1 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Как избавиться от вируса вымогателя

Как разблокировать Windows от вируса-вымогателя

Как правило, это «троян» из семейства Winlock. Определить его легко: если на экране появляется изображение порнографического или, наоборот, делового характера, и при этом компьютер прекращает отвечать на команды – это наш клиент.

Баннер при этом часто содержит сообщение «Ваш компьютер заблокирован» и предложение отправить платное SMS или внести деньги на указанный счёт, — якобы только после этого вредный баннер (а с ним и блокировка ПК) исчезнет. На изображении даже есть поле, куда нужно вписать специальный код, который должен прийти после выполнения вышеуказанных требований. Принцип действия таких вредоносных элементов сводится к подмене параметров Shell в оболочке операционной системы и нивелированию функций проводника Виндовс

Есть несколько поколений вирусов-вымогателей. Некоторые из них обезвреживаются в пару кликов, другие требуют манипуляций посерьезней. Мы приведём способы, применив которые, вы сможете справиться с любым трояном такого рода.

Способ №1

Этот метод сработает против примитивных троянов. Попробуйте вызвать обычный диспетчер задач (комбинация клавиш CTRL+ALT+DEL или CTRL+SHIFT+ESC). Если это удастся, найдите в перечне процессов то, что не должно быть запущено, и завершите его.

Если диспетчер не вызывается, можно еще воспользоваться менеджером процессов через клавиши Win+R. В поле «Открыть» впишите слово «notepad» и нажимайте ENTER, — таким образом, вы откроете приложение Блокнот. В отрывшемся окне приложения наберите произвольные символы и коротко нажмите кнопку включения/выключения на своем ноутбуке или стационарном ПК. Все процессы, в том числе, и троянский, тут же завершатся, но компьютер не выключится. Пока вирус деактивирован, вы сможете найти относящиеся к нему файлы и ликвидировать их или же выполнить проверку антивирусом.

Если вы не успели установить антивирусное ПО, вы спросите: как удалить вирус-вымогатель с компьютера? В большинстве случаев отпрыски злобного семейства Winlock пробираются в каталоги каких-нибудь временных файлов или временные файлы браузера. Прежде всего, проверьте пути:

C: Documents and Settings каталог, в котором указано имя пользователя и

C: Users каталог по имени пользователя AppData Roaming .

Там ищите «ms.exe», а также подозрительные файлы с произвольным набором символов вроде «0.277949.exe» или «Hhcqcx.exe» и удалите их.

Способ №2

Удаление файлов вируса в безoпасном рeжиме

Если первый способ не подействовал и Виндовс заблокирован — что делать в таком случае? Здесь также расстраиваться не стоит. Значит, мы столкнулись с продвинутым троянчиком, который подменяет системные компоненты и устанавливает блокировку на запуск Диспетчера задач.

В этом случае нам придётся выбрать работу в безопасном режиме. Перезагрузите компьютер. При запуске Windows удерживайте F8. В отобразившемся меню выберите «Безопасный режим с поддержкой командной строки».

Дальше в консоли следует написать: «explorer» и нажать ENTER — вы запустите проводник. После этого прописываем в командной строке слово «regedit» и снова-таки жмём ENTER. Так мы вызовем редактор реестра. В нём вы сможете найти созданные трояном записи, а еще — место, откуда происходит его автозапуск.

Пути к файлам злопакостного компонента будут, скорее всего, в ключах Shell и Userinit (в первом он прописывается explorer.exe, а в «Userinit» его легко определить по запятой). Дальше порядок действий таков: копируем полное имя обнаруженного вирусного файла правой кнопкой в буфер обмена, в командной строке пишем «del», после чего ставим пробел и вставляем скопированное имя. ENTER – и готово. Теперь вы знаете, как удалить вирус-вымогатель.

Также делаем и с остальными заразными файлами.

