Восстановление работы ОС после вируса-вымогателя

    Мой лучший друг принёс мне посмотреть нетбук, на котором сурово погуляли вирусы, и попросил помочь почистить систему от зоопарка. Впервые увидел воочию забавную ветку в развитии вредоносного ПО: «вымогатели». Такие программы блокируют часть функций операционной системы и требуют отправить SMS сообщение для получения кода разблокировки. Лечение вышло не совсем тривиальным, и я подумал, что возможно эта история сбережёт кому-нибудь немного нервных клеток. Я постарался приводить ссылки на все сайты и утилиты, которые понадобились в ходе лечения.

    В данном случае, вирус изображал из себя антивирусную программу Internet Security и требовал отправки SMS K207815200 на номер 4460. На сайте Лаборатории Касперского есть страница позволяющая сгенерировать коды ответа «вымогателям»: support.kaspersky.ru/viruses/deblocker

    Страница с подробными рекомендациями по борьбе с вымогателями есть у DrWeb: www.drweb.com/unlocker/index/?lng=ru



    Тем не менее, после введения кода, функции ОС оставались заблокированными, а запуск любой антивирусной программы приводил к мгновенному открытию окна вируса, старательно эмулировавшего работу антивируса:



    Попытки загрузиться в безопасных режимах приводили точно к такому же результату. Также дело осложняло то, что пароли на все учётные записи администраторов были пустые, а вход на компьютер по сети для администраторов с пустым паролем по умолчанию закрыт политикой.
    Пришлось загружаться с USB Flash диска (в нетбуке по определению отсутствует привод для дисков). Самый простой способ сделать загрузочный USB-диск:
    1. Форматируем диск в NTFS
    2. Делаем раздел активным (diskpart -> select disk x -> select partition x -> active)
    3. Используем утилиту \boot\bootsect.exe из дистрибутива Vista/Windows 2008/ Windows 7: bootsect /nt60 X: /mbr
    4. Копируем все файлы дистрибутива (у меня под рукой был дистрибутив Windows 2008) на usb диск. Всё, можно грузиться.

    Так как нам надо не устанавливать ОС, а лечить вирусы, копируем на диск набор бесплатных лечилок (AVZ, CureIt) и вспомогательных утилит (забегая вперёд, мне потребовалась Streams от Марка Руссиновича) и Far. Перезагружаем нетбук, в BIOS выставляем загрузку с USB.

    Загружается программа установки Windows 2008, соглашаемся с выбором языка, Install now и после этого нажимаем Shift+F10. Появляется окно командной строки, из которого мы можем запускать наши антивирусные средства и искать заразу на системном диске. Тут я столкнулся с трудностью, CureIt ронял систему в синий экран смерти с руганью на ошибку работы с NTFS, а AVZ, хотя и отрабатывал, ничего не мог найти. Видимо вирус очень и очень свежий. Единственная зацепка — сообщение AVZ о том что обнаружен исполняемый код в дополнительном NTSF-потоке для одного из файлов в каталоге Windows. Мне это показалось странным и подозрительным, поскольку дополнительные потоки NTFS используются в очень специфических случаях и ничего исполняемого там храниться на нормальных машинах не должно.

    Поэтому пришлось скачать утилиту Streams (http://technet.microsoft.com/en-us/sysinternals/bb897440.aspx) от Марка и удалить этот поток. Размер его составлял 126464 байта, точно также как и dll-файлы которые вирус раскладывал на флеш-диски вставленные в систему.

    После этого я при помощи Far проискал весь системный диск на предмет файлов такого же размера и обнаружил ещё 5 или 6 подозрительных файлов, созданных за последние 2-3 дня. Они точно так же были удалены. После этого CureIt смог отработать (видимо он спотыкался на дополнительных потоках) и успешно вычистил ещё два трояна :)

    После перезагрузки всё заработало, дополнительные прогоны антивирусных сканеров ничего не обнаружили. При помощи AVZ были восстановлены политики, ограничивающие функции ОС. Другу было сделано строгое внушение о том, как важно пользоваться антивирусами, тем более что, есть много бесплатных (Security Essentials, которым я пользуюсь сам на домашних машинах, Avast Home Edition, который мне тоже очень симпатичен.

