Вирусы-вымогатели. Стратегия удаления.

Аватар пользователя GrandVitara


Вирусы-вымогатели. Стратегия удаления.


Часть первая. Общая информация.

Итак, Ваш компьютер заблокирован! Что делать? Прежде чем предпринимать какие-либо шаги необходимо представлять себе что-же конкретно произошло с Вашей системой. Текст на экране гласит, что если Вы немедленно не заплатите злоумышленникам, то все Ваши данные, включая операционную систему и документы будут удалены.

Как с этим обстоит дело на самом деле? Как правило 99% подобных угроз оказываются пустышкой, и после удаления баннера-блокировшика всё остается на своих местах. Почему так?
Во-первых это усложняет исходный код вредоносной программы, время на её написание, увеличивает объём исполняемого файла и.т.д.
Во вторых не стоит забывать об уголовной ответственности за подобные действия, основная цель злоумышленников — запугать пользователя и как можно скорее получить его деньги, их как-правило мало интересует целостность Ваших данных, и им совершенно не нужна лишняя статья в уголовном деле, если оно когда-либо будет заведено.

Однако существует небольшой процент программ-вымогателей, которые могут повредить Вашу информацию как-правило путём шифрования, но чаще всего подобные действия злоумышленников направлены на одну или нескольких особо платёжеспособных жертв, и широкого распространения (пока) не получили. В данной статье мы их рассматривать не будем.

Каким же образом действует вирус-вымогатель? Давайте для начала рассмотрим простейший случай, когда вредоносная программа состоит из одного исполняемого файла, который отображает сообщение с требованием заплатить деньги, но не блокирует доступ к «горячим клавишам» Windows и запуск служебных программ, никак не маскируется и.т.д. На момент написания статьи такие простые вирусы практически не встречаются, но нас интересует пока сам принцип лечения.

Конечно с подобной задачей лучше всего справится антивирус, но если он отсутствует на компьютере или давно не обновлялся, тогда единственным выходом будет удаление вредоносного ПО вручную.

Предположим, что вредоносный файл имеет имя banner.exe и расположен в каталоге (папке) C:\windows\temp\
Первым делом он должен обеспечить свой автозапуск при загрузке ОС, для этого он «прописывает» путь к самому себе в одну из веток реестра Windows, обеспечивающую автозагрузку программ, например [HKLM/Software/Microsoft/Windows/Current version/Run]. В этом разделе он создает параметр banner со строковым значением «C:\windows\temp\banner.exe». (Более подробную информацию о реестре Windows и работе с ним ищите в статье на нашем сайте: Файлы реестра Windows XP. Восстановление из резервной копии.)

Теперь при включении компьютера почти сразу после загрузки Рабочего стола гарантированно появится растянувшееся на всю область экрана требование перечислить деньги злоумышленникам. Для того чтобы полностью вычистить этот вымогатель, достаточно удалить исполняемый файл и соответствующую запись в реестре. Выше мы упомянули, что этот баннер не блокирует горячие клавиши, поэтому мы запускаем «Диспетчер задач» комбинацией «Ctrl» + «Alt» + «Del», на вкладке «Процессы» смотрим список всех запущенных процессов и пытаемся найти подозрительное имя. В глаза сразу бросается banner.exe. Выделяем эту строку правой кнопкой мыши, выбираем из списка пункт «Завершить процесс» и щелкаем по нему. Окно вымогателя закрылось.

Мы выгрузили вредоносный код из оперативной памяти компьютера, но при следующей загрузке требование оплаты появится вновь, следовательно нам надо удалить файл вируса с жёсткого диска и его запись в реестре. По имени завершённого процесса мы знаем что имя файла banner.exe, соответственно мы можем найти его местоположение через поиск Windows и удалить его. Затем следует запустить редактор реестра «Пуск->Выполнить->regedit.exe»
В главном меню редактора реестра выбираем «Правка->Найти», в строке поиска вводим имя файла banner.exe, а еще лучше полный путь к файлу C:\windows\temp\banner.exe. В результате поиска откроется раздел [HKLM/Software/Microsoft/Windows/Current version/Run] в котором нам необходимо удалить параметр banner, имеющий значение C:\windows\temp\banner.exe. Перезагружаем компьютер чтобы убедиться что навязчивое требование нас больше не побеспокоит.

Выше мы рассмотрели самый простейший случай, но в реальности всё может оказаться гораздо сложнее. Главное что необходимо понять из вышеописанного, что в первую очередь необходимо получить доступ к файловой системе компьютера и его реестру. Дальнейшие действия не представляют особой сложности.

Часть вторая. Реестр.

