Размышления о вымогателях в интернете/ задача и ее решение*

Сфотографированные мной маникены

Я хочу сегодня рассмотреть один из видов мошенничества в интернете, который до сих пор по какой-то загадочной причине существует. Схема действия проста, как валенок. Человек, который искал что-то в интернете через поисковик, забрел на сайт с трояном. Троян работает через Java-приложение. То есть у человека на экране что-то начинает неумолимо загружаться и через минуту выскакивает рекламный баннер, перекрывающий все окна поверх всех и далее — по сценарию(Вас спалили за просмотром запрещенного контента, отправьте смс и окно закроется). Я не буду рассматривать конкретные случаи, потому что баннеров таких много. Я дам только рекомендации, которые подойдут сразу и для всех типов такой заразы. Кроме того — тот, кто надеется на разблокировочные коды и простоту проблемы, может даже не мечтать об этом. В последнее время появились в сети типы баннеров-вымогателей, которых нет ни в базе Касперского, ни в базе доктора Веба. Итак, рассмотрим условия задачи для начала.

Имеем: Компьютер с операционкой XP и без антивируса по какой-то причине(ну забыли вы его поставить или еще что-то там), только что зараженный через сайт баннером-вымогателем. На экране только заставка(с картинками или без), предлагающая отправить смс на какой-нибудь номер(8444, 3165 или другое) и причины по которым предлагается отдать свои деньги(просмотр видео с мертвыми любящимися бурундучками, к примеру) загадочному человеку, которому нечего делать, кроме как писать новые вирусы. Рассматриваемый нами баннер не реагирует на клавиатуру, на мышь, блокирует панель управления и рабочий стол, требуя код разблокировки и занимает собой весь рабочий стол. Перед компьютером мы имеем печального юзера, который ничего не может поделать, потому что после просмотра какого-то сайта он лишился управления над компом.

Решение: Для того, чтобы решить нашу проблему не переставляя Windows, нам понадобится 15 минут времени, мобильный телефон и друг за другим компьютером. Предлагаемая схема решения подходит для любого баннера-вымогателя. Разумеется, следует распрощаться с иллюзиями по поводу кода разблокировки. Кода нет, а если он есть, то он активирует еще одну очередную незаметную глазу каку, которую вы найдете через месяцок и ужаснетесь. Смс отправлять разумеется, бесполезно. Деньги снимут аккуратно, но вам ничего не пришлют. С троянами бесполезно торговаться, потому что создают их исключительно нехорошие редиски.

Далее. Надо запомнить, что сразу же после заражения перезагружая компьютер, вы даете программе работать на полную катушку. Как правило, после перезагрузки в обычном режиме троян перехватывает управление компом полностью, блокируя учетную запись администратора на вашей машине.

Процесс заражения вашего компьютера с какого-нибудь сайта в наши дни занимает считанные секунды, а лечить комп придется долго и мучительно. Итак,

1) Перезагружаем компьютер в безопасном режиме с поддержкой командной строки, чтобы оценить масштабы ущерба.(смотри рисунок 1) Напоминаю — чтобы добиться нужного эффекта нужно во время перезагрузки когда появится черный экран с вариантами выбора(Esc или F2) жать F8. После этого появится вот такое вот окошко:

 

2) В безопасном режиме с поддержкой командной строки выбираем учетную запись админа и ждем загрузки режима. (Смотри рисунок 2)

 

 

3) Вызываем Диспетчер Задач (Ctrl + Alt + Del) и в окне Файл нажимаем Новая Задача (Выполнить)

4) После данных манипуляций появляется окно со списком команд. (Смотри рисунок 3) Мы вводим команду regedit чтобы проверить реестр компа на грязь.

 

 

5) Во всем реестре нас интересует папка HKEY_LOCAL_MACHINE/ SOFTWARE/ Microsoft NT/ Current Version/ Winlogon Курсор ставим на слово «Winlogon» и справа видим много красных и синих слов. Это переменные и их значения. Звоним своему другу, который также на своем незараженном компе смотрит эту же папку и диктует вам значения прописанных там переменных. Сравниваете все сверху донизу и пишете значения переменных так, как на не зараженном компьютере.

6) Аккуратно после этого все закрываете и перезагружаетесь. В зависимости от типа вируса эта последовательность может быть дополнена еще одним пунктом. Некоторые баннеры после чистки реестра сносят права админа так злобно, что становится не по себе. Тогда надо после восстановления переменных в реестре также через командную строку в безопасном режиме вызвать режим восстановления системы. Оговорюсь сразу — в обычном режиме у вас это не получится, потому что контроль перехвачен вирусом.

После того, как прописали правильные значения в реестре как указано и сделали восстановление системы, все у вас должно заработать. Но не помешает сразу же поставить нормальный антивирус и просканировать комп.

На этом все, удачи.