damporadu.ru

Як позбутися від вірусів-вимагачів

Відео: Як позбутися від вірусу-здирника

За даними Лабораторії Касперського і Dr.Web віруси-вимагачі були найпоширенішими серед шкідливих програм в минулому році і б`ють всі рекорди в році сьогоденні. Вам дуже пощастило, якщо ваш комп`ютер надійно захищений і ще не приймав такого «гостя».
За даними Лабораторії Касперського і Dr.Web віруси-вимагачі були найпоширенішими серед шкідливих програм в минулому році і б`ють всі рекорди в році сьогоденні. Вам дуже пощастило, якщо ваш комп`ютер надійно захищений і ще не приймав такого «гостя».

Що таке вірус-вимагач?

`вірус`Це шкідлива програма, як правило, троянська, яка блокує роботу вашого комп`ютера і пропонує відновити статус-кво, якщо ви відправите платне SMS на короткий номер.
Найцікавіше, що відправка цього повідомлення найчастіше не має ніяких наслідків, тобто, гроші ви витратите, а результату не отримаєте. Причому, дуже часто SMS обходиться набагато дорожче тієї суми, яка вказана.
Віруси-вимагачі бувають декількох видів. Одні - обмежують доступ до веб-сайтів або роботу з браузером. Інші - шифрують файли користувача. Треті - блокують доступ до ресурсів операційної системи або обмежують дії в ній. Ховаються такі віруси, як правило, серед файлів з розширеннями zip, rar, exe, bat, com.

Як не стати жертвою вірусу-здирника?

1. Звичайно ж, ніяк не обійтися без антивірусне програмне забезпечення. З останніми, постійно оновлюваними базами даних. Захист від вірусів цілком може забезпечити як платний, так і безкоштовний антивірус. У будь-якому випадку ви самі оцінюєте важливість стабільної роботи і захисту даних на вашому комп`ютері. Економити на захисті - не найкращий варіант.
2. З обов`язкових дій, які варто покладати на вашу антивірусну програму - повна перевірка комп`ютера на наявність вірусів. Періодичність перевірки знову ж ви визначаєте для себе самі, але як мінімум раз на тиждень таку перевірку робити варто.
Компанії-виробники систем захисту від вірусів також пропонують перевіряти файли безпосередньо на їх сайтах, це так звані онлайн-сканери. Якщо у вас сумніви щодо деяких файлів на вашому комп`ютері, перевірити їх можна ще раз, кожен окремо:
Онлайн-сканер Dr.Web
http://vms.drweb.com/online/
Kaspersky Online Scanner
http://kaspersky.ru/scanforvirus
`ЯкКомпанія Dr.Web пропонує також власне рішення - Dr.Web LinkChecker. Це набір плагінів для трьох браузерів (Mozilla Firefox, Opera і Internet Explorer), після установки яких усе відкриваються вами сторінки та файли, завантажувані з інтернету, будуть перевірятися на наявність шкідливих програм заздалегідь, тобто до того, як ви щось відкриєте або скачаєте.
3. Чи варто в черговий раз повторювати, що деякі ресурси краще обходити десятою дорогою. Мова про сайтах обіцяють швидкий заробіток, багато безкоштовного порно і т.п. До речі, ресурси, що пропонують всілякі кряки, програми для злому, ключі і тому подібний софт також потенційно небезпечні для вашого комп`ютера. До речі, будь-які програми - будь-то звичайна програма для перегляду фотографій, IM-клієнт або навіть стандартний набір кодеків - рекомендую читачам Мірсоветов завантажувати їх з офіційних сайтів. Як мінімум, ресурс повинен бути надійним і перевіреним.
Великі пошукові сайти (наприклад, Яндекс, Google) вже навчилися розпізнавати сайти, зайшовши на які ви можете отримати в нагороду вірус, і попереджають про це. Але якщо ви не впевнені в надійності сайту (навіть офіційні сайти іноді можуть нести загрозу зараження), можна перевірити його самостійно. Це легко можна реалізувати на сторінці того ж онлайн-сканера Dr.Web, де натиснувши на посилання "Перевірити посилання (URL)» і ввівши адресу сторінки сайту, ви дізнаєтеся, чи не містить цікавить ваш ресурс віруси.
Не зайвим буде поставити додатковий захист для перевірки відвідуваних сайтів до їх відкриття. Наприклад можна скористатися безкоштовними плагінами Dr.Web LinkChecker (http://freedrweb.com/linkchecker/), які вбудовуються в усі найбільш популярні браузери: Mozilla Firefox, Opera, Internet Explorer.
4. Не варто відкривати електронні листи або файли від незнайомих вам людей або переходити за посиланнями, отриманим від незнайомців. Найчастіше, саме там містяться віруси-вимагачі, і не тільки вони.
5. Важливі для вас паролі і логіни рекомендується зберігати окремо.
6. Всі диски, флешки, карти пам`яті та інші знімні носії, які ви підключаєте до комп`ютера, відразу перевіряйте на наявність шкідливих програм і тільки потім починайте роботу з нею. До того ж автозапуск зйомних носіїв (автоматичне відкриття при підключенні) краще відключити зовсім, віруси вміють ховатися і там. Для відключення автозапуску скористайтеся довідкою по вашій операційній системі.
У разі ж, коли раніше працювала програма не запускається, не відчиняються файли, з якими ще недавно ви спокійно працювали, не виходить вийти в інтернет або взагалі неможливо працювати з комп`ютером ... коли замість всього цього з`являється вікно з вимогою відправити смс, майже напевно вам довелося познайомитися з одним з видів вірусів-вимагачів. Звичайно ж, відправляти повідомлення нікуди не радимо, результату не буде. А ось боротися з вірусом можна і потрібно.