Способ № 3

Загружаем систему в безопасном режиме, как это описано выше. В командной строке прописываем: «C:WINDOWSsystem32Restorerstrui.exe». Современные версии поймут и просто «rstrui». Ну и, естественно, ENTER.

Перед вами всплывет окно «Восстановление системы». Здесь вам нужно будет выбрать точку восстановления, а вернее – дату, предшествующую попаданию вируса на ПК. Это может быть вчерашний день, а может быть месяц назад. Словом, выбирайте то время, когда ваш компьютер был 100% чист и здоров. Вот и вся разблокировка Windows.

Способ №4.

Этот способ предполагает, что у вас есть время загрузить софт с другого компьютера или сходить за ним к другу. Хотя, может быть, вы предусмотрительно им уже обзавелись?

Специальное ПО для экстренного лечения и восстановления системы многими разработчиками поставляется прямо в антивирусных пакетах. Однако аварийный диск можно также скачать отдельно — бесплатно и без регистрации.

Вы можете воспользоваться ESET NOD32 LiveCD, Comodo Rescue Disk, Kaspersky Rescue Disk или Dr.Web LiveDisk. Все эти приложения работают по одному принципу и могут быть размещены как на CD, DVD, так на USB-накопителе. Они автоматически загружаются вместе с интегрированной ОС (чаще всего это Linux), блокируют запуск Windows и, соответственно — вредоносных элементов, сканируют компьютер на предмет вирусов, удаляют опасное ПО, лечат зараженные файлы.

Они автоматически загружаются вместе с интегрированной ОС (чаще всего это Linux), блокируют запуск Windows и, соответственно — вредоносных элементов, сканируют компьютер на предмет вирусов, удаляют опасное ПО, лечат зараженные файлы.

Вывод:

Если разблокировка Windows, удаление баннера с рабочего стола проведены успешно, не спешите на радостях обо всём забыть и дальше так же беспечно бороздить просторы Интернета. Раз в вашей системе безопасности есть брешь, поторопитесь скачать антивирус. Мы рекомендуем выбрать один из лучших вариантов бесплатной защиты от всех типов вирусов – Avast Free Antivirus, AVG Antivirus Free или 360 Total Security.

Читать еще:  Почему архитектуру называют каменной летописью мира

Вирус-вымогатель удалить, разблокировать

Если вы невольно стали жертвой так называемого вируса-вымогателя, который проник на ваш компьютер, не нужно спешить отчаиваться, потому как существует простое решение, благодаря которому ни одно вредоносное существо надолго не задержится в системе.

Что такое вирус-вымогатель, как выглядит?

Вирус-вымогатель представляет собой вредоносное программное обеспечение, которое предназначено для вымогательства с жертвы, как правило, денежных средств.

При включении компьютера вместо привычного рабочего стола появляется баннер (заставка) на весь экран монитора с текстом, требующим выкуп за доступ к компьютеру. Данная проблема полностью парализует компьютер, не позволяя совершать какие-либо действия. В общем, невозможно ничего сделать, пока не удалить вирус-вымогатель.

Вирусная атака на МВД

12 мая произошла массовая вирусная атака на компьютеры пользователей по всему миру, целью которой была установка вредоносного программного обеспечения, требующего выкуп за доступ к компьютеру. Многие компьютеры по всему миру подверглись вирусу WannaCry, что в переводе с английского означает «Хочу плакать». Так, для разблокировки вируса необходимо было заплатить $300, после чего, якобы компьютером можно будет пользоваться без проблем. При чем средства должны были поступать в криптовалюте биткоин.

К числу жерт относятся Минздрав, МЧС, также вирус атаковал МВД и не обошел стороной Мегафон и Вымпелком, пытался атаковать Сбербанк. В Европе от рук киберпреступников пострадали Великобритания, где были парализованы 50 больниц, Испания, Португалия. По всему миру вирус атаковал более 200 тысяч компьютеров в 150 странах.

