| 13012004g |
Дата: Вторник, 01.11.2016, 23:26 | Сообщение # 1
|
Боец
Сообщений: 73
Статус: Offline
|
Глава 1:
"Trojan.Winlock или Trojan-Ransom"
Все мы знаем о винлокерах, и что это такое. но мало кто знает, что широкое распространение вирусы-вымогатели получили зимой 2009—2010 годов, по некоторым данным оказались заражены миллионы компьютеров, а создатель остаётся неизвестным даже сейчас.
Предыстория:
Первая программа-вымогатель появилась в 1989 году. Пользователи получили по почте дискетки с программой, предоставляющей информацию о СПИДе. После установки система приводилась в неработоспособное состояние, и за её восстановление с пользователей требовали денег.
как показала практика - всего 2 типа винлокеров:
1 тип - это баннеры, которые остаются на рабочем столе после закрытия браузера и при этом закрывают большую его часть (у пользователей обычно остаётся возможность открывать другие программы, в том числе диспетчер задач и реестр).
2 тип — это тип баннеров, который загружается после полной загрузки рабочего стола Windows. Они закрывают практически весь рабочий стол, блокируют запуск диспетчера задач, реестр, а также загрузку в безопасном режиме. Некоторые разновидности полностью блокируют клавиатуру, предоставляя пользователю лишь цифровые клавиши из своего интерфейса, и рабочую мышь для ввода кода.
3 тип - Bios пароль (Это уже полноценный вирус и не лечится как класс).
Если вы по случайности запускаете локер - есть несколько способов уничтожить этот вирус:
0 - попробовать через реестр или диспетчер
1 - через безопасный режим.
2 - через загрузочный диск
через безопасный режим:
1. Запускаем систему в безопасном режиме.
2. В командной строке пропишем команду regedit, чтобы запустить редактор реестра.
3. Далее переходим по веткам системного реестра, отвечающие за автозагрузку:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run
4. Убираем ненужные и незнакомые программы, которые автоматически загружаются.
Эти программы (если есть), убирать не нужно:
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\igfxpers.exe
5. HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Winlogon
В этом разделе реестра также содержатся значения параметров, отвечающих за автозапуск различных приложений при входе пользователя в систему:
Нам нужны параметр Shell и Userinit.
6.В параметре Shell должно быть прописано explorer.exe
В параметре Userinit должнен быть прописан путь к файлу userinit.exe ( C\ Windows\ system32\ userinit.exe, ) (ставится запятая после .exe)
ВАЖНО:
Если в этих параметрах стоит другое значение, то запоминаем или записываем его ( это есть путь к самому винлокеру, он прячется по этому адресу. Можно потом удалить если хотите)
7. перезапускаем комп и проверяем антивирусом
через загрузочный диск:
1. Итак, в BIOS выбираем загрузку с компакт-диска и загружаем систему с Вашего LiveCD.
2. После загрузки Windows с диска, откройте ПУСК -> Система -> ERD Commander -> ErdRoot.
3. Укажите папку с установленной ("испорченной") Windows и нажмите ОК. Чаще всего, это C:\Windows, но на данном компьютере Windows находится на диске D, поэтому указывается D:\Windows.
4. Возвращаемся за редактором реестра, для этого открываем ПУСК -> Система -> ERD Commander -> RegEdit. Т.е. после выполнения предыдущего шага у нас будет уверенность в том, что мы не будем править реестр LiveCD, а будем править именно реестр "испорченной" ОС. Если бы мы сразу запустили RegEdit, то занялись бы тем, что правили реестр LiveCD и ни к чему бы это действие нас не привело
5. Получив доступ к реестру "испорченной" Windows, переходим к ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, и проверяем ключи Shell и Userinit.
Должно быть так (стандартные значения):
Userinit = C:\Windows\system32\userinit.exe,
UIHost = logonui.exe
Shell = explorer.exe
VmApplet = rundll32 shell32,Control_RunDLL "sysdm.cpl"
6. Исправьте значения ключей Shell и Userinit на стандартные значения, предварительно запомнив папку, из которой запускается вирус и имя файла.
В последнее время появилась новая разновидность винлокера изменяющая оба параметра: прописывая в Shell файл из C:\Documents and Settings\All Users\Application Data\, он так же не изменяя строку инициализации Userinit, подменяет сам файл userinit.exe в каталоге C:\Windows\system32\, также подменяя файл Диспетчера задач - taskmgr.exe в том же каталоге. В этом случае, исправив параметр Shell, после перезагрузки мы получим такую же заблокированную машину)
7. Чтобы этого не произошло, идем в C:\Windows\system32\ и смотрим время изменения файлов userinit.exe, Winlogon.exe и taskmgr.exe. После чего, проверяем файл explorer.exe в каталоге C:\Windows\. В случае изменения файлов, заменяем их оригиналами с рабочих компьютеров (можно взять с установочного диска Windows).
8. Запускаем проводник, переходим в каталог содержащий вирус (мы же его запоминали) и удаляем файл содержащий блокировщик.
9. Перезагружаем.
10. радуемся и на всякий случай проверяем систему антивирусом
Надеюсь, информация была полезной.
Иван
|
|
|
|
|
| Bestiary |
Дата: Пятница, 04.11.2016, 20:49 | Сообщение # 2
|
Cheat-Master
Сообщений: 2408
Статус: Offline
|
|
|
|
|
|
