Здравствуйте, Дорогие посетители блога WebMasterDima. На связи с Вами как всегда Дмитрий Смирнов, и в данной статье я хочу Вам рассказать о том, что такое баннер вымогатель и как собственно его можно убрать легко и просто.
Баннер вымогатель является очень распространенным типом вирусов в настоящее время. Поймать их очень легко – простой браузинг в интернете уже может привести к получению такого баннера. И нет гарантии, что самый новый платный антивирус с обновленными базами данных его не пропустит. Впрочем, строго говоря, баннеры-вымогатели и не являются вирусами в традиционном понимании этого слова. Это вовсе не бесконтрольно размножающийся программный код, который заражает все новые и новые файлы, модифицирует их содержимое, и передается от машины к машине.
Баннер вымогатель — ВИЧ 2004 — 2010 ГОДОВ!
В таком случае его было бы легко выявить по распространяемой сигнатуре, что обычно и делают антивирусы. Но баннер-вымогатель не такой, он заражает лишь одну, целевую машину (с которой и был осуществлен заход на зараженный сайт). Далее баннер прописывает себя в автозагрузку (это возможно во множестве мест, и делается простой правкой реестра – программный код для такой операции минимален), возможно перед этим еще куда-то себя перемещает (в системный каталог операционной системы, переименовывает), а потом в том же реестре блокирует возможности отключения себя же – запрещает вызов менеджера процессов, редактора реестра, запуск вообще чего угодно. Итог этих операций общеизвестен – на весь экран открывается большой баннер, часто порнографического свойства, или, как вариант, сообщающий об использовании нелицензионной версии Windows, и т. д. Сделать что-либо пользователь не может, все блокировано, а баннер просит отправить SMS (естественно, платное) на определенный короткий номер, будто бы в ответ придет код, который позволит все разблокировать. По некоторым сведениям, только в России миллионы людей действительно слали такие SMS, и большинству из них, конечно же, никакой код не приходил. Конечно, и тут есть исключения, некоторые баннеры и правда работают “честно” – код приходит, и даже один из способов избавиться от баннера – это найти в интернете наиболее часто используемые коды и опробовать их. Но это очень дилетантский способ, обычно обреченный на неудачу. Баннер-вымогатель это обычный программный продукт, легко определяемый в системе “на глаз”, и легко удаляемый. Просто для неподготовленного пользователя его наличие кажется чем-то ужасным – компьютер позволяет лишь ввести код, а после перезагрузки кнопкой Reset все повторяется по новой.
Рассмотрим способы удаления баннеров-вымогателей
Их можно условно разделить на две группы – требующие перезагрузки компьютера и его последующей загрузки с другого носителя (другой жесткий диск, компакт-диск, флешка), и не требующие. Первая группа способов более надежна, так как всегда возможно стечение обстоятельств, когда особенно хорошо написанный баннер не позволяет удалить себя как-то иначе, такого способа просто нет (виноват тут сам пользователь, и есть простые методы предотвращения подобных ситуаций). Лечение производится в общем случае так – компьютер перегружается (кнопкой Reset, обычно другой возможности баннер и не оставляет), загружается с другого носителя, другой операционной системой.
Здесь есть тысячи вариантов – LiveCD с операционными системами на базе разных версий Linux (есть такие решения и от производителей антивирусов, например известного продукта Dr. Weber, специальная утилита на образе диска, скачиваемом с сайта, которая сама удаляет большинство баннеров), на базе “урезанных” Windows XP Embedded, или просто с псевдографическим интерфейсом, позволяющим лишь выбирать что-то для запуска из ряда многих утилит, полезных не только в борьбе с вирусами (Hiren’s Boot CD и др. ). Загрузившись с отдельной операционной системы нужно просканировать зараженный жесткий диск, удалить файл, в котором и хранится баннер, вернуть назад все изменения в реестре. Часто это все делает одна специальная утилита. Можно обойтись и вообще без утилит сканирования, и сделать все даже быстрее вручную, причем зайти с обратной стороны – сперва просмотреть, что же постороннего грузится при старте системы (в большинстве случаев как раз на этом этапе баннер-вымогатель себя и выдаст, в реестре будет видно, что при старте системы грузится какой-то файл с непонятным именем, или из директории типа C:\Documents and Settings\Default User\Local Settings\Temp\). Для этого можно использовать разные программы для просмотра содержимого файлов реестра. Такие существуют даже под MS-DOS. Одной из удобнейших программ такого рода является HiJackThis (под Windows) – она просматривает абсолютно все пути автозагрузки, которые только есть в системе. В выводе этой программы обязательно будет баннер – если он вообще есть. На самом деле баннер вымогатель уже прошедший вирус как и пенентратор!
