Geekly articles weekly

Ransomware Banner - Jalankan, No Mercy

Spanduk “Windows terkunci - kirim SMS untuk membuka kunci” dan banyak variasinya sangat suka membatasi hak akses pengguna Windows gratis. Selain itu, sering kali cara-cara standar untuk keluar dari situasi yang tidak menyenangkan - memperbaiki masalah dari Safe Mode, membuka kode di situs web ESET dan DR, serta mentransfer waktu pada jam BIOS ke masa depan, tidak selalu berfungsi.

Apakah Anda benar-benar harus menginstal ulang sistem atau membayar ransomware? Tentu saja, Anda dapat pergi dengan cara yang paling sederhana, tetapi bukankah lebih baik untuk mencoba mengatasi monster obsesif bernama Trojan. Menangkan sendiri dan dengan sumber daya kami sendiri, terutama karena Anda dapat mencoba menyelesaikan masalah dengan cepat dan sepenuhnya gratis.

Spanduk Ransomware

Dengan siapa kita bertarung?


Program ransomware pertama diintensifkan pada bulan Desember 1989. Banyak pengguna kemudian menerima floppy disk yang menyediakan informasi tentang virus AIDS. Setelah menginstal program kecil, sistem menjadi tidak beroperasi. Untuk resusitasi, pengguna ditawari untuk membayar. Aktivitas jahat dari pemblokir SMS pertama yang memperkenalkan pengguna pada konsep "layar biru kematian" dicatat pada Oktober 2007.

Trojan.Winlock (Winlocker) adalah perwakilan dari keluarga besar program jahat, instalasi yang mengarah ke blok lengkap atau kesulitan signifikan dalam bekerja dengan sistem operasi. Menggunakan pengalaman sukses para pendahulu dan teknologi canggih mereka, pengembang Winlocker dengan cepat membuka halaman baru dalam sejarah penipuan Internet. Pengguna menerima sebagian besar modifikasi virus pada musim dingin 2009-2010, ketika menurut statistik, tidak satu juta komputer pribadi dan laptop terinfeksi. Puncak kegiatan kedua terjadi pada Mei 2010. Terlepas dari kenyataan bahwa jumlah korban dari seluruh generasi Trojan. Trolock Winlock baru-baru ini menurun secara signifikan, dan para ayah dari ide tersebut telah ditahan, masalahnya masih relevan.

Jumlah versi yang berbeda dari winlockers melebihi ribuan. Dalam versi sebelumnya (Trojan.Winlock 19, dll.), Penyerang menuntut 10 rubel untuk membuka kunci akses. Tidak adanya aktivitas pengguna setelah 2 jam menyebabkan penghapusan program, yang hanya menyisakan kenangan yang tidak menyenangkan. Selama bertahun-tahun, selera meningkat, dan untuk membuka kunci kemampuan Windows di versi yang lebih baru, sudah diperlukan 300 - 1.000 rubel dan lebih tinggi, para pengembang dengan sederhana lupa tentang program penghapusan sendiri.

Sebagai opsi pembayaran, pengguna ditawari SMS - pembayaran ke nomor pendek atau dompet elektronik di WebMoney, sistem Yandex Money. Faktor yang "mendorong" pengguna yang tidak berpengalaman untuk melakukan pembayaran adalah kemungkinan melihat situs-situs porno, penggunaan perangkat lunak yang tidak berlisensi ... Dan untuk meningkatkan efisiensi, daya tarik ransomware mengandung ancaman untuk menghancurkan data di komputer pengguna ketika mencoba menipu sistem.

Jalur distribusi Trojan.Winlock


Dalam kebanyakan kasus, infeksi terjadi karena kerentanan browser. Zona risiko adalah semua sumber daya "dewasa" yang sama. Versi klasik infeksi adalah pengunjung yang berulang tahun dengan hadiah yang berharga. Cara infeksi tradisional lainnya adalah melalui program yang menyamar sebagai pemasang yang memiliki reputasi baik, arsip yang mengekstrak sendiri, pembaruan - Adobe Flash, dll. Antarmuka Trojan berwarna-warni dan beragam, teknik masking untuk windows dari program antivirus secara tradisional digunakan, dan animasi kurang umum.

