Geekly articles weekly

Ransomware Banner - تنفيذ ، لا رحمة

لافتات "Windows مؤمن - إرسال رسائل SMS لفتح" والعديد من أشكالها المختلفة ترغب بشدة في تقييد حقوق الوصول لمستخدمي Windows المجانيين. علاوة على ذلك ، غالبًا ما لا تعمل الطرق القياسية للخروج من موقف مزعج - تصحيح مشكلة من الوضع الآمن ، وفتح الرموز على مواقع ويب ESET و DR ، بالإضافة إلى نقل الوقت على ساعة BIOS إلى المستقبل.

هل يجب عليك بالفعل إعادة تثبيت النظام أو دفع برامج الفدية؟ بالطبع ، يمكنك أن تسير أبسط طريقة ، ولكن ليس من الأفضل محاولة التعامل مع وحش مهووس يُدعى Trojan.WinLock بمفردنا ومع مواردنا الخاصة ، خاصةً حيث يمكنك محاولة حل المشكلة بسرعة وبشكل مجاني تمامًا.

لافتة Ransomware

مع من نتقاتل؟


تم تكثيف برامج الفدية الأولى في ديسمبر 1989. ثم تلقى العديد من المستخدمين أقراص مرنة توفر معلومات حول فيروس الإيدز. بعد تثبيت برنامج صغير ، أصبح النظام معطلاً. من أجل إنعاشها ، عُرض على المستخدمين شوكة. تمت الإشارة إلى النشاط الضار لأول أداة حجب رسائل SMS التي عرفت المستخدمين بمفهوم "شاشة الموت الزرقاء" في أكتوبر 2007.

Trojan.Winlock (Winlocker) هو ممثل لمجموعة كبيرة من البرامج الخبيثة ، والتي يؤدي تثبيتها إلى كتلة كاملة أو صعوبة كبيرة في العمل مع نظام التشغيل. باستخدام التجربة الناجحة لأسلافهم وتقنياتهم المتقدمة ، قام مطورو Winlocker بسرعة بتحويل صفحة جديدة في تاريخ الاحتيال عبر الإنترنت. حصل المستخدمون على أكبر عدد من التعديلات على الفيروس في شتاء 2009-2010 ، عندما تشير الإحصائيات إلى عدم إصابة مليون من أجهزة الكمبيوتر الشخصية وأجهزة الكمبيوتر المحمولة. حدثت الذروة الثانية للنشاط في مايو 2010. على الرغم من حقيقة أن عدد ضحايا جيل كامل من Trojan.Winlock Trojans قد انخفض بشكل كبير مؤخرًا ، وتم احتجاز آباء الفكرة ، إلا أن المشكلة لا تزال ذات صلة.

تجاوز عدد الإصدارات المختلفة من winlockers الآلاف. في الإصدارات السابقة (Trojan.Winlock 19 ، وما إلى ذلك) ، طالب المهاجمون 10 روبل لفتح الوصول. أدى عدم وجود أي نشاط للمستخدم بعد ساعتين إلى الإزالة الذاتية للبرنامج ، مما ترك ذكريات غير سارة فقط. على مر السنين ، نمت الشهية ، ولفتح قدرات Windows في الإصدارات الأحدث ، كان مطلوبًا بالفعل 300-1000 روبل وأعلى ، نسي المطورون بتواضع إزالة البرنامج.

كخيارات للدفع ، يتم تقديم رسالة نصية قصيرة للمستخدم - الدفع إلى رقم قصير أو محفظة إلكترونية في WebMoney ، أنظمة Yandex Money. العامل الذي "يشجع" المستخدم قليل الخبرة على الدفع هو العرض المحتمل للمواقع الإباحية ، واستخدام البرامج غير المرخصة ... ولزيادة الكفاءة ، يحتوي جاذبية برنامج الفدية على تهديدات بتدمير البيانات على كمبيوتر المستخدم عند محاولة خداع النظام.

