Смс вирус Winlock — удаляем баннеры вымогатели. Часть 1

 Сегодня хотелось бы немного поговорить на тему вирусов вымогателей или как называют их антивирусные программы — Trojan Winlock. Многие из Вас, наверняка, слышали от знакомых, а может, сами уже сталкивались с этими программными.

Напомним, что Winlock относится к семейству вредоносных программ. Чем же опасны эти Winlock вирусы? Основной целью вируса Winlock является блокировка или препятствие работы операционной системой Windows, а также он высылает окна требующее перечисление денег злоумышленникам за восстановление работоспособности компьютера, как некий спасательный круг. Типа такого:
«Windows  заблокирована! Для разблокировки необходимо отправить смс (пополнить электронный кошелек или заплатить любым другим способом), для разблокировки у вас есть (столько то) часов: (столь то) минут: (столько то) секунд.»

Самым распространенным видом блокираторов является сообщение, в котором злоумышленники пытаются уличить жертву в использовании пиратского программного обеспечения, пристрастии к порнографии и в нетрадиционной сексуальной ориентации. Такие программы, как правило, рассчитаны на неподготовленного пользователя, которых является большинство. Мошенники делают ставку на то, что неподготовленный пользователь не будет обращаться к специалистам, а  предпочтет заплатить небольшую сумму денег вместо того, чтобы объяснять людям, как он попал в такую ситуацию, и на каком сайте он «поймал» Трояна.

Самое главное, это не контактировать с вымогателями никаким способом, не отправлять ни смс, ни денег, так как никакой разблокировки Windows Вы не получите. Сегодня появилось большое количество модификаций этого вируса и с каждым разом, к сожалению, становится все сложнее их удалять с корнем из Windows.

Впервые программа-вымогатель появилась в декабре 1989 года. По почте пользователи получили  дискетки с программой, предоставляющей информацию о СПИДе. Однако после установки система приводилась в неработоспособное состояние, и за её восстановление с пользователей требовали денег. А вот первая программа SMS-блокер появилась 25 октября 2007 года. Вымогатель инсценировал сбой системы (синий экран смерти) и практически полностью блокировал управление системой.  Зимой 2009—2010 годов вирусы-вымогатели получили широкое распространение, по некоторым данным это произошло преимущественно среди пользователей русскоязычного Интернета. Второй всплеск активности такой вредоносной программы пришёлся на май 2010 года.

Как же распространяются Winlock? Для рассылки вредоносной программы используются взломанные либо специально для этого созданные сайты.

1. Чаще всего Трояны «маскируются» под видом взломанного программного обеспечения, которое Вы желаете скачать или установить на свой ПК.

2. Многие вирусы выдают себя, как «жизненно необходимые» медиа- или флеш-проиграватели.

3. В последнее время все чаще пользователи социальных сетей получают сообщения с ссылками на пикантные фотографии или видеоролики. Переходя на сайт, предлагается скачать ХХХ-фильмы абсолютно бесплатно. Тем самым Вы сами впускаете в вирус «свой дом».

Какие существуют способы защиты?

1. Будьте предельно внимательны при получении «неожиданных» сообщений.

2. Установите необходимое антивирусное программное обеспечение и следите за его периодическим обновлением.

3. Хороший брандмауэр.

4. Настройте безопасность Вашего Интернет-браузера.

5. На сайте «Лаборатории Касперского» и «Dr.Web» есть страницы, где можно вписать номер телефона или кошелька и получить код разблокировки Winlock.

Рассмотрим способы для эффективного удаления рекламного банера Winlock с компьютера.

Dr.Web. Самый простой способ избавиться от трояна — подобрать код разблокировки в базе «Dr.Web» по адресу: https://www.drweb.com/xperf/unlocker/?lng=ru.

1. Получите код разблокировки, с помощью формы расположенной на сайте. Форма позволяет ввести номер кошелька или телефона, на который требуется перевести деньги.

После того как введете в поле данные, нажмите «Искать коды», вся найденная информация будет расположена ниже формы ввода.

2. Если коды разблокировки не найдены или сгенерированные коды не подошли — попробуйте подобрать код с помощью поиска по «изображениям».

Данные в нем представлены в следующем формате: В левой части окна отображён скриншот трояна, а в правой части коды разблокировки к ним. При включении соответствующей опции дополнительно выводится колонка с номерами связанных с троянами кошельков и телефонов. В этой таблице можно выполнить следующие действия:

• При нажатии на скриншот картинка увеличивается до полного размера, что позволяет сверить ее с троянцем, заблокировавшим ПК.
• При нажатии на имя троянца открывается страница с его описанием.
• При нажатии на код разблокировки открывается окно со связанными с ним кошельками/телефонами

Лаборатории Касперского.  Чтобы удалить рекламный баннер, необходимо с другого компьютера или смартфона выйти в Интернет и воспользоваться сервисом Deblocker (на сайте Касперского).

1. Введите в свободное поле номер счета, телефона или учетной записи Вконтакте, на который злоумышленники требуют перевести средства. Если Вас просят отправить SMS на короткий номер, введите номер и текст сообщения через двоеточие.

2. Нажмите на кнопку “Получить код”.

3. Скриншот поможет определить, что именно блокирует Windows и какой код из поля “Коды разблокировки” необходимо использовать для удаления рекламного баннера.

4. Бывает, что злоумышленники после ввода одного кода разблокировки могут потребовать пополнить другой счет для удаления баннера. Для этого в поле “Коды разблокировки” может быть представлено несколько кодов. Используйте их по очереди, пока баннер не будет удален.

5. В случае если “Deblocker Kaspersky” неспособен разблокировать компьютер. Тогда необходимо будет воспользоваться бесплатной утилитой “Kaspersky Windows Unlocker”.

С помощью AVZ или любой подобной утилиты. Рассмотрим на примере AVZ:

1. Скачайте программу;
2. Запишите на диск или флешку;
3. Далее включите компьютер, перед загрузкой Windows нажмите F8, пока не появится окно, в котором выберите «Безопасный режим с поддержкой командной строки»;
4. Windows загрузится и появится командная строка. Теперь напишите в ней explorer и нажмите Enter. Появится «Мой компьютер»;
5. Через «Мой компьютер» откройте флешку/диск и запустите программу AVZ или аналогичную утилиту;
6. Как только утилита запустится, приступайте к очистке компьютера;
7. Если не помогло, то откройте файл — выполните скрипт. Сам текстовый файл с скриптом находится в архиве с AVZ; Перед выполнением скрипта, Вам необходимо его немного изменить — замените «Ваша_учетная_запись» на имя вашего пользователя в системе. Обычно, это admin или administrator. Внимание — если этого не сделать, то скрипт не сработает!
8. Все запускайте скрипт.

BIOS. Зайдите в BIOS и поменяйте время на месяц вперед или назад. Возможно, сработает. Кстати самые первые Winlock зачастую удалялись именно с помощью этого способа.

LiveCD. Этот способ безотказный. Это незаменимый загрузочный диск, с которым можно выполнить удаление вирусов с компьютера в неограниченных количествах.

Подробнее в следующей статье.

Александр Григорьев ЦСО "Крокус"