Эта музыка будет вечной...

О блокировке Windows СМС-мошенниками

На ловца и зверь...
Так что же делать, если вы все-таки попались на эту удочку?
Как защититься от вирусов и троянов, блокирующих Windows на вашем компьютере?

Сдается мне, что первая волна блокирующих троянов никого ничему не научила. Народ до сих пор наступает на те же грабли, а сотовые операторы продолжают стыдливо отнекиваться, навариваясь на многострадальных пользователях. В любой нормальной стране эту лавочку давно бы прикрыли, но только не у нас, где спасение утопающих традиционно считается делом рук сами знаете кого.

В этой статье я попытаюсь простым и доходчивым языком обрисовать ситуацию, в основном для тех из вас, кто мало чего соображает в компьютерах, то есть для потенциальных жертв подобного рода троянов.

На ловца и зверь...

Особенностью любого трояна является его ограниченность. Троян не способен размножаться самостоятельно, его нужно запустить на исполнение. Запустить можно вирусом без вашего ведома, но сделать это не так-то просто при наличии свежайших антивирусов. Гораздо проще сделать так, чтобы троян запустил сам пользователь, тогда вредоносная программа принимает статус законной, ведь пользователь установил ее сам, согласившись на все, и теперь такая программа ничем не отличается от того же «Сапера» или пасьянса «Косынка». Антивирус сможет ее заметить только по сигнатуре и только во время установки (позже он будет бесполезен), поэтому в данном случае злоумышленники идут на шаг вперед, выкладывая все новые и новые версии своих лохотронов.

К чему все вышесказанное? Из десяти человек, которым я помог избавиться от лохотронщиков, только один смог более-менее вменяемо объяснить, что он до этого делал на своем ПК (скачал учебник по АвтоКАДу). Остальные девять вообще не могли взять в толк, откуда эта бяка к ним пришла. Нет, не стеснялись сказать, что бродили по порноресурсам, просто не помнят, что устанавливалось, и устанавливалось ли вообще.

«Так надо было, наверное», – основной ответ. Что значит «надо»? Зарубите себе на носу: если комп просит что-то обновить или переустановить, при этом работая нормально, никакой нужды в обновлении/переустановке нет. Если сомневаетесь, что нужно, лучше спросите у более продвинутых пользователей, не стесняясь своего невежества.

Главная задача лохотронщиков - метод социальной инженерии - найти предлог, чтобы вы установили себе их приложение, убедить вас в необходимости его запустить. Троян можно подсунуть и в наиболее часто скачиваемые программы, но гораздо эффективнее действовать активно, давя на психику кричащими баннерами, либо всплывающими окнами, маскирующимися под системные.

Вот у кого из начинающих пользователей не ёкнет сердце при виде такого безобидного окошка, сгенерированного JavaScript’ом:

На самом деле это всего лишь окно с двумя кнопками, каждую из которых можно запрограммировать на что угодно. Допустим, при нажатии на «ОК» происходит загрузка, а при нажатии на «Отмена» ваc перебрасывают на порносайт с кучей таких «полезностей».

Предлогов можно придумать массу («Для просмотра видео необходим...», «Драйвер устройства не найден или поврежден...», «Обнаружен троян Blfhfi.00023.tj, для удаления необходимо...», «У вас устаревший...»), окна выдавать более угрожающие и т.д. В большинстве случаев подобная тактика работает, народ ведется.

Так что же делать, если вы все-таки попались на эту удочку?

1. В суд!

Мошенничество и вымогательство - дело подсудное. Если намерены идти до конца, нужно обязательно отправить СМС (от 300 руб.), сфоткать отправку, сфоткать экран с блокирующим окном, т.е. собрать все улики, какие только возможно для создания прецедента. Дело вы наверняка выиграете, деньги вам вернут, а вот время и нервы - вряд ли.
Здесь - http://pazzive.livejournal.com/188661.html - подробная инструкция, как это сделать.

Во всех остальных случаях ДАЖЕ НЕ ДУМАЙТЕ ОТПРАВЛЯТЬ СМС!!!

2. Простейшие случаи

Иногда встречаются трояны на дурака, от которых можно легко избавиться самостоятельно, даже не обладая глубокими познаниями в системе.

2.1 Экранная лупа.

При появлении окна вымогателей нажмите WIN+U - откроется окно экранной лупы Windows, у него более высокий приоритет, чем у развернутого окна трояна.

Запустите лупу.

Появится окно подсказки, но нас интересует не само окно, а гиперссылка, которая позволит нам открыть браузер. Из адресной строки браузера мы можем запустить любую программу, либо зайти на сайт антивируса и скачать его (если УРЛ не заблокирован трояном).

Далее необходимо выполнить проверку компа с последующей чисткой реестра.
Да, если вы до этого пользовались экранной лупой и поставили там галку «Больше не выводить это предупреждение», лучше восстановите все по умолчанию. Это дурацкое окно может вас спасти в недобрый час от самых примитивных троянов.

2.2 Безопасный режим с откатом.

Если за последнее время ничего ценного на компьютере не сохранялось, можно попытаться сделать и так.
При перезагрузке упорно жмете F8, входите в безопасный режим.

Далее: Пуск -> Программы -> Стандартные -> Служебные -> Восстановление системы

В появившемся окне окатываете систему до предпоследней точки восстановления.
ВНИМАНИЕ! Все сохраненные данные после этой даты (точки восстановления) будут утеряны!

