Рано или поздно все мы становимся жертвами заражения вредоносным ПО. И тогда перед нами встает страшный вопрос «Что делать?». В данной статье мы рассмотрим всего лишь несколько ситуаций из огромного списка подобных вопросов. Однако надеюсь, что эта статья поможет вам в их решении.

Итак, что делать если:

1. Ваш компьютер заражен вредоносным ПО, относящимся к классу SMS-блокер?
2. Ваш антивирус пропустил вирус?
3. Вредоносное ПО на вашем ПК блокирует ваш антивирус?
4. Ваш компьютер заражен вредоносным ПО, зашифровавшим ваш жесткий диск.

Ситуации тяжелые, однако, все более реальные. Рассмотрим их подробнее.

Ваш компьютер заражен вредоносным ПО, относящимся к классу SMSблокер

Начиная с 2009 года резко выросло число вредоносных программ, блокирующих ПК пользователя и требующих отправить SMS на платный короткий номер для разблокировки (Trojan-Ransom). Соответственно, увеличилось число пользователей, которые после загрузки своего ПК могли увидеть подобное окно (рис.1).

Рисунок 1 Ваш компьютер заблокирован

1. Ни в коем случае не стоит идти на поводу у злоумышленников и отправлять SMS на платные номера. В сети неоднократно описаны случаи простого «развода» — деньги снимались, а код не приходил. .В 80 % случаев обманутые пользователи оказываются ни с чем.
2. Всегда после удачной разблокировки обращайтесь сюда:

http://virusinfo.info/forumdisplay.php?f=46или сюда:

http://forum.kaspersky.com/index.php?showforum=18вам потребуется сделать логи, и специалисты проверят на наличие остатков вируса. Очень часто бывает, что и после удаления блокирующего окна остаются «хвосты», которые нужно подчищать.

3. На всякий случай после СМС-вымогателя меняйте все пароли, потому что имеется ряд указаний на то, что кроме блокировки вымогатель ещё и ворует пароли.
4. Использовать самостоятельное удаление различными «утилитами», распространёнными на сомнительных источниках в Интернет КРАЙНЕ ОПАСНО: Вы можете занести ещё больше зловредов или по ошибке окончательно угробить систему.
5. Самое главное: легче предотвратить заражение, чем его вылечить, а потому…

5.1.    Никогда не запускайте файлы, в которых не уверены. Если очень хочется — предварительно проверьте их хотя бы на VirusTotal и при малейшем подозрении — отошлите антивирусным вендорам на проверку.

5.2.    Устанавливайте программное обеспечение, только скачанное с официальных сайтов производителя! Adobe Flash Player качается на сайте Adobe, а не там, где Вам его предлагают.

5.3.    Своевременно обновляйте вашу систему и используемые программы.

5.4.    Используйте хотя бы антивирус, не выключая его «потому что тормозит».

Если вы все же умудрились заразиться, существует несколько вариантов лечения.

Лечение вручную

Вариант 1. Программы,ограничивающие доступ к веб-сайтам

Примером программ такого вида может быть вредоносная программа Trojan-Ransom.BAT.Agent.c, которая представляет собой BAT-файл размером 13 Кб. После запуска этого вредоносного ПО блокируется доступ пользователя ко многим веб-сайтам, в том числе, сайтам Лаборатории Касперского, поисковых средств Google, Яндекс, социальных сетей «Одноклассники», vkontakte и других (всего около 200 доменных имен). Введя адрес веб-сайта вместо ожидаемой начальной страницы, пользователь видит окно с требованием выкупа.

Рисунок 2 Ваш браузер заблокирован

Для блокирования доступа к сайтам, троянская программа изменяет файл HOSTS:

Рисунок 3 Содержимое зараженного файла hosts

В данном случае вымогательства, стоимость отправки SMS, как правило, указывается явно и составляет небольшую сумму, чтобы мотивировать пользователя заплатить. В ответ авторы обещают прислать код для разблокировки.