Как удалить вирус-вымогатель

Для того, чтобы удалить вирус-вымогатель с компьютера, необходимо следовать специальному алгоритму действий.

  • Выключите компьютер. Вспомните, что накануне делали на компьютере: это может быть просмотр небезопасных ресурсов, скачивание и установка некоторого программного обеспечение, в том числе просмотр фотографий, изображений, воспроизведение видео.
  • Если компьютер находится в локальной сети вполне возможно схватили вирус по сети. Отключаем от локальной сети, а именно выдергиваем провод из сетевой карты на компьютере.
  • Для наиболее полной и качественной проверки компьютера скачайте утилиту Dr.Web Curelt на USB-флеш. Сделать это можно на любом другом компьютере с доступом к сети Интернет. Скачать Dr.Web Curelt.

Разблокировать вирус-вымогатель

  • Запустите компьютер в безопасном режиме. Для того, чтобы это сделать необходимо сразу при включении компьютера несколько раз нажать кнопку F8.
  • Вставьте USB флешку с утилитой Dr.Web Curelt и скопируйте ее в любую папку на жестком диске.
  • Запустите утилиту, дождитесь проверки компьютера и удаления всех вирусов.
  • После проверки загрузитесь в обычном режиме. Если загрузка прошла успешно — Поздравляем, вы удалили вирус-вымогатель!

Однако, не стоит радоваться раньше времени. Одно лишь удаление вируса означает победа над ним в конкретном случае. Другими словами, при следующей атаке вирус однозначно снова попадет на ваш компьютер.

Как удалить вирус WannaCry?

В этом случае сразу же после загрузки Windows необходимо зайти в список установленных программ и проверить все ли там в порядке, нет ли чего подозрительного, быть может новых недавно установленных и незнакомых вам программ, приложений.

Но делать это лучше всего с помощью программы Uninstall Tool — очень мощная программа, позволяющая не только удалять программы, но и полностью очищать все следы ее пребывания на компьютере. В общем, если у вас нет этой программы, можно даже не пытаться смотреть на стандартный список установленных программ Windows в Панели управления, так как вирус не станет себя афишировать и вероятнее всего вы там ничего не найдете. Скачать Uninstall Tool.

После проверки программ, файлов на компьютере — ничего ли не пропало, не изменились ли наименования файлов, документов, необходимо в обязательном порядке поставить хорошую антивирусную защиту для постоянной защиты ПК пользователя. Хорошая антивирусная программа способна предотвратить повторное попадание вируса на компьютер.

Безусловно, подобный инцидент носит широкомасштабный характер. Сегодняшняя вирусная атака является самой массовой за всю историю. И скорее всего это не предел. Данный опыт показывает, как мы незащищены от сетевой киберпреступности, но в то же время, как зависим от компьютерных технологий, техники, электроники.

Возможно сейчас Интернет находится на пике своей популярности и чем популярнее он становится, тем больше и больше привлекает к себе сетевых преступников, хакеров. Выходом из данной ситуации может быть разве что кардинальная реформа всей глобальной сети.

Вирусы-вымогатели: как они работают и как от них избавиться

«Расшифруем файлы», «восстановим базу 1С», «удалим вирус-вымогатель» – такими объявлениями кишит Яндекс, откликаясь на запросы пользователей, ставших жертвами хакеров. Стоит только вбить в поисковик: «вирус вымогатель удалить». Так и DarkNet заполнен предложениями о покупке вредоносных шифровальщиков – цена вопроса всего несколько сотен долларов, а нажива может быть куда больше.

