Однажды, включив свой компьютер, Вы можете увидеть на рабочем столе инфобаннер-вымогатель, который закрывает часть экрана, или того хуже, вообще тёмный экран монитора и некие требования по отправке СМС.
|
«Здравствуй, Вася, я снеслася…» (Из комментариев «счастливчиков»)
|
Инфобаннеры-вымогатели в последнее время все чаще появляются на мониторах наших компьютеров. Как только «ласково» не называют «счастливые» обладатели этих «непрошенных гостей»! Некоторые выражения и печатать стыдно! Согласен, это очень неприятный инцидент, особенно, когда Вы увлечены каким-либо процессом на своём компе, когда ограничены по времени, а тут такое! Эта ситуация мне слегка напоминает анекдотическую, когда два товарища, одноглазый и слепой пошли через лес к девочкам. Наткнувшись последним глазом на торчащую ветку, одноглазый изрек: «Ну, вот мы и пришли!» На что слепой ответил сакраментальной фразой: «Здравствуйте, девочки!»
После нескольких попыток самостоятельно убрать баннер, а это, как правило, не удаётся, Вы начинаете нервничать, проклинать умников — его создателей и корить себя, недоучку, что не можете справиться с такой ерундой. А представьте за экраном монитора подростка у которого строгие родители! Что скажет как всегда некстати появившийся отец… И в этот момент начинает развиваться упадническо-капитуляционное решение, отправить это злосчастное СМС и дело с концом. И понятно желание поскорее убрать эту гадость с глаз долой. Тем более, что плата за разблокировку заявлена бывает небольшая.
Никогда, ни под каким предлогом НЕ шлите СМС!
Не нужно «кормить» мошенников и злоумышленников, которые не гнушаются ни чем в достижении своих желаний повышения материального благополучия и считают всех остальных лишь примитивным инструментом для достижения своих неблаговидных целей. Пошлите их мысленно туда, куда обычно посылают, а именно «в пешую эротическую прогулку». Во-первых, при выполнении их требований, Вы будете неприятно удивлены во много крат увеличенной суммой, снятой со счёта вашего мобильника, в сравнении с заявленной в баннере. От 300 до 900 рублей (в зависимости от аппетита мошенника)! Здорово! Затем Вам пришлют ещё одно сообщение с требованием ввести, например, свой возраст, или что-либо ещё и возьмут сумму поменьше. И так до полного истощения счёта на вашем мобильном. А сам баннер, кстати, могут даже и не убрать. Мне приходилось несколько раз убирать эти произведения мошеннического искусства и на своём компьютере и помогать друзьям, товарищам и знакомым. Так понемногу изучил этот вопрос и хочу поделиться с Вами некоторыми известными мне способами борьбы с этим мерзким врагом.
Разновидности программ
Целью действий программ-вымогателей является блокирование доступа пользователя к данным на компьютере или ограничение возможностей работы на компьютере и требование выкупа за возврат к исходному состоянию системы. Отличие вредоносных программ класса «Trojan-Ransom» заключается в их изначальной коммерческой направленности. Каждая программа этого поведения является инструментом для получения денег киберпреступниками. Существует несколько видов вредоносных программ. Они представлены в порядке сложности борьбы с ними вручную, без антивируса. Избавиться от последствий запуска первых двух видов достаточно просто, третьего и четвертого – немного сложней, а устранение последствий работы программ, отнесенных к пятому виду, не всегда возможно.
Программы:
- Ограничивающие доступ к web-сайтам;
- Ограничивающие работу с обозревателем;
- Блокирующие доступ к ресурсам операционной системы;
- Ограничивающие действия пользователя в операционной системе;
- Шифрующие файлы пользователя.
Способы борьбы
Во всех случаях появления баннера попытайтесь вначале удалить его с помощью антивируса. Если получается, проверьте в обычном режиме работы. Естественно, базы должны быть самые свежие. Поэтому необходимо строго следить за обновлением баз. Желательно в настройках обновления установить в «Автомат»!
Не хочется далеко заходить в дебри, потому, что есть очень много вариантов, разновидностей, как самих баннеров, так и способов борьбы с ними. Хотелось бы остановиться на самых простых и действенных, которые опробовал сам и о которых имею представление.
Баннер, ограничивающий работу с обозревателем
Такого типа баннер блокирует доступ пользователя ко многим web-сайтам, в том числе и к сайтам антивирусов.