مسارات توزيع Trojan.Winlock


في معظم الحالات ، تحدث الإصابة بسبب ضعف المتصفح. منطقة الخطر هي نفس الموارد "الكبار". النسخة الكلاسيكية من العدوى هي زائر الذكرى السنوية مع جائزة قيمة. الطريقة التقليدية آخر من العدوى هي من خلال البرامج التي المهزلة كما المثبتات ذات السمعة الطيبة، والمحفوظات استخراج ذاتي والتحديثات - أدوبي فلاش، وما إلى ذلك واجهة طروادة هي ملونة ومتنوعة، وتقنية اخفاء للنوافذ من برنامج مكافحة الفيروسات يستخدم تقليديا، والرسوم المتحركة هو أقل شيوعا.

من بين مجموعة متنوعة العامة للتعديلات، يمكن تقسيم Trojan.Winlock إلى 3 أنواع:

  1. الصور الإباحية أو اللافتات التي يتم فرضها فقط عندما تفتح نافذة المتصفح.
  2. اللافتات التي تبقى على سطح المكتب بعد إغلاق المتصفح.
  3. اللافتات التي تظهر بعد تحميل سطح مكتب Windows وحظر تشغيل مدير المهام ، والوصول إلى محرر التسجيل ، والتحميل في الوضع الآمن ، وفي بعض الحالات لوحة المفاتيح.

في الحالة الأخيرة ، لإجراء الحد الأدنى من التلاعبات البسيطة التي يحتاجها المهاجم ، يكون لدى المستخدم تحت تصرفه فأرة لإدخال الرمز على واجهة الشاشة الرقمية.

العادات السيئة من Trojan.Winlock


لضمان التوزيع والتشغيل التلقائي ، تقوم فيروسات Trojan.Winlock بتعديل مفاتيح التسجيل:

- [... \ Software \ Microsoft \ Windows \ CurrentVersion \ Run] 'svhost' = '٪ APPDATA٪ \ svhost \ svhost.exe'
- [... \ Software \ Microsoft \ Windows \ CurrentVersion \ Run] 'winlogon.exe' = '<SYSTEM 32> \ winlogon.exe' من

أجل صعوبة اكتشافه في النظام ، يقوم الفيروس بحظر عرض الملفات المخفية وإنشاءها وتشغيلها:

  • ٪ APPDATA٪ \ svhost \ svhost.exe

تطلق للتنفيذ:

  • <SYSTEM 32> \ winlogon.exe
  • ٪ WINDIR٪ \ explorer.exe
  • <SYSTEM 32> \ cmd.exe / c "" "٪ TEMP٪ \ uAJZN.bat" ""
  • <SYSTEM 32> \ reg.exe إضافة "HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run" / v "svhost" / t REG_SZ / d "٪ APPDATA٪ \ svhost \ svhost.exe" / f

إنهاء أو محاولة إتمام عملية النظام:

  • ٪ WINDIR٪ \ Explorer.EXE

إجراء تغييرات على نظام الملفات:

إنشاء الملفات التالية:

  • ٪ APPDATA٪ \ svhost \ svhost.exe
  • ٪ TEMP٪ \ uAJZN.bat

يعين سمة "مخفية" للملفات:

  • ٪ APPDATA٪ \ svhost \ svhost.exe

أبحث عن النوافذ:

  • ClassName: 'Shell_TrayWnd' WindowName: ''
  • ClassName: 'المؤشر' WindowName: ''

علاج او معاملة. طريقة 1. مطابقة رمز الجمع مع تفاصيل الدفع أو رقم الهاتف


دفع انتشار المشكلة وشدتها مطوري برامج مكافحة الفيروسات إلى البحث عن حلول فعالة للمشكلة. لذلك ، على موقع Dr.Web ، يتم عرض واجهة إلغاء القفل في شكل نافذة في المجال العام ، حيث تحتاج إلى إدخال رقم الهاتف أو المحفظة الإلكترونية المستخدمة في الابتزاز. إدخال البيانات المناسبة في النافذة (انظر الشكل أدناه) في وجود فيروس في قاعدة البيانات سيسمح لك بالحصول على الرمز المطلوب.