А недавно интернет всколыхнула новость о появлении нового вируса-вымогателя Djvu. Зловредное ПО буквально в несколько шагов подчиняет себе зараженный компьютер и усыпляет бдительность пользователя, маскируясь под обновление системы Windows. И вот уже работа машины заблокирована, а на мониторе высвечивается месседж хакеров с требованием выкупа за разблокировку с издевательским предложением: заплатите быстро – сделаем скидку. Способа вернуть себе данные без помощи хакеров пока не найдено, гласит сообщение о коварном «дежавю». Но экспертов в области кибербезопасности эта новость не шокировала и не удивила. Да и не новость это для них. Вирусов‑шифровальщиков сотни тысяч, и Djvu – лишь очередная модернизация вредоносного ПО (ВПО) определенного семейства. Специально для «Профиля» эксперты составили топ‑5 этих семейств и рассказали, как действуют кибервымогатели и как с ними бороться.

Читать еще:  Чем можно заняться летом в Москве

Ощущение дежавю

Djvu относится к семейству вирусов‑шифровальщиков STOP. Первые сообщения о новом ВПО появились еще в середине декабря прошлого года. Сам по себе «дежавю» неуникален, отмечают все опрошенные «Профилем» эксперты. Интересны отличительные особенности семейства, но они известны давно. Эти троянцы не только шифруют данные, но еще и маскируют свои действия под легальное ПО, отвлекая внимание жертвы, не давая искать помощь через различные интернет-ресурсы.

Примерно так действовала троянская программа DNS Changer, заразившая 4 млн машин в 2011 году, приводит пример директор экспертного центра безопасности (PT Expert Security Center) Positive Technologies Алексей Новиков. А вирус Conficker еще 10 лет назад атаковал десятки миллионов компьютеров, отключая службу обновления и сервис Windows Defender.

«Вирус распространяется вместе с программой, предназначенной для взлома ПО (так называемый crack), и с рекламными расширениями для браузеров», – пояснил эксперт.

В целом о программах-вымогателях стало известно еще в конце 80‑х прошлого века, когда появился вирус AIDS (или PC Cyborg), рассказали в специализирующейся на предотвращении кибератак компании Group-IB. Вирус скрывал каталоги, шифровал файлы и требовал $200 за «продление лицензии». Самым распространенным считается CryptoLocker, который заразил более четверти миллиона компьютеров в странах Евросоюза начиная с 2013 года. А в мае 2017 года шифровальщик WannaCry атаковал 200 тыс. компьютеров в 150 странах мира. Ущерб оценили в $1 млрд. Но и это мало кого научило делать резервные копии данных, сетуют эксперты.

Самые разные модификации вирусов‑шифровальщиков встречаются сотнями каждый день, отмечает заместитель руководителя лаборатории компьютерной криминалистики Group-IB Сергей Никитин. «Не было недели, чтобы к нам не обращались два-три атакованных вымогателями клиента, – говорит он и констатирует: – Вирусы-вымогатели – это настоящий бич». Еще в 2016 году компания зафиксировала, что число атак вымогателей по сравнению с предыдущим годом увеличилось в 100 раз. А по статистике «Лаборатории Касперского», в третьем квартале прошлого года продукты только этой компании «защитили более 250 тысяч уникальных пользователей от троянцев‑шифровальщиков».

По данным Positive Technologies, в прошлом году средняя доля заражений шифровальщиками от всех видов кибератак составляла 12% в квартал. Вести подсчет вирусов бессмысленно, считает Сергей Никитин, – самые разные модификации вирусов‑шифровальщиков встречаются сотнями каждый день, они эволюционируют и совершенствуются, чтобы обходить антивирусные движки.

Объявление о сдаче трояна-вымогателя в аренду

Киберкриминальная эволюция

Кибервымогательство активно развивается по всему миру. В России рост этого вида атак специалисты Group-IB зафиксировали с весны прошлого года. Косвенно растущая популярность шантажа подтверждается исследованиями DarkNet, анализ криминальных услуг которого в прошлом году сделали эксперты Positive Technologies. Согласно этому исследованию, 12% всех объявлений о продаже ВПО приходится на долю шифровальщиков. Средняя стоимость вируса всего $270. «Какой-нибудь Kit может стоить $3–5 тыс., но есть и дороже, – приводит пример Сергей Никитин. – Точно так же в DarkNet продается куча учетных записей к различным серверам, логины, пароли и т. д. Часто злодеи выкупают эти базы и просто начинают по ним ходить и шифровать все подряд, а потом смотреть, кто заплатит».