Di antara variasi umum modifikasi, Trojan.Winlock dapat dibagi menjadi 3 jenis:

  1. Bentuk atau spanduk porno yang dipaksa hanya saat jendela browser terbuka.
  2. Spanduk yang tetap ada di desktop setelah menutup browser.
  3. Spanduk yang muncul setelah memuat desktop Windows dan memblokir peluncuran task manager, akses ke editor registri, memuat dalam mode aman, dan dalam beberapa kasus keyboard.

Dalam kasus yang terakhir, untuk melakukan minimum manipulasi sederhana yang diperlukan oleh penyerang, pengguna tetap siap untuk memasukkan kode pada antarmuka layar digital.

Kebiasaan buruk Trojan


Untuk memastikan distribusi dan autorun, virus keluarga Trojan.Winlock memodifikasi kunci registri:

- [... \ Software \ Microsoft \ Windows \ CurrentVersion \ Run] 'svhost' = '% APPDATA% \ svhost \ svhost.exe'
- [... \ Software \ Microsoft \ Windows \ CurrentVersion \ Run] 'winlogon.exe' = '<SYSTEM 32> \ winlogon.exe'

Agar sulit dideteksi dalam sistem, virus memblokir tampilan file tersembunyi, membuat dan menjalankannya:

  • % APPDATA% \ svhost \ svhost.exe

Diluncurkan untuk dieksekusi:

  • <SYSTEM 32> \ winlogon.exe
  • % WINDIR% \ explorer.exe
  • <SYSTEM 32> \ cmd.exe / c "" "% TEMP% \ uAJZN.bat" ""
  • <SYSTEM 32> \ reg.exe ADD "HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run" / v "svhost" / t REG_SZ / d "% APPDATA% \ svhost \ svhost.exe" / f

Menghentikan atau mencoba menyelesaikan proses sistem:

  • % WINDIR% \ Explorer.EXE

Membuat perubahan pada sistem file:

Membuat file berikut:

  • % APPDATA% \ svhost \ svhost.exe
  • % TEMP% \ uAJZN.bat

Menetapkan atribut 'tersembunyi' untuk file:

  • % APPDATA% \ svhost \ svhost.exe

Mencari windows:

  • ClassName: 'Shell_TrayWnd' WindowName: ''
  • ClassName: 'Indikator' WindowName: ''

Pengobatan. Metode 1 Mencocokkan kombinasi kode dengan detail pembayaran atau nomor telepon


Prevalensi dan keparahan masalah mendorong pengembang perangkat lunak antivirus untuk mencari solusi yang efektif untuk masalah tersebut. Jadi di situs web Dr.Web, antarmuka pembuka kunci dalam bentuk jendela disajikan di domain publik , tempat Anda harus memasukkan nomor telepon atau dompet elektronik yang digunakan untuk pemerasan. Memasukkan data yang sesuai di jendela (lihat gambar di bawah) di hadapan virus dalam database akan memungkinkan Anda untuk mendapatkan kode yang diinginkan.

Layanan membuka kunci DRWeb

Metode 2. Cari kode buka kunci yang diperlukan berdasarkan gambar di basis data layanan Dr.Web


Pada halaman lain dari situs, penulis menyajikan opsi lain - database siap pakai kode buka untuk versi umum Trojan. Winlock, diklasifikasikan berdasarkan gambar .

Layanan pencarian kode serupa disediakan oleh studio anti-virus ESET , di mana database hampir 400.000 ribu opsi kode pembuka telah dikompilasi dan oleh Kaspersky Lab, yang telah menawarkan tidak hanya akses ke basis data kode, tetapi juga utilitas penyembuhannya sendiri - Kaspersky WindowsUnlocker .

Metode 3. Utilitas - unlockers


Cukup sering ada situasi ketika, karena aktivitas virus atau kerusakan sistem, Mode aman dengan dukungan baris perintah, yang memungkinkan manipulasi operasional yang diperlukan, tidak tersedia, dan pengembalian sistem karena suatu alasan juga ternyata tidak mungkin. Dalam kasus seperti itu, Pemecahan Masalah Komputer dan Windows Recovery Disc tidak berguna, dan Anda harus menggunakan opsi pemulihan dari Live CD.