Если по каким-либо причинам антивирусное ПО не было установлено или вредоносное ПО этого типа не было удалено, то в качестве альтернативного способа лечения специалисты Лаборатории Касперского рекомендуют проделать следующие действия:

1. откройте файл HOSTSс помощью любого текстового редактора, например Notepad. В зависимости от используемой вами операционной системы этот файл располагается:
2. для Windows-95/98/ME: в корневом каталоге диска, на котором установлена операционная система
3. для Windows NT/2000/XP/Vista/7: в папке WindowsSystem32driversetc.
4. самостоятельно исправьте данный файл, удалив все строчки кроме: 127.0.0.1 localhost
5. либо замените свой файл HOSTS на оригинальный файл, который вы можете скачать здесь:

http://support.kaspersky.ru/downloads/hosts/hosts

6. установите антивирусное ПО, если оно не было установлено ранее
7. обновите антивирусные базы
8. запустите проверку на вирусы

К данному виду программ относится также вредоносная программа семейства Trojan-

Ransom.Win32.Digitala (Get Accelerator, Digital Access, Get Access, Download Manager v1.34, Ilite Net

Accelerator) — программа-вымогатель. Вредоносная программа семейства TrojanRansom.Win32.Digitala блокирует доступ к Интернету и выводит на экран сообщение о нарушении лицензионного соглашения. Сообщение содержит требование — отправить смс с определенным кодом на указанный в сообщении номер, чтобы разблокировать доступ к Интернету.

Признаки заражения:

Каким образом вы сможете заразить ваш ПК:

1. При участии пользователя. Пользователь сам может запустить установку с виду легальной программы, которая выдает себя за Digital Access. При запуске такой «замаскированной» программы выводится лицензионное соглашение. Если пользователь соглашается с этим лицензионным соглашением, то происходит заражение компьютера
2. Без участия пользователя, при помощи других вредоносных программ.

На экран будет выведено сообщение с требованием отправки смс-сообщения для получения кода активации, который позволит активировать установленную программу. Сообщение может быть выведено как сразу после установки «замаскированной» программы, так и по прошествии 6 часов.

Рисунок 4 Активация программы Digital Access

Через 5 минут после появления сообщения-требования вредоносная программа перезагружает компьютер, кроме того блокирует работу Интернета (более подробно о данном семействе вредоносных программ можно узнать из статьи http://support.kaspersky.ru/faq/?qid=208637303)

Программы, ограничивающие работу с обозревателем

В результате действий подобного ПО в браузере создается всплывающее окно, препятствующее работе в Интернет. Например, рис.5.

Рисунок 5 Всплывающее окно в браузере

В качестве альтернативного способа лечения можно рекомендовать следующие действия:

1. В меню обозревателя Internet Explorer откройте окно Управление надстройками из меню обозревателя «Сервис→ Надстройки→ Включение и отключение надстроек»
2. В окне Управление надстройками перечислены все установленные и активные надстройки, среди которых следует выявить вредоносную. Для этого отключите все надстройки и затем включайте их по одной, таким образом вы сумеете выявить вредоносную.
3. В графе Файл проверьте расширения файлов таких надстроек. Отключите подозрительные расширения, нажав кнопку Отключить.
4. ПерезапуститеInternet Explorer и убедитесь, что всплывающее окно исчезло.
   • Кроме «лечения вручную» вы можете воспользоваться услугами сервиса http://support.kaspersky.ru/viruses/deblockerО востребованности данной услуги свидетельствует тот факт, что за прошедший период на сайте было зарегистрировано свыше 10 млн посещений.
   • http://sms.kaspersky.ru/
   • http://www.drweb.com/unlocker/index/

Для получения кода разблокировки необходимо указать номер, на который требует отправить SMSсообщение, и текст, который злоумышленники требуют отправить на этот номер. После этого будет сгенерирован код разблокировки, который нужно использовать для деактивации вредоносной программы.

Инструкцию по разблокировке от Dr.Web вы сможете скачать по адресу http://st.drweb.com/static/new—www/files/Guide_Unlocker.doc

Ваш антивирус пропустил вредоносное ПО

Ситуация, увы, реальная, хоть, конечно, хотелось бы чтобы такого не было. Однако, увы.