Если он не удаляется антивирусом, выполните следующее:
- В текстовом редакторе, например Блокнот откройте файл Hosts. Путь к файлу для Windows XP, Vista: C: → папка Windows/System32/drivers/etc/hosts
- Вручную исправьте данный файл, удалив все строки ниже строки 127.0.0.1 localhost
Баннеры, ограничивающие доступ в Интернет
Эта вредоносная программа блокирует доступ к Интернету и выводит на экран сообщение о якобы нарушении лицензионного соглашения с требованием отправить СМС и так далее…
Такого типа программа-вымогатель создаёт в обозревателе всплывающее окно, которое нельзя закрыть. Оно мешает или полностью препятствует работе в Интернете.
В Internet Explorer откройте окно Управление надстройками (Сервис → Надстройки → Включение отключение надстроек). В открытом окне обратите внимание на надстройки, у которых в графе Издатель либо нет ничего, либо Не проверено. В графе Файл проверьте расширения файлов подозрительных настроек и отключите подозрительные расширения. Перезапустите Internet Explorer и убедитесь, что окно исчезло.
Баннеры, блокирующие доступ к ресурсам операционной системы
(рис.1)
(рис.2)
(рис.3)
Эти «красавцы» блокируют доступ пользователя к ресурсам операционной системы. Диспетчер задач не запускается. Клавиатура и мышь работают, но окно баннера свернуть нельзя. Оно поверх всех окон, не даёт работать с другими программами и требует оплату за предоставление пароля для восстановления работоспособности системы.
ВНИМАНИЕ: для устранения баннеров такого типа достаточно применить ЛЮБОЙ из представленных ниже вариантов.
1. Восстановление системы
Один из лучших способов − откатить систему на 1-2 дня назад с помощью восстановления системы. «Коварная сволочь-баннер», несомненно, будет всячески препятствовать, мешать выполнить процедуру восстановления, но изловчиться можно и нужно, так как убрать эту «пакость» жизненно необходимо. Если у вас Windows ХР, то этот метод действует безотказно. Как сделать откат, все наверное, знают: Пуск → Все программы → Стандартные → Служебные → Восстановление системы → Восстановление более раннего состояния компьютера. Выбрать прошлую дату, отмеченную жирным шрифтом. Нажать кнопку «далее» и система самостоятельно восстановится до состояния на дату, указанную Вами.
Более прогрессивный и удобный метод восстановления системы предоставляет программа Acronis True Image Home. Установите эту замечательную программу на компьютер, сделайте резервные копии системы и при любых неприятностях, сбоях в работе, баннерах и т.д., просто восстановите систему. Огромное преимущества этого способа заключается в том, что при «поимке» баннера, например, вам необходимо просто сделать перезагрузку и, нажав клавишу F11, активировать программу Acronis True Image Home, которая восстановит систему на дату создания резервной копии.
2. Использование сервисов деактивации вымогателей-блокеров
Производители антивирусов помогают нам найти код от баннера, поэтому обязательно посмотрите каждый из разблокираторов. В этом варианте можно попросить друзей о помощи с их компьютера, конечно, если у них эти ссылки в закладках. Пройдите по ссылкам. Понравившиеся, сохраните в закладках.
Ссылки ведущие на сервисы деактивации вымогателей-блокеров:
- //virusinfo.info/deblocker/
- //support.kaspersky.ru/viruses/deblocker
- //news.drweb.com/show/?i=304
- //www.esetnod32.ru/support/winlock/
После разблокировки необходимо пройти процедуру лечения, предложенную лабораторией Касперского для полного удаления вредоносной программы!
Служба технической поддержки лаборатории Касперского предоставляет Kaspersky Rescue Disk 10, который можно скачать бесплатно по ссылке //support.kaspersky.ru/viruses/rescuedisk?level=2
(Техническая поддержка предоставляется только пользователям, купившим коммерческую лицензию на Антивирус Касперского или Kaspersky Internet Security.)
3. Удаление из Автозагрузки
Можно попробовать вручную удалить баннер из Автозагрузки. Команда на запуск баннера должна быть в Автозагрузке (он ведь запускается вместе с Windows!). Можно попробовать убрать его оттуда с помощью какой-нибудь программы с функцией редактирования команд в Автозагрузке, например, EasyCleaner, CCleaner, TuneUp Utilites и много других. Сделать перезагрузку, войти в безопасный режим под учётной записью Администратора. Обратить внимание на новые, неизвестные Вам файлы, особенно с текущей датой, которые запускают баннер. Например plugin.exe. Удалить этот файл с Автозагрузки. Перезагрузиться в рабочий режим. Почистить реестр. Проблема исчезнет.