Для цього бажано мати набір утиліт для лікування вашого комп`ютера від подібних вірусів. Про них ми і розповімо далі. Але якщо ви не впевнені, що зможете впоратися з лікуванням вашого комп`ютера самостійно, краще зверніться за допомогою до фахівця.

Як позбутися від вірусу-здирника

Що робити, якщо вірус-вимагач все-таки потрапив в ваш комп`ютер? По-перше, не варто панікувати. Незважаючи на те, що віруси-вимагачі стрімко еволюціонують, з ними все-таки можна боротися. Потрібно лише взяти себе в руки і вжити низку заходів.
Щоб досягти успіху в боротьбі з вірусом-здирником, потрібно спочатку визначити, який саме гість відвідав вас і ваш комп`ютер.
1. Віруси, що блокують доступ в інтернет. Якщо ви не можете вийти в інтернет або потрапити на більшість сайтів і бачите перед собою банер з вимогою відправити платне SMS, швидше за все, вас відвідав один з цих вірусів: Trojan-Ransom.BAT.Agent.c або Trojan-Ransom.Win32.Digitala (Get Accelerator, Digital Access, Get Access, Download Manager v1.34, Ilite Net Accelerator).
Перший, як видно з назви, має розширення bat. Цей вірус змінює файл Hosts, розташований в кореневому каталозі системного диска (Windows-95/98 / ME) або в папці WindowsSystem32driversetc (Windows NT / 2000 / XP / Vista). Потрібно відкрити цей файл за допомогою будь-якого текстового редактора і видалити всі рядки, крім 127.0.0.1 localhost.
`Відкрийте
Потім провести повне сканування комп`ютера антивірусом. Після перевірки перезавантажте комп`ютер. Проблема повинна зникнути.
Що ж стосується вірусів групи Trojan-Ransom.Win32.Digitala, то тут все набагато складніше. Ці шкідливі програми можуть маскуватися під легальне програмне забезпечення. Вони набагато складніше і вміють ховати себе. Отже, перед вами висить ненависне віконце з вимогою викупу за відновлення працездатності вашого комп`ютера. Мабуть, перше що, можна спробувати зробити для позбавлення від вірусів, які вимагають введення коду активації через відправку смс - це спробувати дізнатися цей самий код. Для цього за допомогою іншого комп`ютера (в крайньому випадку з мобільного телефону) потрібно зайти на сайт одного з виробників антивірусного ПЗ (посилання наведено нижче), на сторінку з сервісом деактивації вірусів-вимагачів:
Сервіс деактивації здирників-блокерів Лабораторії Касперського
http://support.kaspersky.ru/viruses/deblocker
Техпідтримка ESET NOD32: Розблокування Windows
http://esetnod32.ru/.support/winlock/
Dr.Web: Розблокування Windows від Trojan.Winlock
http://drweb.com/unlocker/
Потрібно лише заповнити кілька полів, і система видасть вам код, за допомогою якого ви зможете розблокувати роботу свого комп`ютера. Якщо наданий вам числовий код допоміг, і комп`ютер знову запрацював, не варто зупинятися на досягнутому! Швидше за все, що десь всередині операційної системи залишилися сліди шкідливого вірусу. Вони можуть дати знати про себе трохи пізніше частими збоями роботи, а можливо, і повторної блокуванням. Щоб цього не сталося, рекомендую читачам Мірсоветов перевірити операційну систему за допомогою антивірусу, не забудьте перед цим оновити його бази даних.
Якщо код розблокування не допоміг, можна спробувати вилікувати ваш комп`ютер за допомогою утиліти Digita_Cure (продукт Лабораторії Касперського), спеціально призначеної для лікування вірусів-вимагачів групи Trojan-Ransom.Win32.Digitala, або програми CureIt (продукт Dr.Web), яка виявляє і інші види вірусів. Їх можна завантажити безкоштовно на сайтах цих лабораторій:
утиліта Digita_Cure
Сторінка програми: http://kaspersky.ru/support/viruses/solutions?print=trueqid=208637303
Посилання для скачування: http://kaspersky.ru/support/downloads/utils/digita_cure.zip
утиліта CureIt
Сторінка програми: http://freedrweb.com/cureit/
