Решение предлагалось  сразу  же: заплатить определенную сумму неким доброхотам,  способным вернуть  машину в рабочее состояние. Самое печальное, что такие известия о блокировке системы становились причиной семейных скандалов и прочих неприятных событий. А что прикажете думать супруге пользователя, у которого на мониторе отображается здоровенный баннер с «радостной» вестью о завершении бесплатного просмотра веб-ресурсов гей-направленности. Хотите -- верьте, хотите -- нет, но однажды автор этих строк долго и нудно объяснял супружеской паре реальную причину коматозного состояния компьютера, вызванную одной из разновидностей malware -- так называемыми блокировщиками Windows.

Семейство данных зловредов  велико,  и не все блокировщики напрочь парализовывали работу компьютера -- в некоторых случаях  интернет-соединение  оставалось работоспособным, что позволяло сведущим людям уничтожить врага в течение короткого времени. Что касается содержания баннеров, то, как правило, грозные надписи так или иначе были связаны с порнографической тематикой. Добропорядочные граждане начинали понимать, что дело  нечисто,  и поступали правильно, обращаясь за помощью к специалистам.

Крохотное отступление: в прошлом году автор статьи получил от своей жены e-mail с описанием баннера, вещавшего об использовании якобы контрафактной Windows, и мольбой о помощи. После выполнения простых инструкций вторая половина, далекая от тонкостей инфотехнологий, самостоятельно справилась со зловредом. Дополнительную пикантность ситуации придавало наличие лицензионной версии одного из очень популярных антивирусов.

Некоторые блокировщики уверяли, что компьютер забокирован из-за наличия контрафактного  ПО,  и, увы, в большинстве случаев попадали в цель. Не станем лишний раз говорить о массовости  пиратских сборок Windows и другого ПО, полученного по цене входящего трафика (то бишь даром). В итоге срабатывал  так называемый  метод социальной инженерии, когда наивный пользователь был готов на многое, лишь бы вновь вернуть к жизни свой компьютер.

Для избавления от мытарств бедолагам предлагались различные варианты оплаты в обмен на ключ для разблокировки компьютера: от перечисления нескольких сотен рублей на электронный кошелек платежных систем до отправки  SMS  на короткий номер. Разумеется, расставшись со своими кровными, страдальцы, что называется, оставались с носом, а  кое-кому из них  приходилось дополнительно раскошеливаться на услуги толкового специалиста.

Вы спросите: откуда берется эта зараза? Как правило, из Интернета (реже -- с инфицированных флэшек). Злоумышленники либо заражают веб-ресурсы, либо, применяя упоминавшиеся методы социальной инженерии, заманивают пользователей, страждущих сомнительных развлечений, на специально созданные сайты, а дальше  --  дело техники.

Кстати, в вышеописанном примере с женой автора статьи блокировщик вторгся со страницы весьма почтенной и популярной сетевой библиотеки. Что уж тогда ждать от различных порталов развлечений и варезных сайтов…

Чьи вы, хлопцы, будете? (Особенности национальной блокировки)

Одновременно с распространением блокировщиков поднималась волна праведного народного гнева: дескать, как же так, мы используем легитимный антивирусный пакет, ежечасно загружающий обновленные сигнатуры, а вирус живет и радуется. Дело в том, что базы практически всех антивирусных продуктов зарубежных производителей и знать не знали о блокировщиках, поскольку данные зловреды бушевали в основном только на территории России и стран СНГ. Да, уважаемые читатели, сомнительная честь авторства в этой области malware принадлежит нашим соотечественникам  (впрочем,  история знает и зарубежные аналоги, появившиеся намного раньше «родных»).

Продукты для  безопасности, предлагаемые российскими вендорами,  успешно справлялись с большинством  блокировщиков. Правда,  оставалось одно но: требование отправки  SMS  на короткие номера российских же операторов сотовой связи. В дело пришлось вмешаться правоохранительным органам, которые надавили на мобильных операторов и ликвидировали проблему. Более всего порадовал факт ареста группы злоумышленников, разработавших и блокировщик, и схему оплаты.

Постепенно система оплаты платежей посредством  SMS,  терминалов и платежных систем почти сошла на нет, но вот сами деструктивные файлы и по сию пору ждут простаков на просторах Рунета. Вряд ли законопослушный бюргер усомнится в легитимности  ПО,  установленного на личном  компьютере,  и клюнет на наживку  злоумышленников. А вот многие наши граждане,  прекрасно осознавая происхождение системы и прикладных программ, ничтоже сумняшеся платили оброк вымогателям (об общей сумме материальных отчислений можно только догадываться).

Между тем проблема решается довольно просто. К слову, часть блокировщиков были сделаны настолько топорно, что прекращали свои издевательства после перезагрузки машины (о множестве грамматических ошибок в тексте зловредного сообщения мы промолчим).  Хотя  некоторые разновидности (например, Trojan-Ransom.Win32.MBro, родившийся в мае 2011  г.) оказались  весьма агрессивны, поскольку  заражали  главную загрузочную запись дисков. Как видите, тема борьбы с блокировщиками актуальна и поныне. Так где же вы, воины света?