Итак, ваш антивирус пропустил вредоносное ПО. Возможны два варианта лечения вашего ПК:

• Применение продуктов серии Second Opinion Solution. Т.е. установка антивирусных продуктов в виде «Только сканер», без резидентного модуля. Например:

o   Kaspersky SOShttp://www.kaspersky.ru/productupdates?chapter=207367591 oKaspersky Virus Removal Tool 2010http://support.kaspersky.ru/viruses/utility.

o   Dr.Web CureIt!®http://www.freedrweb.com/cureit/?lng=ru

o   eScan Antivirus Toolkit Utility http://www.thevista.ru/link.php?url=http://www.escan.com/web/index.php?pageId=12&d ownloadid=60&downloadItems=1&e=aW5mb0B2aXJ1c2VjLmNvbQ==&n=&an=&languagec ode=en

• Применение «аварийных дисков спасения» (Rescue CD).

Рассмотрим эти вопросы подробнее

Применение продуктов серии Second Opinion Solution

Внимание! Утилиты, представленные в данном разделе не обеспечивают постоянную защиту компьютера и является дополнительными антивирусными программами!

Kaspersky SOS

Антивирус Касперского 6.0 SOS MP4 может быть установлен с другими антивирусными программами сторонних производителей и «Лаборатории Касперского», за исключением:

• Антивируса Касперского 2009;
• Kaspersky Internet Security 2009;
• Антивируса Касперского 6.0 для Windows Workstations;      Антивируса Касперского 6.0 для Windows Servers.

Локальная установка может быть проведена в одном из двух режимов:

• интерактивном,   с   помощью   мастера   установки   программы,   данный   режим   требует   участия пользователя в процессе установки;
• неинтерактивном, запуск установки программы в данном режиме выполняется из командной строки и не требует участия пользователя в процессе установки.

Перед установкой программы на компьютере выполняется проверка соответствия установленных операционной системы и пакетов обновлений (Service Pack) программным требованиям для установки Антивируса Касперского. Также проверяется наличие на компьютере требуемых программ и ваши права на установку программного обеспечения.

Данное программное обеспечение для постоянного использования должно быть активировано с помощью специального серийного номера, однако для выполнения одноразовой проверки может быть выполнена активация пробной версии на 30 дней.

Внимание!  Если данное ПО вам требуется для ОДНОРАЗОВОЙ проверки вашего ПК, то наиболее предпочтительным будет активировать программу позже. При выборе этого варианта этап активации Антивируса Касперского будет пропущен. Программа будет установлена на ваш компьютер, вам будут доступны все функции программы, за исключением обновления (обновить программу вы сможете только один раз после установки).

Естественно, после этого вы обязаны удалить данное ПО с вашего ПК. Это позволит вам в будущем воспользоваться данным ПО снова (если, естественно, вы в результате проверки не захотите перейти на использование антивируса от «Лаборатории Касперского»).

После этого проведите полную проверку вашего ПК.

Kaspersky Virus Removal Tool 2010

Если у вас есть подозрения, что ваш компьютер заражен, и вы хотите быстро проверить, и, если возникнет необходимость, вылечить ваш компьютер, то вы можете воспользоваться бесплатным антивирусом «Лаборатории Касперского» —Kaspersky Virus Removal Tool 2010.

Kaspersky Virus Removal Tool 2010 — это бесплатная программа, осуществляющая комплексную проверку и лечение зараженного компьютера от вирусов и всех других типов вредоносных программ. Скачать Kaspersky Virus Removal Tool 2010 вы можете на сайте Лаборатории Касперского http://support.kaspersky.ru/viruses/utility.

Kaspersky Virus Removal Tool 2010 — это бесплатный антивирус

• Интуитивно понятный интерфейс программы
• Возможность установки программы на зараженный компьютер (в том числе — в Безопасном РежимеWindows)
• Комплексная проверка: поиск вредоносных программ с использованием антивирусных баз и эвристического анализатора
• Лечение зараженных объектов
• Сбор информации о системе и возможность ручного лечения при помощи скриптов лечения

(рекомендуется использовать только по рекомендации Службы поддержки Лаборатории Касперского)

Внимание! Kaspersky Virus Removal Tool 2010 можно использовать совместно с установленными антивирусными программами как «Лаборатории Касперского» (кроме Kaspersky Internet Security 2010/2011), так и сторонних производителей.