При этом хакерский рынок «услуг» совершенствуется, стремясь увеличить свой доход. Так, в последнее время в DarkNet начала распространяться специальная «партнерская программа» от разработчиков шифровальщиков, рассказывает Алексей Новиков. Продавец передает покупателю персонифицированный файл шифровальщика и ссылку для доступа в личный кабинет. В этом кабинете отображается статистика по зараженным узлам и осуществленным выплатам. Задача покупателя – распространить троян.

«Когда жертва атак с использованием данного экземпляра трояна оплачивает выкуп, продавец перечисляет выплату распространителю за вычетом своей доли», – объясняет эксперт. Именно так распространяются шифровальщики GandCrab, Tantalus, Aleta, Princess, Rapid, Scarab, Sphinx, Lovecraft, Onyonlock и другие. «Получивший в прошлом году широкое распространение шифровальщик GandСrab только за апрель–май 2018 года принес злоумышленникам свыше $700 000», – привел пример заработка злоумышленников эксперт.

Стандартную схему заражения вирусом-вымогателем описал Сергей Никитин. Пользователи получают почтовую рассылку, открывают вложения, письма заражаются вирусом, который похищает логины и пароли из оперативной памяти и распространяется на другие компьютеры. Такая цепочка действий ВПО приводит к тому, что в компании может быть зашифрована, например, база 1С и работа встанет, объясняет эксперт. «Бывает, что злодеи сначала изучают инфраструктуру своей жертвы, – продолжает он. – Например, если обнаружат сервер резервных копий, то запросят за его дешифровку одну цену выкупа (ведь с помощью резервных копий можно восстановить все остальное), малозначительный компьютер будет, соответственно, и стоить куда меньше».

Читать еще:  Как посчитать доходность портфеля инвестиций

Появились и специфические атаки. Часто злоумышленники подбирают пароли к удаленному рабочему столу, который оставили системные администраторы для собственного удобства. После чего эти пароли попадают в Darknet, где их может купить кто угодно. В значительном числе случаев заражение происходило путем предварительной компрометации серверов и рабочих станций, добавляет Алексей Новиков. «Сервера чаще всего шифровали, так как они подключались к интернету напрямую, а на рабочие станции вирус попадал через фишинговые рассылки», – говорит он. Напомним, что фишинг – один из распространенных видов кибермошенничества, когда под видом легальных официальных сайтов распространяются хакерские подделки.

Кроме того, специалисты отмечают, что в последнее время произошел качественный сдвиг в пользу распространения атак подобного рода. «Вирусы-шифровальщики стали использовать асимметричное стойкое шифрование (алгоритм RSA, например, – всеми проверенный, его точно не взломать), – говорит Сергей Никитин. – Кроме того, часть этих вирусов стала получать функционал «червей». Они похищают логины и пароли и с их помощью пытаются зашифровать и другие компьютеры в Сети».

Именно в использовании асимметричного шифрования и заключается самая главная проблема – расшифровать вирус самостоятельно, как правило, невозможно. При симметричном шифровании информации, объясняет эксперт, секретный ключ можно обнаружить. Асимметричное предполагает создание двух ключей – открытого и закрытого. С помощью первого, всем известного, происходит шифрование, а второй, для расшифровки, есть только у хакеров. Причем алгоритмы стойкого шифрования для блокировки данных злоумышленники берут из официальных библиотек. А алгоритмы для расшифровки хакеры пишут сами. Но поскольку спрос куда больше на программы-шифровальщики, то расшифровке уделяется куда меньше внимания, отлаживаются такие программы куда хуже и менее пристально.

