Вирусы-вымогатели. Пошаговый пример лечения.

Аватар пользователя userok

Вирусы-вымогатели. Пошаговый пример удаления.

Доброго времени суток!
Как и обещали выкладываем пример удаления порнобаннера с приложением снимков экрана каждого шага.
Естественно данная инструкция не панацея, т.к. в Вашем случае заражённые файлы могут называться и выглядеть иначе чем в этой статье, располагаться в других местах, прописывать свою автозагрузку в иных ветках реестра и.т.д. Инструкция, однако, может оказаться полезным подспорьем при борьбе с вирусной инфекцией, т.к. изложенные здесь методы остаются неизменными, вне зависимости от того, где на компьютере прячутся вирусы.

Часть первая. Заражение.

Для заражения своей виртуальной ОС мы не будем посещать ни порносайты ни варезные ресурсы, воспользуемся поиском Google и найдём выложенный кем-то в Сети архив с файлом porn-video.avi.exe и распакуем его в корневой каталог диска C:\

Снимем флажок "Скрывать расширения для зарегистрированных типов файлов" в меню "Сервис" Проводника Windows, чтобы ещё раз удостовериться что под видеоролик таким образом замаскирован исполняемый exe-файл:

Убедимся в том, что это действительно вредоносная программа, проверив файл антивирусом:

Как видно ниже бесплатный антивирус Comodo без проблем обнаружил угрозу и сделал предложение удалить её. Однако, это пока не входит в наши планы, игнорируем предложение антивируса:)


Далее сделаем то, чего обычно лучше не делать, запустим вредоносный файл на выполнение:


Небольшое отступление: Антивирус Comodo оказался настолько суров, что даже его отключение (посредством снятия флажков предоставленных его интерфейсом) не привело к выполнению файла porn-video.avi.exe и блокировке компьютера. Для чистоты эксперимента пришлось его полностью удалить...

Итак удалили антивирус, теперь открываем файл porn-video.avi.exe и ... компьютер "самопроизвольно" перезагружается. После перезагрузки видим следующую картинку:


Свершилось! Мы получили то, чего боятся многие пользователи Интернета. Компьютер заблокирован. Ни вызвать "Диспетчер задач" ни переключиться между приложениями невозможно. Вспомните, что в первой статье, посвящённой вымогателям упоминалось о том, что никакого кода разблокировки на фискальном чеке терминала не может быть. В принципе. Никогда. И пополнив счет чьего-то мобильного телефона, Вы ни на шаг не приблизитесь к решению Вашей проблемы.

Часть вторая. Лечение.

Для того чтобы получить доступ к файлам и реестру воспользуемся загрузочным диском Hiren's boot CD 14 т.к. он включает ОС mini Windows XP, которая загружается в режиме liveCD:


Выбираем строку Mini Windows XP, жмём [Enter] и ждём загрузки системы:

Открываем проводник Windows, чтобы найти системный диск заражённого компьютера. На картинке ниже это диск C:\. Диск X:\ на скриншоте ниже - это виртуальный системный диск, загруженной в данный момент ОС.

Запустим редактор реестра: Пуск->Выполнить->regedit.exe->OK


Помним, что открывшийся реестр - это виртуальный реестр ОС, загруженной с liveCD! Для редактирования реестра заражённой машины нам будет необходимо подключить его файлы.


Для этого выделим курсором ветку [HKEY_USERS] виртуального реестра и выберем команду "Загрузить куст" в меню "Файл".


Теперь давайте разберёмся какие фалы нам необходимо подключить. В статье Вирусы вымогатели. Стратегия лечения. были рассмотрены ветки реестра, куда вирусы обычно прописывают свою автозагрузку, а в статье Файлы реестра Windows XP. Восстановление из резервной копии. показано в каких файлах эти части реестра содержатся.
Исходя из вышесказанного нам в первую очередь необходимо подключить файл C:\Windows\system32\config\software в котором содержатся данные реестра [HKEY_LOCAL_MACHINE\SOFTWARE]:


Нажимаем кнопку "Open" и в появившемся диалоговом окне задаем произвольное имя загружаемого куста реестра:


Нажимаем "ОК" и видим, что содержимое ветки [HKEY_LOCAL_MACHINE\SOFTWARE] реестра заражённого компьютера появилось в разделе [HKEY_USERS] виртуального реестра:


Вспоминаем наиболее вероятные места автозагрузки вредоносного ПО, очень большая вероятность встретить его в ветке [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon], но т.к. мы подключили раздел [Software] заражённой машины к разделу [HKEY_USERS] виртуального реестра под именем 111111111111111111 то полный путь будет [HKEY_USERS\111111111111111111\Microsoft\Windows NT\CurrentVersion\Winlogon]. В этом разделе сразу-же бросается в глаза модифицированный параметр Shell, содержащий запись "C:\porn-video.avi.exe" вместо стандартной записи "explorer.exe", что говорит о том что при загрузке операционной системы под любым пользователем вместо проводника Windows запустится вирус-вымогатель:


Дважды шёлкаем по параметру Shell и в открывшемся диалоговом окне меняем запись "C:\porn-video.avi.exe" на стандартное "explorer.exe":




В других частях ветки [HKEY_USERS\111111111111111111\] больше ничего подозрительного не нашлось.
Только что мы восстановили загрузку проводника при старте системы и убрали автозагрузку вымогателя. Однако мы помним, что автозагрузка вирусов может быть вызвана из нескольких мест, поэтому на всякий случай просмотрим подозрительные места в разделе [HKEY_USERS\S-1-5-21-583907252-1229272821-682003330-1001] заражённой системы, содержащимся в файле "C:\Documents and Settings\userok\ntuser.dat" . Для этого подключим этот файл к виртуальному реестру:


Присвоим ему имя >222222222222222:


В разделе [HKEY_USERS\222222222222222222\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] виртуального реестра (в редакторе реестра на заражённой машине этот раздел выглядел бы так [HKEY_USERS\S-1-5-21-583907252-1229272821-682003330-1001\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]) находим лишний параметр Shell, содержащий запись "C:\porn-video.avi.exe", т.к. в этой ветке он не предусмотрен смело удаляем его:




Т.к больше ничего подозрительного мы не нашли, выгружаем подключенные ранее разделы реестра. Выделяем курсором ветку [HKEY_USERS\11111111111111] и в меню "Файл" вибираем пункт >"Выгрузить куст"




Тоже самое проделываем для ветки [HKEY_USERS\22222222222222]:


Теперь нам следовало бы удалить файл блокировщика "C:\porn-video.avi.exe" и перезагрузить компьютер, однако нам интересно проверить все ли ссылки в реестре на него мы удалили. Для этого мы переименуем этот файл, и положим рядом исполняемый файл какой-либо безобидной программы, например, блокнот Windows "notepad.exe" и переименуем его в "C:\porn-video.avi.exe". Таким образом если мы недочистили реестр, и в нём где-то осталась прописана автозагрузка "C:\porn-video.avi.exe" то вместо блокировшика просто откроется Блокнот:)










И перезагрузим компьютер:


Операционная система загрузилась нормально, Блокнот тоже не запустился, значит мы полностью выполнили свою задачу!


Удаляем переименованные файлы вируса и Блокнота.

Всё! Мы удалили баннер. Теперь в обязательном порядке устанавливаем антивирус, обновляем его и выполняем полную проверку компьютера на предмет возможно оставшихся вирусов.

Заключение

Мы рассмотрели пошагово алгоритм удаления вирусов-блокировщиков на примере реального вымогателя. Конечно не все вымогатели действуют одинаково. Наш случай оказался несложным. Но очень часто встречаются ситуации когда блокировщик копирует сам себя в несколько папок под разными именами и запуск их осуществляется из разных мест реестра, некоторые зловреды действуют ещё хитрее, подменяя собой некоторые файлы ОС, очень часто это explorer.exe, taskmgr.exe и им подобные, в таких случаях дополнительно может потребоваться замена этих файлов на родные. В общем всего не перечислишь! Но следуя вышеприведённому алгоритму можно найти и обезвредить до 95 % существующих на момент написания статьи вымогателей. Удачи Вам в лечении!

Эта статья опубликована под Creative Commons Attribution ShareAlike лицензией.

Ссылки:
Вирусы-вымогатели. Блокировщики. Порнобаннеры.
Вирусы-вымогатели. Стратегия лечения.

Добавить комментарий