Особенности работы программы KasperskyVirusRemovalTool 2010:

Внимание! В программе Kaspersky Virus Removal Tool 2010 отсутствует опция Обновить базы

Чтобы получить программу с актуальным набором баз, выполните следующие действия:

• удалите ранее установленную на компьютер программу Kaspersky Virus Removal Tool 2010
• скачайте с серверов Лаборатории Касперского новую версию программы Kaspersky Virus Removal Tool 2010
• установите новую версию программы на компьютер

Не рекомендуется устанавливать одну версию программы Kaspersky Virus Removal Tool 2010 поверх другой, это может привести к некорректной работе всей операционной системы.

В Kaspersky Virus Removal Tool 2010  возможен запуск проверки только по требованию, программа не включает в себя проверку в режиме реального времени (когда объекты проверяются в момент открытия или изменения)

Техническая поддержка программы Kaspersky Virus Removal Tool 2010 оказывается только на форуме

Лаборатории Касперскогоhttp://forum.kaspersky.com/index.php?showforum=18

Kaspersky Virus Removal Tool 2010 не предназначена для постоянной защиты компьютера. После окончания лечения компьютера программа должна быть удалена с жесткого диска и заменена полноценным антивирусом

Dr.WebCureIt!

В отличие от предыдущего ПО данное не требует установки.

Внимание! Так как в данном ПО не предусмотрена функция обновления антивирусных баз, то в целях обеспечения актуальности антивирусных баз рекомендуется использовать свежую копию Dr.Web

CureIt!

Загрузите Dr.Web CureIt! и запустите файл на исполнение. Появится уведомление о том, что утилита запущена в режиме усиленной защиты, который обеспечивает ее работу даже в случае блокировки Windows вредоносными программами.

В режиме усиленной защиты Dr.Web CureIt! работает на защищенном рабочем столе, при этом использование других приложений невозможно. Для продолжения работы в режиме усиленной защиты нажмите ОК, в обычном – Отмена.

В открывшемся окне нажмите кнопку «Пуск». На запрос подтвердите запуск проверки и дождитесь результатов сканирования памяти компьютера и файлов автозапуска. Если необходимо просканировать все или некоторые диски компьютера, выберите режим полной или выборочной проверки (в последнем случае выделите требуемые объекты для проверки) и нажмите кнопку «Начать проверку» у правого края окна сканера.

При сканировании зараженные файлы будут излечены, а неизлечимые – перемещены в карантин. После проверки остаются доступны файл отчета и сам карантин.

По окончании сканирования просто удалите файл Dr.Web CureIt! с Вашего ПК.

eScan Antivirus Toolkit Utility

Данная утилита также не требует предварительной установки на ваш ПК и выполняет полное сканирование.

После запуска и разархивирования утилита потребует обновить саму себя или свои базы. А затем после того, как пользователь согласится с лицензией, можно будет выбрать требуемые действия (рис.6).

Рисунок 6 Главное окно eScanAntiVirus

Пользователь может выбрать режим «Scan Only» в противном случае будет проведено сканирование и подозрительные объекты удалены.

Кроме того, в случае если ваш антивирус пропустил вирус, вы сможете воспользоваться аварийным диском спасения от другого производителя антивирусной защиты (см. ниже).

Вредоносное ПО на вашем ПК блокирует ваш антивирус?

В данном случае я бы рекомендовал использовать диск аварийного спасения. Почему? На то есть две причины:

1. Диск аварийного спасения позволяет вам загрузиться из-под чистой операционной системы
2. Высока вероятность что подобное антивирусное ПО уже обнаруживается если не одним производителем антивирусов, так другим.