خدمة فتح DRWeb

الطريقة الثانية: ابحث عن رمز إلغاء القفل المطلوب حسب الصورة في قاعدة بيانات خدمة Dr.Web


في صفحة أخرى من الموقع ، قدم المؤلفون خيارًا آخر - قاعدة بيانات جاهزة لرموز إلغاء القفل للإصدارات الشائعة من Trojan.Winlock ، مصنفة حسب الصورة .

يتم توفير خدمة بحث برمجية مماثلة من قبل ESET anti-virus studio ، حيث تم تجميع قاعدة بيانات تحتوي على ما يقرب من 400000 ألف من خيارات رمز إلغاء القفل بواسطة Kaspersky Lab ، الذي لم يقدم فقط الوصول إلى قاعدة بيانات الكود ، ولكن أيضًا أداة الشفاء الخاصة به - Kaspersky WindowsUnlocker .

الطريقة الثالثة


غالبًا ما تكون هناك حالات عندما ، بسبب نشاط الفيروس أو تعطل النظام ، الوضع الآمن مع دعم سطر الأوامر ، والذي يسمح بمعالجة العمليات الضرورية ، أن يكون غير متاح ، ويصبح التراجع عن النظام لسبب ما مستحيلًا أيضًا. في مثل هذه الحالات ، يكون استكشاف أخطاء الكمبيوتر وإصلاحها وقرص الاسترداد لـ Windows عديم الفائدة ، ويجب عليك استخدام خيارات الاسترداد من القرص المضغوط المباشر.

لحل هذا الوضع ، يوصى باستخدام أداة علاجية متخصصة ، ستحتاج إلى تنزيل صورتها من قرص مضغوط أو محرك أقراص USB. لهذا ، يجب توفير خيار التمهيد المناسب في BIOS. بعد إعطاء القرص التمهيد مع الصورة في إعدادات BIOS الأولوية القصوى ، سيكون القرص المضغوط أو محرك الأقراص المحمول الذي يحتوي على صورة أداة الشفاء هو أول من يتم التمهيد.

في الحالة العامة ، غالبًا ما يكون من الممكن إدخال BIOS على جهاز كمبيوتر محمول باستخدام مفتاح F2 ، على الكمبيوتر DEL / DELETE ، ولكن قد تختلف المفاتيح ومجموعاتها للدخول (F1 ، F8 ، أقل في كثير من الأحيان F10 ، F12 ... ، Ctrl + Esc ، Ctrl + Ins ، Ctrl + Alt ، Ctrl + Alt + Esc ، إلخ.). يمكنك معرفة تركيبة المفاتيح للدخول من خلال تتبع معلومات النص في الجزء السفلي الأيسر من الشاشة في الثواني الأولى من الإدخال. تعرف على المزيد حول إعدادات BIOS وميزات الإصدارات المختلفة هنا .

نظرًا لأن أحدث إصدارات BIOS فقط تدعم عملية الماوس ، فمن المرجح أن يتعين عليك تحريك القائمة لأعلى ولأسفل باستخدام السهمين لأعلى ولأسفل ، وأزرار + + و- و F5 و F6.

AntiWinLockerLiveCD


واحدة من الأدوات المساعدة الأكثر شيوعًا والبسيطة التي تتعامل بشكل فعال مع لافتات برامج الفدية - اكتسب AntiWinLockerLiveCD "قاتل الراية" سمعته.