Пойдем далее. Реестр Windows имеет несколько веток, где может быть прописана загрузка вируса, давайте перечислим их и дадим краткое описание каждой.

1) [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current version\Run] — эта ветка отвечает за запуск программ при входе пользователей в систему, отсюда часто запускаются программы, значки которых отображаются в системной панели рядом с часами. Это могут быть утилиты обновления ПО, например Adobe Reader, Java итд, антивирусы, программы обмена сообщениями и.т.д. Частенько сюда «прописываются» и вирусы. Здесь важно то, что если вредоносное ПО запускается из этой ветки, то это будет происходить для всех пользователей компьютера.

2) [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current version\RunOnce] - могут находиться программы, запуск которых требуется только один раз, после каждой перезагрузки компьютера содержимое этой ветки полностью очищается. Вредоносное ПО использует эту ветку чрезвычайно редко, в основном для начального заражения ПК. Содержимое этой ветки используется для всех пользователей ПК.

3) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx] — программы из этой ветке запускаются тоже только один раз при старте системы, в отличие от предыдущей ветки эта используется в основном установщиками ПО как правило для запуска первоначальных настроек программ. Содержимое этой ветки используется для всех пользователей ПК. Вредоносное ПО использует её редко.

4) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] — системные службы, которые загружаются при старте системы до входа пользователя в Windows. Может использоваться вирусами.

5) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce] — системные службы отсюда загружаются только один раз, когда загружается система. Иногда используется вирусами.

6) [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] — программы, которые запускаются при входе текущего пользователя в систему.

7) [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce] -
программы, которые запускаются при входе текущего пользователя в систему только один раз.

8) [HKEY_USERS\S-1-5-21-583907252-1229272821-682003330-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] - программы, которые запускаются при входе пользователя в систему, где S-1-5-21-583907252-1229272821-682003330-1001 — уникальный идентификатор пользователя. Действует только для данного пользователя.

9) [HKEY_USERS\S-1-5-21-583907252-1229272821-682003330-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] - программы, которые запускаются один раз при входе пользователя в систему, где S-1-5-21-583907252-1229272821-682003330-1001 — уникальный идентификатор пользователя. Действует только для данного пользователя.

Особое внимание следует обратить на последние два пункта. Дело в том что если Вы «поймали» вирус-вымогатель под определённым пользователем и его автозапуск «прописался» только в одну из последних двух веток, то перезагрузив компьютер и осуществив вход от имени другого пользователя вы сможете под этим пользователем нормально работать, сможете, например, запустить антивирус с обновлёнными базами и вылечить ваш компьютер не прибегая к особым сложностям.

Ещё один важный момент: информация содержащаяся в ветках 6 и7 при входе в систему пользователя с идентификатором S-1-5-21-583907252-1229272821-682003330-1001 будут дублировать информацию из веток 8 и9. Другими словами всё содержимое раздела реестра [HKEY_CURRENT_USER] («current user» переводится как «текущий пользователь») подгружается каждый раз когда пользователь входит в систему, из раздела [HKEY_USERS\] таким образом содержимое ветки [HKEY_CURRENT_USER] будет отличаться для каждого пользователя компьютера.

10) [HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\Current Version\Winlogon]
Особое внимание следует обратить на два параметра Shell и Userinit
Значения по умолчанию:
Shell="Explorer.exe"
Userinit="С:\WINDOWS\system32\userinit.exe,"
Если там что-то другое тогда смело меняйте это на значения по умолчанию, только учитывайте, что если Ваша ОС установлена на диск отличный от C:\, например D:\ то путь в Userinit должен выглядеть "D:\WINDOWS\system32\userinit.exe,"
И не забывайте удалить файлы которые были прописаны в этих двух параметрах помимо значений по умолчанию.

Некоторые вирусы подменяют собой родные файлы ОС explorer.exe или userinit.exe. В этом случае желательно скопировать их с идентичной не заражённой системы.
11) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
Здесь необходимо внимательно изучить содержимое параметра AppInit_DLLs. Возможно вирус подгружается в виде динамически загружаемой библиотеки (файл с расширением .dll).

Часть третья. Файловая система.

Как уже упоминалось для удаления вируса необходимо удалить путь к нему из автозагрузки и удалить исполняемый файл вируса. Если мы получили доступ к файловой системе компьютера, зайдя в систему под другим пользователем, загрузившись с какого-нибудь liveCD или загрузочной флешки, или отсоединив жёсткий диск и подключив его к другому компьютеру то мы имеем возможность найти подозрительные файлы и удалить их.
Давайте разберём где чаще всего прячутся заражённые файлы.