Если завтра война…

Итак, нам  известны и враг,  и места его дислокации. Осталось познакомиться со способами борьбы с блокировщиками, чтобы в случае «войны» встретить их во всеоружии. Существуют два метода избавления от такой заразы: подбор кода разблокировки и антивирусные сканеры. Коль скоро инфекция отечественного происхождения, будем использовать российские лекарства  (уже упоминалось  о том, что большинство зарубежных антивирусных продуктов, за малым исключением, не знакомы с особенностями национальной блокировки Windows).

Для генерации кода разблокировки рекомендуем  применить онлайн-сервисы.  Один из таких  ресурсов, созданный  ООО «Доктор Веб» (www.drweb.com/unlocker/index/), кроме стандартной версии, предлагает страницу, адаптированную для  КПК. Это  поможет  тогда, когда интернет-соединение  на обычном компьютере не работает. Для начала предлагается самостоятельно указать разновидность блокировщика,  например  Trojan.Winlock.54, после чего сервис мгновенно сгенерирует вожделенный код. Однако зловреды не  склонны  представляться полным именем,  и потому стоит  попробовать идентифицировать заразу по скриншотам, в изобилии представленным на сайте.

Коль скоро блокировщик требует перечислить деньги на банковский счет или телефонный номер, воспользуйтесь формой с полями «Номер» и  «Текст». В  первом поле укажите номер счета или телефона, а второе оставьте пустым. Учтите, что при требовании перевода денег на телефонный  номер  следует обязательно указывать номер в формате 8хххххххххх. Если же от вас требуют отправки  SMS  на короткий номер, то дело еще проще: просто укажите номер и текст сообщения в нужных полях.

Второй  ресурс, принадлежащий  ЗАО «Лаборатория  Касперского»,  располагается по адресам sms.kaspersky.ru и support.kaspersky.ru/viruses/deblocker. Первый вариант поможет сгенерировать код разблокировки, используя номер телефона, указанный злоумышленниками, а второй  наряду с этим  умеет подбирать коды по банковскому счету.

Не всегда онлайн-сервисы дают положительный результат -- в  таком  случае будем бить врага  с помощью ПО. 

Рассмотренные ниже бесплатные антивирусные сканеры состоят из единственного  файла. Они  не требуют установки, но не имеют функции загрузки обновленных антивирусных баз. Дело в том, что самые актуальные сигнатуры «зашиты» в исполняемый файл,  причем  такие сканеры всегда во всеоружии, поскольку обновляются на сервере разработчиков  по нескольку  раз в сутки. Немаловажно и то, что эти сканеры не конфликтуют с уже инсталлированными продуктами для безопасности.

Название программы: G Data FakeAV Cleaner
Производитель: G Data Software
Сайт: https://www.gdata.de/?eID=PushFile&dl=1a60458cc9%3AAFIIDQM%3D
Рейтинг (субъективный) по 10-балльной шкале: 5
Утилита освобождает компьютер от опасной группы вредителей System Tool. Для удаления вредоносного ПО необходимо запустить исполняемый файл с названием svchost.exe. После завершения очистки компьютер нужно перезагрузить.
Название программы: Dr.Web CureIt! 6.0.11
Производитель: ООО «Доктор Веб»
Сайт: www.freedrweb.com/cureit/
Рейтинг (субъективный) по  10-балльной  шкале: 9
Несмотря на замысловатое название, перед нами знакомый многим пользователям сканер по требованию, входящий в коммерческую версию антивируса именитого вендора. По умолчанию предлагается  фукционирование  в усиленном режиме, обеспечивающем работу продукта при полном системном «параличе». Следует учесть, что в таком режиме другие операции с компьютером невозможны. Изначально CureIt! проводит «Быструю проверку» для  контроля  основных системных объектов. Если сканер не нашел malware, не отчаивайтесь -- к вашим услугам «Полная проверка» и «Выборочная» (вряд ли  имеет  смысл тратить время на сканирование всех дисковых разделов, кроме системного).

 

В программных настройках уже включен эвристический анализатор, задействована проверка для всех типов файлов, кроме архивных (на наш взгляд, для экономии времени сканирования). По нашему мнению, на вкладке «Действия» настроек сканера есть смысл выбрать опцию «Удалить» для тех зловредов, что не подлежат лечению (по умолчанию программа перемещает их в карантинную папку). Конечно же, CureIt! справляется не только с блокировщиками: советуем время от времени (так, для профилактики) проверять чистоту «нравов» своей системы. Оценка снижена за необходимость всякий раз заполнять занудливую анкету перед загрузкой приложения.