Внимание! Я рекомендую иметь в своем портфеле несколько дисков спасения от разных производителей. Подробнее о дисках спасения см. в моей статье «Аварийные диски спасения или спасение утопающих дело самих утопающих» http://bezmaly.wordpress.com/2011/01/03/rescue_disk/

Внимание! Прежде чем использовать диск спасения убедитесь в том что ваши диски не зашифрованы при помощи BitLocker, Secret Disk и прочего аналогичного ПО.

Ваш компьютер заражен вредоносным ПО, зашифровавшим ваш жесткий диск?

Троянское ПО подобного класса также относится к типу Trojan-Ransom -вредоносная программа, предназначенная для несанкционированной пользователем модификации данных на компьютережертве таким образом, чтобы сделать невозможным работу с ними, либо блокировать нормальную работу компьютера. После того, как данные «взяты в заложники» (блокированы), пользователю выдвигается требование выкупа.

Озвученную в требовании сумму жертва должна передать злоумышленнику, после чего злоумышленник обещает выслать программу для восстановления данных или нормальной работоспособности компьютера.

Для расшифровки подобных файлов существуют специальные утилиты от антивирусных производителей. В частности у «Лаборатории Касперского» данные утилиты можно найти по адресу http://support.kaspersky.ru/viruses/solutions

Рассмотрим для примера одну из них

Как бороться с вредоносной программой Trojan—Ransom.Win32.RectorВредоносная программа Trojan-Ransom.Win32.Rector используется мошенниками для несанкционированной модификации данных на компьютере-жертве таким образом, чтобы сделать невозможным работу с ними, либо блокировать нормальную работу компьютера. После того, как данные «взяты в заложники» (блокированы), пользователю выдвигается требование выкупа. Озвученную в требовании сумму жертва должна передать злоумышленнику, после чего злоумышленник обещает выслать программу для восстановления данных или нормальной работоспособности компьютера.

Для расшифровки файлов, зашифрованных вредоносной программой Trojan-Ransom.Win32.Rector, специалисты Лаборатории Касперского разработали утилиту RectorDecryptor.

Чтобы расшифровать файлы с помощью утилиты, выполните следующие действия:

1. Скачайте утилиту RectorDecryptor.zipна зараженный компьютер.
2. Распакуйте утилиту, например, с помощью программы-архиватора WinZip.
3. Запустите файл RectorDecryptor.exe.
4. Работа утилиты начинается при нажатии на кнопку Начать проверку.
5. Производится поиск и расшифровка зашифрованных файлов.
6. Для удаления копии зашифрованных файлов с расширениями .vscrypt, .infected, .bloc, .korrektor, и.т.п. после успешной расшифровки выберите опцию Удалять зашифрованные файлы после успешной расшифровки.
7. По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:).

Имя отчета имеет следующий вид: ИмяУтилиты.ВерсияДатаВремя_log.txt

Например,  C:RectorDecryptor.2.3.0.0_12.08.2010_15.31.43_log.txt

Вредоносная программа Trojan-Ransom.Win32.Rector  шифрует файлы пользователя с расширением .jpg, .doc, .pdf, .rar. Для разблокировки файлов мошенник, именующий себя «††KOPPEKTOP††», предлагает связаться с ним, используя контактные данные:

• ICQ: 557973252 или 481095
• EMAIL: v-martjanov@mail.ru
• В некоторых случаях злоумышленник просит оставить сообщение в гостевой книге одного из своих сайтов:
  1. http://trojan….sooot.cn/
  2. http://malware….66ghz.com/

В свою очередь компания Dr.Web предлагает на своей странице http://www.freedrweb.com/aid_admin/?lng=ruцелый список утилит для расшифровки.

Вместе с тем хотелось бы предупредить что все же лучшим способом защиты от троянов шифровальщиков, без сомнения, является создание резервных копий! Ведь вполне вероятно что в будущем вирусописатели смогут написать гораздо более устойчивый к взлому код и тогда процедура поиска пароля может затянуться на долгий период времени.

Заключение

Несомненно, в одной статье нереально охватить все возможные варианты заражений и противодействия им, и, уж тем более, нельзя описать все продукты. Однако надеюсь что даже столь малый объем советов все же сможет вам помочь в трудную минуту.