Untuk mengatasi situasi ini, disarankan untuk menggunakan utilitas penyembuhan khusus, gambar yang perlu diunduh dari CD atau drive USB. Untuk ini, opsi boot yang tepat harus disediakan di BIOS. Setelah boot disk dengan gambar di pengaturan BIOS diberi prioritas tertinggi, CD atau flash drive dengan gambar utilitas penyembuhan akan menjadi yang pertama untuk boot.

Dalam kasus umum, paling sering mungkin untuk memasukkan BIOS pada laptop menggunakan tombol F2, pada PC DEL / DELETE, tetapi tombol dan kombinasinya untuk masuk mungkin berbeda (F1, F8, lebih jarang F10, F12 ..., Ctrl + Esc, Ctrl + Ins, Ctrl + Alt, Ctrl + Alt + Esc, dll.). Anda dapat mengetahui kombinasi tombol untuk memasukkan dengan melacak informasi teks di area kiri bawah layar pada detik-detik pertama entri. Pelajari lebih lanjut tentang pengaturan BIOS dan fitur berbagai versi di sini .

Karena hanya versi BIOS terbaru yang mendukung operasi mouse, Anda kemungkinan besar harus bergerak naik dan turun menu menggunakan panah atas dan bawah, tombol + +, -, F5, dan F6.

AntiWinLockerLiveCD


Salah satu utilitas paling populer dan sederhana yang secara efektif mengatasi spanduk ransomware - "pembunuh spanduk" AntiWinLockerLiveCD telah mendapatkan reputasinya.

logo program
Fungsi utama dari program :

  • Memperbaiki perubahan pada parameter paling penting dari Sistem Operasi;
  • Memperbaiki keberadaan di area startup dari file yang tidak ditandai;
  • Perlindungan terhadap penggantian beberapa file sistem di WindowsXP userinit.exe, taskmgr.exe;
  • Perlindungan terhadap pematian oleh virus Task Manager dan Editor Registri;
  • Perlindungan sektor boot dari virus seperti Trojan.MBR.lock;
  • Perlindungan area substitusi gambar program untuk yang lain. Jika spanduk tidak memungkinkan komputer Anda untuk boot, AntiWinLocker LiveCD / USB akan membantu menghapusnya dalam mode otomatis dan mengembalikan pemuatan normal.

Pemulihan sistem otomatis :

  • ;
  • ;
  • ;
  • ;
  • (HiJack);
  • HOSTS ;
  • , (Userinit, taskmgr, logonui, ctfmon);
  • (.job) AutorunsDisabled;
  • Autorun.inf ;
  • ( WinPE).

Pengobatan dengan utilitas LiveCD AntiWinLocker bukan obat mujarab, tetapi salah satu cara termudah dan tercepat untuk menyingkirkan virus. Distribusi LiveCD, bahkan dalam versi ringan Lite gratis, memiliki semua alat yang diperlukan untuk ini - manajer file FreeCommander, yang menyediakan akses ke file sistem, akses ke file startup, dan akses registri.

Program ini adalah penemuan nyata bagi pengguna pemula, karena memungkinkan Anda untuk memilih mode pemindaian dan koreksi otomatis, di mana virus dan konsekuensi dari aktivitasnya akan ditemukan dan dinetralkan dalam beberapa menit tanpa ada intervensi pengguna. Setelah reboot, mesin akan siap untuk terus bekerja dalam mode normal.

Urutan tindakan sangat sederhana:

Unduh file AntiWinLockerLiveCD dari versi yang diperlukan ke komputer pihak ketiga dalam format ISO, masukkan CD-ROM ke dalam drive-nya dan kemudian, klik kanan pada file tersebut, pilih "Open with", lalu pilih "Windows Disk Image Burner" - "Burn" dan kami menulis ulang gambar ke CD-ROM. Disk boot sudah siap.

situs pengembang

  • Kami menempatkan disk dengan gambar di drive PC / laptop yang terkunci dengan parameter BIOS yang telah dikonfigurasi sebelumnya (lihat di atas);
  • Kami sedang menunggu gambar LiveCD dimuat ke dalam RAM.

jendela program

  • Setelah memulai jendela program, pilih akun yang terkunci;
  • Kami memilih versi Profesional atau Lite untuk pemrosesan data. Versi gratis (Lite) cocok untuk menyelesaikan hampir semua tugas;
  • , Windows ( ), , .