Посилання для скачування: http://freedrweb.com/download+cureit/gr/
Перед тим, як почати лікування від вірусу, потрібно закрити доступ в інтернет і перезавантажити комп`ютер у безпечному режимі, натиснувши кнопку F8 відразу після включення і вибравши пункт «Завантаження в безпечному режимі». Потім необхідно буде запустити флешку або диск з утилітою Digita_Cure (або CureIt) і провести повну перевірку комп`ютера. Як варіант, можна використовувати знімний вінчестер з альтернативною антивірусною програмою. Після лікування комп`ютер потрібно буде перезавантажити в звичайному режимі. Вірус-вимагачі після цієї процедури повинен бути знищений.
2. Віруси, що блокують браузер. Якщо ви подорожуєте по всесвітній павутині за допомогою оглядача Internet Explorer і, заходячи на будь-який сайт, бачите на екрані банер вельми відвертого змісту, на якому написаний короткий номер і вимога викупу, знайте, у вас в гостях Trojan-Ransom.Win32.Hexzone або Trojan -Ransom.Win32.BHO. Ці віруси не блокують роботу всього комп`ютера, а живуть тільки в браузері.
`Вірус,
Вони використовують механізм надбудов ЗНО (browser helper object). Вирішити проблему можна вручну, використовуючи наступний алгоритм. Відкриваєте Internet Explorer, знаходите пункт меню «Сервис», далі вибираєте пункт «Надбудови» (управління надбудовами)> «Включення і відключення налаштувань». Клікнувши на останній пункт, ви побачите все надбудови, встановлені в браузері. Ваше завдання - перевірити всі надбудови, у яких немає запису в графі «Видавець» або написано «Не перевірено».
`Як
По черзі відключаєте їх, кожен раз запускаючи Internet Explorer заново. Та надбудова, після відключення якої зникне порнобанер, - шкідлива, і її потрібно буде відключити.
Також видалити цей вид вірусів-вимагачів можна за допомогою утиліти AVPTool від Касперського (http://support.kaspersky.ru/viruses/avptool2010?level=2) або CureIT від Dr.Web (http://freedrweb.com/ cureit /).
3. Віруси, що блокують доступ до ОС. Якщо на вашому комп`ютері не починається жодна програма, крім Internet Explorer і Outlook Express, а перед вами віконце з вимогою викупу за відновлення роботи системи, то до вас потрапив вірус, що блокує операційну систему, один з таких - Trojan-Ransom.Win32.Krotten.
`Вірус-вимагач,
Щоб позбавити свій комп`ютер від вірусу-здирника цієї групи можна також звернутися в сервіс безкоштовної розблокування (посилання на сторінки сервісів розблокування були дані вище). Після розблокування не забудьте провести глибоку перевірку комп`ютера ліцензійної антивірусною програмою зі свіжими базами.
У разі невдачі потрібно буде скористатися LiveCD від Dr.Web, призначений для аварійного відновлення системи.
Dr.Web® LiveCD
Сторінка програми: http://freedrweb.com/livecd/
Посилання для скачування образу: ftp://ftp.drweb.com/pub/drweb/livecd/minDrWebLiveCD-5.0.1.iso
Вам потрібно буде завантажити і записати образ на диск, зробивши його завантажувальним (це можна зробити за допомогою програми CDBurnerXP, виставивши при записі опцію «Make disk bootable»). Після чого, задавши в BIOS`е First Boot Device: [CD-ROM], здійснити завантаження комп`ютера з цього диска. LiveCD від Dr.Web вже містить засоби для лікування і видалення вірусів, але в даному випадку шкідлива програма може заважати запуску вбудованих в завантажувальний диск утиліт.
`Dr.Web®