Выкуп: платить или не платить?

А если расшифровать невозможно, то вымогателям придется платить? Выкуп устанавливается распространителями шифровальщика обычно самостоятельно и составляет $200–500, говорит Алексей Новиков. Но, как правило, выкуп просят в биткойнах. Например, за расшифровку вируса Petya, атаковавшего в 2017 году Украину и попутно задевшего ряд компаний в России, США, Индии и Австралии, злоумышленники требовали 100 биткойнов, что в то время составляло $250 тыс.

Эксперты единогласно заявляют: платить вымогателям не стоит, так как это означает спонсировать их «творческую» деятельность. А что делать, если зашифрован сервер с резервными копиями и восстановить данные уже невозможно? Но даже если пойти на поводу у шантажистов, никаких гарантий разблокировки нет, говорит Сергей Никитин. Вот самые распространенные сценарии. Преступники могут или повысить цену выкупа, или вовсе не выйти на связь со своей жертвой после оплаты, или оставить в системе «закладку», которая позволит спустя какое-то время повторить трюк с вымогательством. Часто бывает так, что после перечисления денег хакеры присылают программу-дешифратор, но она не работает. Происходит это именно потому, что в разработку расшифровки никто толком не вкладывается, это невыгодно.

Согласно исследованиям IBM, до 70% опрошенных американских компаний выплачивали выкуп, чтобы восстановить свои данные. Российские компании тоже так часто поступают, говорит Алексей Новиков. При этом чаще всего атакуют малый и средний бизнес. «Крупные компании могут себе позволить защитные решения класса «песочница», – объясняет эту тенденцию Сергей Никитин. Заражение происходит в основном через почтовые рассылки. И «песочница» сама открывает письма и вложения, смотрит, что произойдет, объясняет эксперт. Если начинается шифрование, то письмо просто не дойдет до получателя. Стоит такая «песочница» от 1 млн до 10 млн рублей. Понятно, что позволить ее себе может не каждый.

Но и для людей среднего достатка есть способы избежать кибершантажа. Если заражение уже произошло, то стоит попробовать подобрать нужную утилиту для расшифровки данных на специально созданном для этого бесплатном портале NoMoreRansom.org, советует антивирусный эксперт «Лаборатории Касперского» Орхан Мамедов. Кроме того, есть куча предложений от разных компаний по помощи в расшифровке данных и удалению вируса. Но это, предупреждает Сергей Никитин, обычные посредники, которые выходят на связь с преступниками и выторговывают у них скидку. В итоге жертва заплатит не 100%, а 90% от выкупа. В соучастии таких посредников не обвинишь, формально они действуют легально, заключая с пострадавшими договоры на оказание «консалтинговых услуг».

Самый надежный способ не допустить вымогательства – предотвратить его. Вот несколько рекомендаций от Орхана Мамедова: загружать ПО только из проверенных источников; не открывать подозрительные почтовые вложения; не переходить по сомнительным ссылкам, даже если вам их присылают знакомые; следить за обновлением ПО до последней версии; использовать надежные защитные решения; использовать сложные пароли для учетных записей; регулярно делать резервные копии важных данных и хранить их отдельно.

А еще можно застраховать себя от киберрисков, советует Алексей Новиков. «Покупка страхового полиса в данном случае может обойтись дешевле, чем выплаты вымогателям или расходы на восстановление инфраструктуры после массовой атаки шифровальщика», – рекомендует эксперт.

Источники:

http://softobase.com/ru/article/kak-razblokirovat-windows-ot-virusa-vymogatelya
http://winternete.ru/virus-vymogatel-udalit-razblokirovat.html
http://profile.ru/scitech/internet/virusy-vymogateli-kak-oni-rabotayut-i-kak-ot-nix-izbavitsya-65366/

Ссылка на основную публикацию
Статьи c упоминанием слов:

Adblock
detector