Словить троян, который не блокирует безопасный режим, сейчас большая редкость. Тем не менее, в декабре 2009 мне удалось таким образом вылечить комп по телефону.

3. Сложные случаи: Звонок другу.

На сегодня это самый банальный и наименее затратный способ избавиться от блокировки.
Позвоните другу с работающим ПК и попросите зайти на один из следующих адресов. Их лучше запомнить или записать на бумажке, т.к. на момент оказии вы эти адреса не увидите.

http://www.drweb.com/unlocker/index/?lng=ru
http://esetnod32.ru/support/winlock.php
http://virusinfo.info/deblocker/

Попросите в необходимые поля вбить короткий номер и текст, что от вас требуют отправить по СМС. Далее пусть друг продиктует код, который необходимо ввести. Если требуемого кода в этих базах нет, попросите погуглить по номерам и тексту СМС, наверняка он найдется.

После активации необходимо подчистить реестр и прошустрить комп на вирусы с самыми последними антивирусными базами самых вменяемых антивирусных сканеров. Их на сегодня в России всего три: KIS, Dr.Web и NOD32 (именно так, в порядке убывания по качеству обнаружения подобных троянов).
Если нет денег, скачайте бесплатную лечащую утилиту Dr.Web CureIt (http://www.freedrweb.com/cureit/), благо интернет к тому времени у вас уже будет работать.

4. Удаление с помощью LiveCD.

Нет загрузочного диска с утилитой AVZ? Тогда даже не пытайтесь.
Способ муторнее третьего, т.к. в случае отсутствия LiveCD все равно придется совершать звонок другу.
Загрузитесь с LiveCD, запустите утилиту AVZ (можно скопировать с другого носителя), в окне утилиты выберите пункт меню Файл/Восстановление системы. Отметьте все пункты, кроме «Полное пересоздание настроек SPI (опасно)» и «Очистить ключи MountPoints & MountPoints2».
Enjoy!

Помимо вышеуказанного, есть масса способов, как избавиться от этой дряни, включая ручное редактирование реестра, загрузку через второй винчестер, ERD Commander, расшатывание процесса explorer.exe, перевод времени в BIOS и т.д.
Все я приводить не буду, поскольку не всегда они эффективны и требуют более глубоких знаний, чем требуется простому смертному. Не хочу брать на себя ответственность, если какая-то девочка, прочитавшая мою статью, полезет рыться в реестре и решать проблему самостоятельно.

Вот, пожалуй, и все, что можно сказать для наименее продвинутых пользователей, ведущихся на такие разводы.

Как защититься от вирусов и троянов, блокирующих Windows на вашем компьютере?

1. User, not Administrator

Самый простой способ - не работать под учетной записью администратора.
К сожалению, мало кто из начинающих пользователей знает, что такое учетная запись, особенно те, кто сидит за домашним ПК.
Обычно пользователи домашних ПК работают под учёткой администратора, им не нравятся окна ввода пароля, выбор юзера и т.д. Тем не менее, в виндах есть возможность автоматического входа в систему и под обычным юзером. Создайте учетную запись, наделите юзера правами - и вуаля. Забудете этот лохотрон как страшный сон
http://support.microsoft.com/kb/315231/ru - здесь подробная инструкция для автоматического входа с учетной записи.
Если сомневаетесь в своих способностях, попросите кого-нибудь из более продвинутых. Любой продвинутый юзер создаст вам учетку в пять сек.

2. Безопасный web-серфинг

Помимо методов социальной инженерии, злоумышленники часто используют уязвимости в вашей системе. Самое слабое звено в данном случае - ваш браузер. Если это до сих пор старенький Internet Explorer 6 версии, то у вас практически нет шансов уберечься от проникновения в систему. Один случайный клик на порнобаннер - и вы уже совершаете звонок другу.

Следует заменить браузер на более стойкий в плане внешних воздействий. Пока наиболее надежна связка браузера Firefox 3.6 с надстройкой NoScript. Неплохие показатели у Opera 10 версии. Эстетам уже приглянулся Google Chrome. Считается надежным и Internet Explorer 8-й версии, но чисто психологически он мне не внушает доверия.
Есть еще неплохая фишка - WOT от http://www.mywot.com - своего рода рейтинг сайтов, что вы видите в результатах поиска Гугла или Яндекса. Красное кольцо вас по идее должно насторожить. Я тоже поначалу думал, что это фигня, а потом стал присматриваться. Зачастую хорошо срабатывает, встревая при переходе на нежелательный сайт.

Дело в том, что поисковики не могут фильтровать абсолютно весь контент. Постоянно случается такое, что по вполне вменяемым запросам выползают сайты, обвешанные тоннами мусора на JavaScript’e, обходящие фильтры ПС. Особо злостные сайты влетают в базу WOT быстрее, чем исключаются из баз поисковиков. Задумка неплохая, ИМХО.

3. Антивирусная защита

Тут и говорить нечего. Резидентный сканер + файрвол должны включаться постоянно. Толку от них будет мало, если самостоятельно установите троян, поведясь на уловки мошенников, но впоследствии они пригодятся. Снятием позорного окна «Ваш Windows заблокирован» борьба с вирусами только начинается, но это уже тема для отдельной статьи.

© Генрих Лиговский
31.01.10