І, скоріше за все, знадобиться допомога інших антивірусних утиліт, записаних на флеш-накопичувач. Їх потрібно буде перейменовувати в «iexplore.exe», після цього їх можна буде запустити. А допомогти можуть такі засоби, як AVPTool від Касперського (опис продукту знаходиться тут http://support.kaspersky.ru/viruses/avptool2010?level=2) або утиліта AVZ (http://z-oleg.com/secur/avz /download.php), правда, для роботи з нею потрібні скрипти. Для їх складання можна звернутися на спеціалізовані форуми, наприклад, VirusInfo. Перш ніж скористатися послугами фахівців форуму, уважно ознайомтеся з правилами, прочитайте FAQ і зареєструйтеся. Вам нададуть скрипт, призначений саме для вашого випадку. Далі від вас знадобиться скопіювати скрипт, в меню програми вибрати «Файл - Виконати скрипт», вставити скрипт у вікно і натиснути «Запустити». Ще раз повторимося: якщо ви не впевнені, що зможете зробити все правильно самі, краще звернутися до фахівця.
Помічено, деякі віруси, які блокують доступ до ресурсів операційної системи, видаляються самі рівно через 2 години після проникнення на комп`ютер. Для позбавлення від вірусу виявляється досить перевести годинник в BIOS`е вперед більш ніж на пару годин. Після перезавантаження вікно з вимогою відправити смс зникає, як і сліди від присутності вірусу. Але тим не менш повна перевірка антивірусом рекомендується, для профілактики.
`Як4. Віруси-шифрувальники. Окреме місце займають віруси, які шифрують дані, що зберігаються на вашому комп`ютері: Trojan-Ransom.Win32.GPCode, Trojan-Ransom.Win32.Encore, Trojan.Ramvicrype. Як правило, страждають файли з розширеннями txt, xls, doc. Дізнатися про те, що ваш комп`ютер заражений, ви зможете, завдяки відсутності доступу до інформації та віконця на робочому столі або текстовому документу, вкладеному в каталог з зашифрованими файлами.
Шифрувальники - мабуть, найстрашніші віруси-вимагачі. Для їх лікування ще зовсім недавно не існувало стандартних методів. Сьогодні лабораторія Dr.Web пропонує утиліти, розроблені спеціально для лікування вірусів цього типу (http://freedrweb.com/aid_admin/). За наведеною посиланням можна завантажити серію утиліт для боротьби з вірусами типу Trojan-Ransom.Win32.Encore. Вони надаються безкоштовно.
Можна також скористатися безкоштовними утилітами PhotoRec (створена Крістофом Греньє, поширюється згідно ліцензії GPL) і StopGpcode2 (продукт Лабораторії Касперського). Інструкція по відновленню файлів з їх допомогою дуже докладно і доступно описується на сторінці сайту securelist.com:
http://securelist.com/ru/viruses/encyclopedia?virusid=313444#doc2
Компанія Symantec розробила утиліту, яка бореться з вірусом-шифрувальником Ramvicrype. Цей вірус шифрує файли в системній папці, привласнюючи їм розширення .vicrypt. Як правило, на комп`ютері, ураженому цим вірусом, не починається жодна програма. Завантажити безкоштовну утиліту Trojan.Ramvicrype Removal Tool можна на офіційному сайті компанії Symantec:
http://symantec.com/en/uk/business/security_response/writeup.jsp?docid=2009-102921-3210-99
Перед запуском антивірусної утиліти від Symantec необхідно закрити всі програми, відключити комп`ютер від мережі. Увага: в інструкції до використання утиліти рекомендується також відключити службу відновлення системи. Після перевірки комп`ютера потрібно зробити перезавантаження і виконати повторну перевірку. Тільки після цих дій слід відновити підключення до мережі і знову включити службу відновлення.

Якщо жоден з наведених вище способів вам не допоміг, доведеться звертатися до фахівців технічної підтримки сайту виробника вашого антивірусного ПО.
На закінчення хотілося б відзначити, що профілактика завжди краще, ніж лікування. Тому завжди дотримуйтесь правил інтернет-безпеки і не економте на захисті свого комп`ютера - користуйтеся ліцензійними антивірусними програмами. І ще, дуже важливі файли найкраще зберігати не тільки на жорсткому диску комп`ютера, але і на будь-якому іншому носії, наприклад, дублювати їх на CD, DVD або флешку.

Увага, тільки СЬОГОДНІ!
Поділитися в соц мережах:
Схожі
» » Як позбутися від вірусів-вимагачів