شعار البرنامج
المهام الرئيسية للبرنامج :

  • إصلاح التغييرات في أهم معلمات نظام التشغيل ؛
  • إصلاح التواجد في منطقة بدء التشغيل للملفات غير الموقعة ؛
  • الحماية ضد استبدال بعض ملفات النظام في برنامج WindowsXP userinit.exe ، taskmgr.exe ؛
  • الحماية ضد الإغلاق من قبل مدير مهام الفيروسات ومحرر التسجيل ؛
  • حماية قطاع التمهيد من الفيروسات مثل Trojan.MBR.lock ؛
  • حماية منطقة استبدال صورة البرنامج بآخر. إذا كان الشعار لا يسمح لجهاز الكمبيوتر الخاص بك بالتمهيد ، فإن AntiWinLocker LiveCD / USB سيساعد على إزالته في الوضع التلقائي واستعادة التحميل العادي.

الاسترداد التلقائي للنظام :

  • ;
  • ;
  • ;
  • ;
  • (HiJack);
  • HOSTS ;
  • , (Userinit, taskmgr, logonui, ctfmon);
  • (.job) AutorunsDisabled;
  • Autorun.inf ;
  • ( WinPE).

العلاج باستخدام الأداة المساعدة AntiWinLocker LiveCD ليس دواءً لكل داء ، ولكنه يعد من أسهل الطرق وأسرعها للتخلص من الفيروس. يحتوي توزيع LiveCD ، حتى في إصدار Lite المجاني خفيف الوزن ، على جميع الأدوات اللازمة لذلك - مدير الملفات FreeCommander ، الذي يوفر الوصول إلى ملفات النظام ، والوصول إلى ملفات بدء التشغيل ، والوصول إلى التسجيل.

البرنامج هو اكتشاف حقيقي للمستخدمين المبتدئين ، لأنه يسمح لك بتحديد وضع الفحص والتصحيح التلقائي ، حيث سيتم العثور على الفيروس وعواقب نشاطه وتحييده في بضع دقائق دون أي تدخل من المستخدم تقريبًا. بعد إعادة التشغيل ، ستكون الآلة جاهزة للاستمرار في العمل في الوضع العادي.

تسلسل الإجراءات بسيط للغاية:

قم بتنزيل ملف AntiWinLockerLiveCD من الإصدار المطلوب إلى كمبيوتر جهة خارجية بتنسيق ISO ، وأدخل القرص المضغوط في محرك الأقراص ثم انقر بزر الماوس الأيمن على الملف ، وحدد "فتح باستخدام" ، ثم حدد "Windows Disk Image Burner" - "نسخ" و نعيد كتابة الصورة على قرص مضغوط. قرص التمهيد جاهز.

موقع المطور

  • نضع القرص الذي يحتوي على الصورة في محرك جهاز الكمبيوتر / الكمبيوتر المحمول المقفل مع معلمات BIOS المكونة مسبقًا (انظر أعلاه) ؛
  • نحن في انتظار تحميل صورة LiveCD في ذاكرة الوصول العشوائي.

نافذة البرنامج

  • بعد بدء نافذة البرنامج ، حدد الحساب المقفل ؛
  • نختار إصدار Professional أو Lite لمعالجة البيانات. الإصدار المجاني (Lite) مناسب لحل جميع المهام تقريبًا ؛
  • , Windows ( ), , .

لنقاء التجربة ، يمكنك تحديد جميع عناصر القائمة باستثناء العنصر الأخير (استعادة قطاع التمهيد).

انقر فوق "ابدأ" / "بدء العلاج".

في انتظار نتائج التحقق. سيتم تمييز ملفات المشكلات في نهايتها باللون الأحمر على الشاشة.

تم العثور على الفيروسات

كما توقعنا ، أولى البرنامج اهتمامًا خاصًا للبحث عن الفيروس في المثال المحدد على موائله التقليدية. سجلت الأداة تغييرات في معلمات Shell المسؤولة عن الغلاف الرسومي لنظام التشغيل. بعد العلاج وإغلاق جميع نوافذ البرنامج بالترتيب العكسي ، والضغط على زر "خروج" وإعادة التشغيل ، استعادت شاشة البداية المألوفة في Windows مكانها المعتاد. تم حل مشكلتنا بنجاح.