Ну а дальше все просто – файл удаляется (он бы не дал этого сделать, будучи загруженным – но в данный момент загружена другая операционка, и вредоносная программа ни на что не способна), и компьютер загружается по новой, уже нормально. Если в реестре остались изменения, которые предотвращают запуск диспетчера задач и др., их уже можно легко вернуть назад, хотя бы импортом файлов формата *. reg, которые можно найти в интернете. Запуск самого встроенного редактора реестра возвращается файлом с текстом типа REGEDIT4[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]“DisableRegistryTools”=dword:0
Баннер вымогатель. Борьба с баннером может быть произведена и без наличия специального загрузочного диска. Большинство таких баннеров все изменения вносят только в профиле текущего пользователя, под которым велась работа в момент заражения. И все что нужно – обычная перегрузка, вход под другим пользователем (с административными правами), и нахождение файла баннера, который под другим пользователем и не грузится. Если в конкретной операционной системе есть вообще лишь один пользователь с административными правами, под которым постоянно и ведется работа, и нету никаких других – это грубейший просчет, и такое надо немедленно исправить. Наилучшая практика вообще такая – работать постоянно под пользователем, который административных прав не имеет. А для всего, что требует таких прав, использовать “Запуск от имени…” – для установки нового ПО, и других подобных задач. Это убережет операционную систему не только от баннеров-вымогателей, а и от подавляющего большинства других вирусов, и не будет требовать системных ресурсов для работы. Возможны даже смешные ситуации, в которых сам баннер, или другая вредоносная программа, будут запрашивать запуск от имени администратора для своей установки. Есть еще немало других предупреждающих мер, которые застрахуют систему от заражения чем угодно – регулярное архивирование системных данных, запрет автозапуска дисков, запрет на редактирование веток реестра, отвечающих за автозагрузку, для постоянного пользователя, и многие другие.
Кстати, в частном случае, если зараженным оказался как раз профиль единственного в системе администратора, но присутствует хотя бы один какой-то другой профиль, без административных прав, то можно произвести лечение и из-под него – запустить тот же HiJackThis от имени администратора. Так он и сможет искать по всех ветках реестра без ограничений, и не вызовет запуска баннера. Если зараженный файл нельзя удалить из-под конкретного пользователя – тогда надо запустить с административными правами (“Запуск от имени…”) любой файловый менеджер – Total Commander, Far, и др. , и удалять из него.
Возможна ситуация, когда под рукой нет вообще ничего – никаких загрузочных дисков, ничего вообще. Только “голый” Windows, который вот уже заражен. И в этом случае возможно решение проблемы, тут уже надо использовать огрехи в написании вируса-баннера, которые часто допускаются. Например, баннер может перекрывать не весь экран полностью. Возможен переход на рабочий стол, выбор клавишей Tab “Мой компьютер”, запуск вручную “taskmgr” – и вот уже на экране диспетчер задач, из него уже возможно прибить баннер. Другой вариант решения – запуск хотя бы обычного блокнота (“notepad”, если набирать это вслепую, за баннером), набор там нескольких символов, а затем нажатие Ctrl-Alt-Delete и отправка системы в перезагрузку. Многие процессы закроются (и баннера в том числе) – а вот блокнот спросит, сохранять ли файл. Отменив все на этом этапе перегрузку можно остановить, и дальше уже искать файл баннера. Еще один оригинальный способ (требующий, правда, предварительных действий) – использование встроенного в Windows обработчика многократных нажатий клавиш – “залипаний”.
Как он действует – при пятикратном нажатии любой кнопки выводит окно о залипании клавиш, с запросом о действии. Сам по себе этот обработчик залипаний не особо нужен, а вот если его файл sethc. exe, заменить файлом консоли, C:\Windows\System32\cmd. exe, то можно будет вызывать и командную строку просто пятикратным нажатием Shift, или его-то еще. Вызванная командная строка будет сверху баннера, и из нее можно уже сделать очень многое. Если следовать нескольким простым правилам, которые вообще никак не мешают каждодневной работе – иметь всегда резервный рабочий профиль еще одного пользователя с административными правами, и помнить пароль от него; регулярно делать копии системы (ntbackup. exe); иметь под рукой загрузочные диски с livecd-версией Windows и утилитами для борьбы с вирусами и редактированием файлов реестра, то не только баннеры-вымогатели, но и другие вирусы вряд ли смогут прервать работу за компьютером дольше, чем на пару перегрузок.
Теперь Вы знаете о том, что такое баннер вымогатель! Рекомендую ознакомиться еще со следующей информацией, а именно:
- Почему не стоит создавать сайты на бесплатном хостинге, в том числе на ucoz
- Почему очень прибыльно иметь сайт женской направленности?! О главном!
- Почему ты точно сдашься как блоггер на все 100%! Это не твое чудак!
- Почему я больше не буду создавать и продвигать свои сайты! Правда!
- Прожигаем RSS ленту через FeedBurner. Инструкция по настройке FeedBurner.