4. Вход в безопасный режим
Безопасный режим — режим защиты от сбоев. В безопасном режиме загружаются только те драйверы и службы, которые необходимы для работы системы. Безопасный режим Windows XP позволит исправить все ошибки и вернуть систему в рабочее состояние.
При перезагрузке компьютера не дожидаясь начала загрузки windows нажмите F8. Вы попадёте в меню дополнительных вариантов загрузки.
1. Загружаемся в безопасном режиме с поддержкой командной строки. (При перезагрузке компьютера не дожидаясь начала загрузки Windows после характерного сигнала часто нажимаем либо удерживаем в нажатом состоянии клавишу F8).
2. После того, как загрузка произошла, нажимаем сочетание клавиш ctrl+alt+delete. В появившемся диспетчере задач выбираем: файл → новая задача (выполнить).
3. В открывшемся окошке вводим слово regedit. Откроется редактор реестра.
4. В редакторе: HKEY_LOKAL_MACHINE\Software\Microsoft\Windows NT\Current Version\Winlogon. Делаем двойной щелчок мышью на папке Winlogon.
5. В параметре Shell должно быть Explorer.exe, а там будет прописан путь к зараженному файлу. Удаляем всё лишнее.
6. Находим ключ Userinit. Восстанавливаем значение на C:\Windows\system32\userinit.exe, (запятая должна быть!). Перезагружаемся. Баннер устранён!
5. Диск Live CD
В сложном случае, если при перезагрузке невозможно перейти в безопасный режим (когда вредоносная программа отключает эту возможность), нужно воспользоваться компакт-диском Live CD.
Live CD — это аварийная ОС, которая загружается в оперативную память ПК. Может работать с неисправным жёстким диском или с отсутствием его. Имеет софт, чтобы посмотреть содержимое жёсткого диска и произвести действия для восстановления системы и решения других проблем.
Порядок действий практически такой же, как и в предыдущем методе, но, как Вы понимаете, сложность заключается в том, что необходим диск Live CD. Объём диска примерно 700-720мб. Windows_XP_LiveCD вы можете скачать в моём магазине.
Запишите Windows_XP_LiveCD на CD-диск и он не раз выручит вас в критических ситуациях.
Перезагружаем с диском Live CD. Ждём пока установится аварийная ОС. Далее: Пуск → Программы → ERD Commander → утилиты → редактор реестра. Будьте особо внимательны при внесении изменений в системный реестр!
В редакторе: HKEY_LOKAL_MACHINE\Software\Microsoft\Windows NT\Current Version\Winlogon. Двойной щелчок мышью откроет папку Winlogon в правой половине в развёрнутом виде. Находим ключ Userinit. Восстанавливаем значение на C:\Windows\system32\userinit.exe, В параметре Shell (находится немного выше…) не должно быть ничего более, чем запись: Explorer.exe. Всё лишнее необходимо удалить.
А теперь всё вышесказанное в картинках:
Вставили диск Live CD, перезагружаемся. При помощи стрелок «вверх — вниз» на клавиатуре выбираем верхнюю ссылку (обозначенную на рисунке зелёным цветом), иначе при бездействии загрузится ваша ОС.
Идёт загрузка аварийной операционной системы в оперативную память ПК. Этот процесс занимает некоторое время, можно отдохнуть несколько минут.
Аварийная операционная система загружена успешно. На рабочем столе видны значки загруженных программ. Присутствуют несколько антивирусов, программа Everest, благодаря которой можно узнать все данные о своём компьютере, AcronisTrueImage для восстановления системы, TotalCommander и др.
Нажимаем: Пуск → Программы → ERD Commander → утилиты → редактор реестра.
В редакторе находим: HKEY_LOKAL_MACHINE\Software\Microsoft\Windows NT\Current Version\Winlogon. Кликнув два раза кнопкой мыши, открываем папку Winlogon в правой части в развёрнутом виде.
Находим ключ Userinit, кликаем правой кнопкой мыши и в контекстном окне нажимаем вкладочку Modify.
Восстанавливаем значение на C:\Windows\system32\userinit.exe,
В параметре Shell (подчёркнуто красной линией) не должно быть ничего более, чем запись: Explorer.exe. Всё лишнее необходимо удалить.
