, т.к. требует определенного багажа знаний для борьбы. Если вы не обладаете такими знаниями — рекомендую обратиться к профессионалам. Людям с опытом посоветую следующее: 1. Загрузить систему в безопасном режиме с поддержкой командной строки и вычислить процесс, блокирующий работу системы. Например утилитой Марка Руссиновича Process Explorer. 2. Загрузить систему в безопасном режиме с поддержкой командной строки и пройтись по списку автозапуска с помощью утилиты Марка Руссиновича Autoruns удалив все подозрительное. 3. Можно восстановить вручную реестр из системной контрольной точки восстановления. Для этого понадобится любой Windows Live CD, например BartPE. Грузимся с Live CD, заходим в C:\System Volume Information и ищем там последнюю или предпоследнюю точку восстановления (папка типа RPxxx где xxx — номер точки восстановления) ищем там копии ключей реестра и заменяем ими рабочие ключи в папке C:\Windows\System32\config. Если надо объяснить подробнее, как это делается — пишите в комментариях, допишу подробности. 4. Почитайте статью Лаборатории Касперского Способы борьбы с программами-вымогателями класса Trojan-Ransom. Заключение Иногда, помогает способ «ничего не делать». Попадались мне такие программы, которые сами исчезали спустя несколько часов. Видимо, дерьмоавторы этих дерьмопрограмм таким образом страхуются от уголовного кодекса... К сожалению, последний ублюдок на земле умрет не в нашей жизни, поэтому надо быть готовым ко всему. Однако, как говорят врачи, проще предупредить болезнь, чем лечить ее. А посему, дам несколько советов, как не попасть в положение, когда эта статья — последнее средство: 1. Не кликайте по сомнительным ссылкам! Трижды подумайте, а надо ли вам знать, как отрываются звезды у себя на даче? Броские заголовки потому и броские, чтобы завлекать наивных простачков! 2. Не пользуйтесь Internet Explorer-ом. Скачайте Opera или Mozilla FireFox. Эти браузеры гораздо менее дырявы, чем детище Microsoft 3. Регулярно обновляйте Windows. Очень много гадости проникает не только через браузеры, но и через дыры самой Windows. 4. Пользуйтесь хорошим антивирусом! Не жалейте денег! Не думайте, что бесплатный антивирус даст вам 100% защиту. Ее не даст даже платный. Но если сравнивать — платные решения всегда лучше бесплатных. 5. Регулярно обновляйте антивирус. Почему-то об этом люди тоже не думают. Сидят с базами двухлетней давности, и думают что защищены... В общем, будьте бдительны! Вы — на войне! Интернет не только великое благо, но и притон мошенников. Стоит зазеваться — и вы уже на крючке. Источник
полная версия страницы