1) В папках загрузки браузеров. Чаше всего это папка по умолчанию:
C:\Documents and Settings\[имя_пользователя]\Загрузки (Windows XP)
C:\Users\[имя_пользователя]\Загрузки (Windows Vista и Windows 7)
2)В системных и временных папках операционной системы:
C:\Windows\Temp
C:\Windows\
C:\Windows\System32
3)C:\Documents and Settings\[имя_пользователя]\Local Settings\Temp (Windows XP)
C:\Users\[имя_пользователя]\AppData\Local\Temp (Windows Vista и Windows 7)
4)В корневом каталоге системного диска C:\
5)В папках профилей пользователей или вложенных папках
C:\Documents and Settings\[имя_пользователя]\ (Windows XP)
C:\Documents and Settings\All Users\ (Windows XP)
C:\Users\[имя_пользователя]\ (Windows Vista и Windows 7)
C:\Users\All Users\ (Windows Vista и Windows 7)
6)Теоретически в любом месте файловой системы, но так как злоумышленники стремятся сделать чтобы вирус был универсальным, они стараются записать вредоносные программы в папки, присутствующие на любом компьютере с ОС Windows и как-правило на диск куда установлена операционная система.

В качестве примера мы указали диск C:\, однако, надо иметь в виду что ОС может быть установлена на другой диск, или, если вы подключили свой зараженный жёсткий диск к другому компьютеру или загрузились с liveCD то содержимое Вашего винчестера скорее всего примонтировалось к операционной системе под другой литерой.

Часть четвёртая. Доступ к содержимому жёсткого диска заражённого компьютера.

Как уже не раз говорилось для успешного лечения необходимо получить доступ к файлам и редактору реестра Windows.
Существует несколько способов сделать это.
1) Попробовать зайти в систему под другим пользователем, чей профиль не подвергся заражению. В этом случае мы получаем доступ как к файловой системе так и к редактору реестра.
2) Загрузиться с liveCD. Здесь мы получаем полный доступ к файловой системе, однако доступ к реестру может быть осуществлён только при условии, что liveCD содержит необходимые инструменты и Вы умеете ими пользоваться. Как правило возможность загрузки в режиме liveCD имеет большинство дистрибутивов ОС Linux, однако редактирование реестра Windows возможно с помощью специальных программ работабщих в консольном режиме, обсуждение которых выходит за рамки данной статьи (данная статья направлена на то чтобы показать основные принципы лечения, а работу с реестром Windows из ОС Linux мы обязательно рассмотрим в другой специальной статье)
3) Подключить зараженный жёсткий диск к другому компьютеру с ОС Windows. Это обеспечит полный доступ к файловой системе и возможность подключить отдельные ветки реестра заражённого жёсткого диска в редакторе реестра regedit.exe. Такой же функционал обеспечивает и liveCD Windows.
4) Загрузиться с оригинального установочного диска Windows, дождаться предложения «Восстановить Windows с помощью консоли восстановления» и принять его. В этом случае Вы получите доступ к файловой системе в консольном режиме. Особенностью этого способа является возможность восстановить более раннее состояние реестра из каталога System Volume Information. Этот способ актуален для Windows XP, т. к. в Windows 7 есть возможность запустить «Восстановление системы» в графическом режиме по нажатию клавиши F8 при загрузке компьютера. Для Windows 7 рекомендуется использовать именно эту возможность так как это наиболее быстрый и лёгкий способ избавиться от блокировщика.
Если вредоносные файлы обнаружены и обезврежены и Вы смогли войти в систему — обязательно установите/обновите антивирус и выполните полную проверку системы чтобы вычистить возможные оставшиеся следы или копии вируса.

Часть пятая. Заключение.

Мы показали, конечно в общих чертах, стратегию удаления программ-вымогателей вручную, однако чтобы понять как это делать на практике мы заразим Windows XP на виртуальной машине первым попавшимся «вымогателем», который удастся найти в Интернете и в следующей статье выложим пошаговый отчёт с объяснением логики действий и снимками экрана.

Конечно в одной статье трудно описать все возможные пути заражения, мы перечислили лишь основные, наиболее стандартные. Возможно в следующей статье, при удалении реального блокировщика, мы столкнёмся с некоторыми особенности, о которых забыли упомянуть здесь. Оставайтесь с нами!

Эта статья опубликована под Creative Commons Attribution ShareAlike лицензией.

Ссылки:
Вирусы-вымогатели. Блокировщики. Порнобаннеры.
Вирусы-вымогатели. Пошаговый пример лечения.

Добавить комментарий