إزالة شعار الفدية
من بين الأدوات المفيدة الإضافية للبرنامج:

  • محرر التسجيل
  • سطر الأوامر؛
  • مدير المهام؛
  • TestDisk;
  • AntiSMS.

لا يتيح المسح التلقائي بواسطة الأداة المساعدة AntiWinLockerLiveCD دائمًا اكتشاف مانع.
إذا لم ينجح التنظيف التلقائي ، فيمكنك دائمًا الاستفادة من إدارة الملفات عن طريق التحقق من المسارات C: أو D: \ Documents and Settings \ Username \ Local Settings \ Temp (لـ Windows XP) و C: أو D: \ Users \ Name المستخدم \ AppData \ Local \ Temp (لنظام التشغيل Windows 7). إذا تم تسجيل الشعار عند بدء التشغيل ، فمن الممكن تحليل نتائج المسح في الوضع اليدوي ، مما يسمح لك بتعطيل عناصر بدء التشغيل.

بدء

Trojan.Winlock ، كقاعدة عامة ، لا تحفر بعمق ، ويمكن التنبؤ بها إلى حد ما. كل ما هو مطلوب لتذكيره بمكانه هو زوجان من البرامج والنصائح الجيدة ، وبالطبع ، الحكمة في الفضاء الإلكتروني غير المحدود.

الوقاية


ليس فقط حيث ينظفون في كثير من الأحيان ، ولكن حيث لا يقومون بالقمامة! - صحيح ، ولكن في حالة حصان طروادة مضحك ، كما لم يحدث من قبل! من أجل تقليل احتمالية الإصابة ، يجب عليك الالتزام ببعض القواعد البسيطة والممكنة.

فكر في أن كلمة مرور حساب المسؤول أكثر تعقيدًا ، والتي لن تسمح لبرامج ضارة بسيطة باختيارها باستخدام أبسط طريقة بحث.

في إعدادات المتصفح ، حدد الخيار لمسح ذاكرة التخزين المؤقت بعد الجلسة ، وحظر تنفيذ الملفات من المجلدات المؤقتة للمتصفح ، وما إلى ذلك.

احرص دائمًا على قرص معالج / محرك أقراص فلاش LiveCD (LiveUSB) ، مسجّل من مورد موثوق به (سيل).

احفظ قرص التثبيت مع Windows وتذكر دائمًا مكانه. في الساعة "H" من سطر الأوامر ، يمكنك استعادة ملفات النظام الحيوية إلى حالتها الأصلية.

أنشئ نقطة تفتيش للاسترداد كل أسبوعين على الأقل.

قم بتشغيل أي برنامج مريب - الشقوق ، مفاتيح المفاتيح ، وما إلى ذلك ، تعمل تحت جهاز كمبيوتر افتراضي (VirtualBox ، إلخ). سيوفر هذا فرصة لإصلاح الأجزاء التالفة بسهولة باستخدام غلاف الكمبيوتر الافتراضي.

النسخ الاحتياطي لوسائل الإعلام الخارجية بانتظام. منع كتابة الملفات إلى البرامج المشبوهة.
حظا سعيدا في مساعيك وفقط اللقاءات ، والأهم من ذلك - اجتماعات آمنة!

كلمة ختامية من فريق iCover

نأمل أن تكون المعلومات الواردة في هذه المادة مفيدة لقراء مدونة iCoverوسوف يساعد على التعامل مع المشكلة الموصوفة في غضون دقائق دون صعوبة كبيرة. نأمل أيضًا أن تجد في مدونتنا الكثير من الأشياء المفيدة والمثيرة للاهتمام ، يمكنك التعرف على نتائج الاختبارات والاختبارات الفريدة لأحدث الأدوات ، والعثور على إجابات لأكثر الأسئلة إلحاحًا ، والتي كان حلها مطلوبًا كثيرًا أمس.).

Source: https://habr.com/ru/post/ar382627/

More articles:


All Articles