Заблокирован Windows (Trojan.Winlock, etc...)

[Obivan]

by cinder
Обзор темы, все полезные ссылки собраны здесь

Часть первая. Онлайн

Сервис деактивации вымогателей-блокеров
http://virusinfo.info/deblocker/

разблокировщик Dr.Web от Trojan.Winlock
http://www.drweb.com/unlocker/index/

разблокировщик от Касперского
http://support.kaspersky.ru/viruses/deblocker

Сервис по разблокировке от ESET
http://esetnod32.ru/support/winlock.php

Часть вторая. Оффлайн

Ransom Hide - утилита для подбора кода разблокировки
http://www.nowa.cc/showthread.php?t=262083
http://mbty2010.narod.ru/

F.A.Q. Злобный троян-вымогатель «Windows заблокирован, пошлите смс на номер…. http://www.nowa.cc/showpost.php?p=3605040&postcount=9

Восстановление userinit.exe /StayeR/
Подробнее

1. Заводим установочный диск с виндой. Винда должна быть ОБЫЧНАЯ, БЕЗ автоустановки.
2. В самом первом меню жмем "R" для запуска консоли восстановления.
3. Входим в нужную нам копию Windows, вводим пароль администратора, если такового нет - просто Enter.
4. Появится командная строка с буквой диска и путем с Windows. Запоминаем, а лучше записываем этот путь. (По умолчанию C:\windows)
5. Вводим команду map src - получаем все буквы дисков. Нас интересует CdRom. Вид такой: D: \Device\CdRom0. (По умолчанию d: )
6. Вводим букву + : (напр. D: )
7. Заходим в папку i386, для этого пишем cd i386\
8. Финальная команда EXPAND userinit.ex_ пробел и указываем путь к папке windows, который мы записывали в пункте 4 ПРИБАВЛЯЯ в конце system32\userinit.exe т.е команда по умолчанию выглядит так : expand userinit.ex_ C:\windows\system32\userinit.exe
9. Перезагружаем машину - пишем Exit.

Если же имеем неправильную строку в реестре, то тут нужно завести LiveCD, в котором есть возможность редактировать удаленный реестр. Я для этого использую Live iNFRA CD. Там все просто - цепляемся к удал. реестру исправляем ключ Userinit и в путь...

Также

Специалист ЛК учит бороться с вирусом-шантажистом
http://www.securitylab.ru/news/378527.php

Главное антивирусное средство - голова!
http://habrahabr.ru/blogs/i_am_clever/56923/

Если имеется стойкое желание дать по рогам авторам вирусов-вымогателей, то читайте
Как нахлобучить SMS-мошенников?
http://pazzive.livejournal.com/188661.html

[VladimirLaw]

Поймал эту заразу при живом антивире. Откатился на пару дней назад с помощью резервной копии системы. Помогает установка безопасности в IE на самый высокий уровень. Червяк при этом не скачивается.

[StayeR]

Цитата: Сообщение от AndreyWM Какие именно? Сегодня к примеру, был еще один клиент, с Black Screen of Dead Не стал возиться, некогда было, откатил винду и запустил NOD32. В этот раз он выловил это Windows\System32\djlib.dll.

Подтверждаю, вчера видел еще одну разновидность вируса! После лечения был обнаружен вышеуказанный файл: Windows\System32\djlib.dll.
Вирус выглядит так: КРАСНОЕ окно, на черном фоне, SMS текст K2590620002 на номер 3649. Прячется во временные файлы C:\documents and settings\*имя пользователя*\temp\
Имена случайные, но начинаются на DON*.tmp. Прописывается в Userinit.
Вылечил хитро - без Live CD. Запустил экранную лупу, через нее открыл Internet explorer, затем запустил Explorer, затем диспетчер задач, ну а дальше все просто: очистка Temp, редактирование реестра. Готово!
P.S: Не помню какая комбинация запускает экранную лупу, просто зажимал клавишу Windows+ поочереди все клавиши на клавиатуре...

[zanoza]

Этот вирус самоуничтожается через 2 часа , если оставить включенным комп с этим окном. А решение очень простое : Здесь генератор активационного кода

[StayeR]

zanoza,
Это применимо только к первой модификации вируса... К остальным уже не подходит...

[zanoza]

StayeR, позавчера решала эту проблему у знакомого.

[StayeR]

zanoza, Какой текст сообщения нужно было отправить?
В самой первой модификации: ТОЛЬКО цифры - тут помогает генератор,
Вторая модификация: в самом начале идет буква t - генератор не помогает...
3 модификация : в самом начале идет буква k - генератор тоже не помогает!

[zanoza]

StayeR, там начиналось именно с буквы k .

Цитата: Вирус выглядит так: КРАСНОЕ окно, на черном фоне, SMS текст K2590620002 на номер 3649

В поле "Текст для SMS:" вбила kXXXXXXX.... ( Х - цифры ) и получила код активации , который благополучно подошел. Может на сайте Dr.Web уже подкорректировали генератор ?

[StayeR]

zanoza, Странно... Но возможно... А может красное, наоборот одна из первых версий... На сколько знаю ТОЧНО - не помогает генератор в "черной версии"(Код с буквы T и идет таймер на 3 часа) - проверял лично...