Название программы: Kaspersky Virus Removal Tool 2011
Производитель: ЗАО «Лаборатория Касперского»
Сайт: support.kaspersky.ru/viruses/avptool2011
Рейтинг (субъективный) по  10-балльной  шкале: 10

Разработчики столь педантичны, что указывают дату и время релиза текущей сборки сканера: из длинного названия файла вида setup_11.0.0.1245.x01_2011_10_26_11_44.exe нетрудно понять, что утилита выпущена в свет 26 октября  сего года  ровно в 11.44. Перед нами самораспаковывающийся архив: при запуске исполняемого файла программные компоненты копируются в системную временную папку, что занимает некоторое время. Рекомендуем не спешить и для начала включить в разделе «Область проверки» программных настроек чекбокс системного раздела. Дело в том, что по умолчанию сканируются только системная память, загрузочные секторы и скрытые объекты автозапуска (блокировщики имеют свойство запускаться при каждом старте Windows).

Для вящей безопасности можете активировать проверку каталога «Мои документы» и содержимого почтового клиента. В разделе «Действия» изначально включен запрос пользовательских действий при обнаружении malware («Запрашивать при обнаружении»). Настоятельно рекомендуем включить опцию «Выполнять действие». В этом случае найденные зловреды будут сначала подвергнуты лечению, а если «медицина» окажется бессильна, то удалены. Проверке подлежат абсолютно все файлы с минимальным уровнем эвристики (можете увеличить степень бдительности анализатора в разделе «Уровень безопасности > Настройка»).

Вместо заключения

Говорят, что самый лучший способ пробудить интерес к чему-либо --запретить его.  Уж сколько раз мы говорили об опасностях, подстерегающих пользователей на веб-ресурсах сомнительного содержания, ан нет, не внемлют. Впрочем, испытать на себе «прелести» блокировщика можно и на легитимных сайтах, зараженных злоумышленниками. Повторим набивший оскомину рецепт: если вы работаете в среде Windows, обязательно используйте комплексный продукт для безопасности  компьютера. Причем  крайне желательно, чтобы этот страж был  получен  от отечественных вендоров. Если же произошло глубокое поражение системы (например, Windows отказывается загружаться), читайте наши рецепты во врезке.

Официальные комментарии разрабочиков антивирусного программного обеспечения по этой теме находятся на диске, прилагаемом к журналу.

На обломках империи
Не нужно паниковать даже  в самых драматичных  случаях, например  при заражении блокировщиком главной загрузочной записи. Система не загружается? Не беда, попробуем уничтожить блокировщиков, загрузившись с аварийных носителей. Для этого вам понадобится либо другой компьютер с работающим  интернет-соединением,  либо заранее припасенные продукты (понятно, что второй вариант куда проще).
Так, можете воспользоваться бесплатным диском аварийного восстановления системы Dr.Web LiveCD (www.freedrweb.com/livecd/). Загруженный ISO-файл (178 Мбайт) следует прожечь на CD и загрузиться с него. После загрузки вам предложат выбрать язык интерфейса, графический или консольный режим работы, а также настройку сетевого соединения (увы, беспроводные адаптеры не поддерживаются).  Затем  не забудьте загрузить обновленные сигнатуры и начинайте сканирование. Для создания загрузочного USB-носителя предлагается специальная утилита. Приложение базируется на Linux.
Второй вариант -- Kaspersky WindowsUnlocker, входящий в поставку Kaspersky Rescue Disk (support.kaspersky.ru/viruses/solutions?qid=208641245, 196 Мбайт). В отличие от предыдущего продукта, это решение позволит создать загрузочный USB-носитель в среде Windows и поддерживает беспроводные адаптеры, что даст возможность загружать обновления антивирусных баз  посредством  Wi-Fi-подключения. После загрузки и подключения к сети используйте для запуска Kaspersky WindowsUnlocker одноименный пункт в системном меню (аварийный диск базируется на Gentoo Linux).
Нам трудно поверить в то, что все перечисленные методы окажутся бесполезными. Гораздо чаще пользователи сталкиваются с ситуацией, когда после уничтожения блокировщиков  интернет-соединение  не работает. На наш взгляд, в 99% случаев причина кроется в паразитных записях файла hosts, располагающегося в папке WINDOWS\system32\drivers\etc (для просмотра содержимого файла достаточно системного «Блокнота»). По умолчанию файл содержит единственную запись: 127.0.0.1 localhost.
Продвинутые граждане вносят свои записи для пользы дела, но если вы далеки от подобных тонкостей, знайте: другие  строки,  кроме  упомянутой,  вносятся вредоносными программами. Практически все перечисленные выше приложения успешно определяют наличие модификаций в HOSTS, тем не  менее  вы можете удалить паразитные записи вручную или воспользоваться удобным инструментом «Менеджер файла HOSTS»,  входящим  в поставку небольшой антивирусной утилиты AVZ 4.37 (www.z-oleg.com).