Извлекаем диск LiveCD, перезагружаемся в обычный режим работы. Баннер умер!
6. Дополнительные варианты
- Один из способов убрать баннер — отнести жесткий диск другу и проверить его антивирусом.
- Переустановка Windows. Радикальный способ, надёжный, но не стоит им злоупотреблять. Необходимо начинать с простого, попробовать самому решить вопрос, испробовать все известные методы устранения проблемы, если не получается, обратиться к более продвинутым пользователям, тем более, что «не так уж и страшен чёрт, как его малюют!»
- Обратиться в полицию. Заполнить заявление по соответствующей форме и ждать помощи от наших правоохранительных органов! Подумайте, почему так распоясались кибермошенники? Кто из пострадавших от этих людей написал заявление? Многие подумают, мол, ладно, сам виноват, не велики деньги, все-равно никто не поможет, или что-либо в этом роде. Ну, обманули, ограбили, главное, что не убили. Как-то и я так подумал, когда несколько лет тому назад «обчистили» квартиру. Вещи наживём, а, если бы в это время в квартире были маленькие дети или жена, думаете, пожалели бы их? Если представить себе на секунду, что баннер поймал, ну, например Путин, или Медведев! А они молодые люди и часто пользуются интернетом. Я, не то что уверен, это просто аксиома, что через каких-то 15 с половиной минут злоумышленник уже будет давать показания в соответствующем месте. Как может быть так, что в наше время невозможно вычислить кому принадлежит конкретный короткий номер? Ведь кто-то кому-то этот номер в пользование давал, и, наверняка, не за спасибо! Вот и пусть милиция разыскивает…. Как-то смотрел «Горячий вечер с Кеосаяном» на тему об СМС-мошенничестве. Он там сказал, что надо, мол, «включать мозги». Хорошо, конечно, включать их тем, во-первых, у кого они есть! А во-вторых, не все ведь и с мозгами сообразят, например, ребёнок, пожилой человек, жители деревни, глубинки, просто доверчивые люди и т.д. Если мы чаще будем обращаться, значит будет статистика данного рода нарушений закона и у органов будут наработки в этом вопросе. Нет обращений — значит нет проблем!
Резюме
В предотвращении подобных явлений очень хорошим гарантом может выступать лицензионный антивирус и постоянное обновление баз. Это, в первую очередь, конечно же, Касперский, D.WEB, NOD.
Если вы используете в качестве антивирусной программы KIS лаборатории Касперского, в настройках можно включить Анти-Баннер:
В этом случае баннер-вымогатель вы точно не поймаете, но и при установке всех галочек в чекбоксах настроек, лишитесь возможности наблюдать все остальные баннеры, как «чужие», так и «свои», включая и рекламу Гугла. Выбор в любом случае остаётся за вами.
Постарайтесь ограничить посещение п#рн#сайтов, не идите на поводу у мошенников при предложениях устанавливать незнакомые программы. Подобными действиями Вы самолично устанавливаете программу к себе на компьютер, даже, кликая якобы на крестик закрытия окна с предложением. В случае, когда окно невозможно закрыть, лучше закройте вкладку или выключите браузер. Если компьютер просит что-то обновить или переустановить (на п#рн#сайте!), при этом работая нормально, никакой нужды в обновлении или переустановке нет. Если сомневаетесь, лучше спросите у более продвинутых пользователей.
Установите браузер Mozilla Firefox и скачайте с официального сайта ADBLOCK Plus и установите (подключите обновляемые фильтры). Будет блокироваться вся реклама вообще, а о п#рн#баннерах и всплывающих окнах можно забыть.
Создайте две учётные записи: одну с правами администратора, а другую с правами обычного пользователя. Даже если компьютер не надо ни с кем делить. Режим обычного пользователя предпочтителен в повседневной работе. Если Вы работаете от имени администратора, то вирусы и другие вредоносные средства, случайно попавшие на компьютер, имеют полную свободу действий. А в тех сравнительно редких случаях, когда необходимо выполнить специальную настройку или установить программу, в систему можно войти с административными правами. Этот нехитрый приём значительно повышает безопасность.
Скачивайте с сайта Microsoft и устанавливайте все критические обновления безопасности, выходящие ежемесячно. Делайте это регулярно. Включите Автоматическое обновление.
Установите надёжный сетевой защитный экран — файервол (брандмауэр).
Всего Вам доброго и светлого! Пока.