[AndreyWM]

Чудеса. Говорю со слов клиентки. Вчера было черное окно с таймером, сегодня при загрузке вылезло красное и без таймера. К сожалению генератор проверить не смог, клиентка попросила просто переустановить систему т.к. она давно у нее глючила. Эпидемия приобретает массовый характер

[StayeR]

У меня подобное было... Так же со слов клиентки. Типа сначала было на синем фоне, на следующий день - черный фон с таймером... Удивляюсь, как такое возможно!?
Вирус по большому счету - туповат... Не думаю что за своим занавесом, он соединяется с Internet и обновляется...

[viur]

В пятницу лечил один комп от этой дряни. В понедельник было все ОК, а сегодня включили комп, а там красная заставка. Опять надо ехать лечить. Из антивирусников установлен Symantec Endpoint, который обновляется каждый день. Есть соображения по недопущению заражения, а то руками все почистишь, а антивирусники опять пропустят.

[Deementor]

Цитата: Есть соображения по недопущению заражения, а то руками все почистишь, а антивирусники опять пропустят.

Есть конечно, но подойдут ли они твоему клиенту:
Я так полагаю, что вирус использует уязвимость двух видов. Критические уязвимости в windows и уязвимости в интернет браузерах. По этому, рекомендую поставить Pre-SP4

Код:

http://rapidshare.com/files/223253403/windows-xp-pre-sp4-9.3.13.rar

Уязвимости в браузерах закрыть по сложнее будет, но как показывает практика, большинство сплоитов и подобных им, при удаленной атаке, загружаются на машину посредством JS. Что естественно.
В таком случае я рекомендую использовать блокировку JS. На практике, эффективнее всего использовать связку:
Firefox+плагин NoScript+плагин UserAgentSwitcher /с настройкой под несуществующий браузер (некоторые боты целенаправленно загружаются на машины с определенными версиями браузеров)
Антивирус любой из разряда "Top" На мой взгляд не хуже справляется и Eset Smart Security 3.0. . .

Останется только убедить клиента использовать это, а самое главное обучить правильно пользоваться и вообще пользоваться. Особенно в NoScript не разрешать все подряд.

Ради примера опробовал работу NoScript на:

Цитата: Включите картинки в браузере, так красивее Открывшийся недавно сайт StartPanic красиво и убедительно "доказывает", что разработчики веб-браузеров прикладывают недостаточно усилий для обеспечения конфиденциальности пользователей. Любому желающему предлагается нажать на кнопку и максимум через пару минут получить список посещённых при помощи текущего браузера сайтов. StartPanic предлагает тут же, убедившись в правильности списка, сообщить об этом своим друзьям и подписать петицию к разработчикам наиболее популярных браузеров. "Данная петиция содержит требование разработать патч для повышения конфиденциальности при пользовании веб-браузерами и будет адресована четырем наиболее крупным компаниям-разработчикам — Mozilla Corp., Apple inc., Microsoft Corp. и Opera Software ASA, — сообщается на главной странице сайта. — Присоединяйтесь к нам ради безопасного Интернета!" Отметим, что данная система действует даже в тех веб-обозревателях, разработчики которых в петиции не упомянуты. Создатели StartPanic уверяют, что при составлении списка не производится взлом или повреждение компьютера или браузера, а используются "имеющиеся возможности браузеров". Детали не раскрываются, однако можно с высокой долей вероятности предположить, что StartPanic действует по принципу, освещённому в 2006 году специалистом по безопасности Джеремией Гроссманом (Jeremiah Grossman). Причём, судя по всему, Гроссман также не был первым, а реализовать этот принцип можно как с помощью javascript, так и без него. Смысл в том, чтобы в цикле "скармливать" браузеру скрытый фрейм с адресами из достаточно большого списка. Отлавливаются лишь те адреса, которые браузер отображает другим цветом — как посещённые ранее. Разумеется, часть страниц, которые вы посещали с помощью данного браузера, такой алгоритм не выявит, однако при наличии достаточно большой базы адресов результат может быть весьма впечатляющим. StartPanic использует список из 83 тысяч адресов с небольшим. Петицию на данный момент подписало около 2300 человек. Трудно сказать, будет ли она отправлена разработчикам браузеров, как обещается. Но даже если и будет, вряд ли те отреагируют на неё внесением изменений в свои программы.

[Monstrik80]

Вот здесь есть статья, где подробно расписано как побороть эту заразу без спец средств:
http://www.securitylab.ru/news/378527.php

На работе пару раз уже сталкивались с этим
EXE прячуться в папках Temp или временных папках интернета.

[StayeR]

Monstrik80,
Именно об этом способе я писал в посте 33:

Цитата: Вылечил хитро - без Live CD. Запустил экранную лупу, через нее открыл Internet explorer, затем запустил Explorer, затем диспетчер задач, ну а дальше все просто: очистка Temp, редактирование реестра. Готово! P.S: Не помню какая комбинация запускает экранную лупу, просто зажимал клавишу Windows+ поочереди все клавиши на клавиатуре...

Лупа запускается Win+U

[viur]

Цитата: Сообщение от Deementor Я так полагаю, что вирус использует уязвимость двух видов. Критические уязвимости в windows и уязвимости в интернет браузерах. По этому, рекомендую поставить Pre-SP4

Компьютер повторно заразился этой дрянью с установленным Pre-SP4. Плюс еще трояны имелись. Антивирусные сканеры троянов не замечают даже при запуске их из под LiveCD. Немного помогает Trojan Remover. Я заметил, что в этом году производители вирусов явно превосходят производителей антивирусников, был случай когда на зараженном компе я последовательно запускал Avast, CureIT, Trojan Remover и каждый находил какие-то трояны, которые пропускал предыдущий антивирусник.