Untuk kemurnian percobaan, Anda dapat menandai semua item menu kecuali yang terakhir (pulihkan sektor boot).

Klik "Mulai" / "Mulai pengobatan".

Menunggu hasil verifikasi. File masalah di ujungnya akan disorot dengan warna merah di layar.

virus ditemukan

Seperti yang kami harapkan, program memberikan perhatian khusus pada pencarian virus dalam contoh yang diberikan pada habitat tradisionalnya. Utilitas mencatat perubahan dalam parameter Shell yang bertanggung jawab atas shell grafis dari OS. Setelah perawatan dan menutup semua jendela program dalam urutan terbalik, mengklik tombol "Keluar" dan me-reboot, layar splash Windows yang sudah dikenalnya mendapatkan kembali posisi semula. Masalah kita telah berhasil diselesaikan.

penghapusan spanduk ransomware
Di antara alat tambahan yang bermanfaat dari program:

  • Editor Registri
  • Garis komando;
  • Pengelola tugas;
  • TestDisk;
  • AntiSMS.

Pemindaian otomatis oleh utilitas AntiWinLockerLiveCD tidak selalu memungkinkan untuk mendeteksi pemblokir.
Jika pembersihan otomatis tidak berfungsi, Anda selalu dapat memanfaatkan File Manager dengan memeriksa jalur C: atau D: \ Documents and Settings \ Username \ Local Settings \ Temp (Untuk Windows XP) dan C: atau D: \ Users \ Name User \ AppData \ Local \ Temp (Untuk Windows 7). Jika spanduk terdaftar saat startup, dimungkinkan untuk menganalisis hasil pemindaian dalam mode manual, yang memungkinkan Anda untuk menonaktifkan item startup.

memulai

Trojan.Winlock, sebagai suatu peraturan, tidak menggali terlalu dalam, dan cukup dapat diprediksi. Semua yang diperlukan untuk mengingatkannya tentang tempatnya adalah beberapa program dan tips yang bagus, dan, tentu saja, kehati-hatian di dunia maya tanpa batas.

Pencegahan


Murni bukan tempat mereka sering membersihkan, tetapi tempat mereka tidak membuang sampah sembarangan! - Benar, tetapi dalam kasus Trojan lucu, tidak seperti sebelumnya! Untuk meminimalkan kemungkinan infeksi, Anda harus mematuhi beberapa aturan sederhana dan cukup layak.

Pikirkan kata sandi untuk akun Admin lebih rumit, yang tidak akan memungkinkan malware langsung mengambilnya menggunakan metode pencarian paling sederhana.

Dalam pengaturan browser, centang opsi untuk menghapus cache setelah sesi, melarang eksekusi file dari folder sementara browser, dll.

Selalu memiliki disk yang mengobati / Flash drive LiveCD (LiveUSB), yang direkam dari sumber daya tepercaya (torrent).

Simpan disk instalasi dengan Windows dan selalu ingat di mana itu. Pada jam "H" dari baris perintah, Anda dapat mengembalikan file sistem vital ke keadaan semula.

Buat pos pemeriksaan pemulihan setidaknya setiap dua minggu.

Jalankan semua perangkat lunak yang meragukan - crack, keygens, dll., Jalankan di bawah PC virtual (VirtualBox, dll.). Ini akan memberikan peluang untuk dengan mudah memperbaiki segmen yang rusak menggunakan shell PC virtual.

Cadangkan ke media eksternal secara teratur. Dilarang menulis file ke program yang meragukan.
Semoga sukses dalam usaha Anda dan hanya menyenangkan, dan yang paling penting - pertemuan yang aman!

Kata Penutup dari Tim iCover

Kami berharap bahwa informasi yang diberikan dalam materi ini akan bermanfaat bagi pembaca blog perusahaan iCoverdan akan membantu mengatasi masalah yang dijelaskan dalam hitungan menit tanpa banyak kesulitan. Kami juga berharap bahwa di blog kami Anda akan menemukan banyak hal yang berguna dan menarik, Anda dapat berkenalan dengan hasil tes unik dan pemeriksaan gadget terbaru, menemukan jawaban untuk pertanyaan yang paling mendesak, solusi yang sering diperlukan kemarin.).

Source: https://habr.com/ru/post/id382627/

More articles:


All Articles