    Upd: наконец-то дошли руки перенести в тематический блог.
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 33

      0
      сколько не встречался с подобными вирусами — все они стартовали из HKLM/SOFTWARE/Microsoft/Windows/Windows NT/CurrentVersion/Winlogon/Userinit
        +4
        это для них самый удобный способ, заменять експлорер или винлогон собой, тогда «обычный» пользователь не догадается как исправить это,
        для профилактики всем кому ставлю винду настраиваю параметры безопасности целой ветки HKLM/SOFTWARE/Microsoft/Windows/Windows NT/CurrentVersion/Winlogon как READ ONLY
        так же самое делаю для папки %windir%\system32\drivers\etc и риск заразится всякими скучными вирусами по идеи пропадает
          0
          Людей не путайте, если выставить на всю ветку винлогон права только чтение, венда перестаёт грузиться.
            0
            надо ставить права запрета изменения значений только для текущего пользователя и только для ветки Winlogon без подветок
        +1
        Сколько не пытался встретится с подобными вирусами чтобы посмотреть — не встретился… :(
        Зато девушка подцепила такой сегодня, спасибо, как раз собирался лечить :)
          +1
          сегодня качал трейнеры к test drive unlimited и таки нарвался. Если очень хотите, даж могу постараться найти ту самую ссылку )
            +2
            Был бы благодарен, не первый месяц в поисках, а никто из «пациентов» так и не признался где «заболел» :)
              0
              нет, ну бывает же такое) на виртуалке решил пройтись по тем же ссылкам и поставить те же сомнительные проги — и хоть бы хны)
                +1
                Воот примерно тоже самое и у меня… То ли вирусы меня избегают, то ли их на компе уже так много, что они не пускают конкурентов :)))
                  0
                  блин, даже запускал explorer.exe с зараженной системы в виртуалке — один фиг тишина) лан, если все-таки найду, дам знать, а то уже спать пора )
          –3
          А я пользуюсь Process Killer'ом:
          1) Запускаю pkiller.exe
          2) Pамораживаю процесс(ы) вируса
          3) Cмотрю их пути
          4) Убиваю их
          5) Прогоняю систему антивирусами
          6) ???
          7) PROFIT!
          • UFO just landed and posted this here
              –1
              Забыл сразу упомянуть, что против logonui вирусни не спасает.
            –8
            +1 был такой же вирус, 1в1! код сгенерировал с помощью спец. утилиток, которые можно найти в нете.

            >> Попытки загрузиться в безопасных режимах приводили точно к такому же результату
            странно, у меня без проблем грузится safe mod и я мог удалить вирус

            >> Форматируем диск в NTFS
            как по мне, так это _самый_ крайний вариант, форматировать диск…
              +3
              как по мне, так это _самый_ крайний вариант, форматировать диск…

              Под форматированием диска думается имелся ввиду Flash-накопитель :)
                –2
                это я понял ))
                но все равно форматирование должно быть самым крайним в любых случаях )
                  +1
                  Флешка с Fat, Ext, или другими системами в описанном случае не загрузится без дополнительного «шаманства» в виде записывания на нее каких-нибудь загрузчиков :) Да и не думаю, что форматирование какой-нибудь ненужной 4Gb флешки это «самый крайний случай» ;)
            • UFO just landed and posted this here
                +2
                Спасибо! Не догадался :)
                  0
                  вот тут AVZ (с этим вирусом) не прокатывает — как только выделяешь какой-нить объект, в названии которого есть avz (каталог, файл) — комп вырубается мгновенно, меня не спасало даже переименовываение logonui (я так и не понял почему)

                  Я ее вылечел по другому — воспользовался ERD Commander — вручную в реестре нашел все подозрительные места, где он пропислася (помимо классических мест — у него есть своя тулбар в IE и скрипты при логине любого пользователя + впервые созданного — по этом не прокатывает создание чистой учетки (даже гостевой)

                  после всех этих манипуляций умудрился из под органиченной записи запустить таки AVZ (с правами админа) — стало полегче, но все равно система после очистки стала неадекватная (задувается иногда на несоклько секунд) и прочие мелочи — в итоге снес и поставил 7
                  0
                  ооо спасибо за статью :) как раз в пятницу пришёл такой вирус :))

                  кстати год прожил без антивируса, проверял раз в месяц куреитом и чистота, всё думал как люди с касперским цепляют, потом поставил касперского обновил прожил месяца и тут бах эта зараза, пользуюсь ФФ по плохим сайтам не хожу :)

                  слава богу дуал бут и любимя убунту приютила меня :))

                  Из неё снова куреитом сканировал всё. вроде чего-то наудалял dll преимущественно, ребут в венду и снова оно вылазит повторная чистка inf файлов и драйверов в безопасном грузимся, стоит альтернативный таск менеджер, запускается убиваем «лишние процессы» дальше запускается куреИТ но он ничего не видит, запуск АВЗ даёт синий экран.
                    0
                    Я лечил обычно так:
                    1. Найти код в сети.
                    2. Деактивировать вирус.
                    3. Проверить систему CureIt или аналогами.

                    Сколько машин вылечил везде была одна проблема: старые базы антивируса или его отсутствие. Правда одна попалась с DrWeb и его последним обновление, вирус тот же что в топике.
                      +3
                      Был этот у меня вирус.
                      Лечила интересным способом — перевела часы на пару дней назад (до заражения). Система разблокировалась, ну а дальше дело за антивирусниками)
                        0
                        Была подобная проблема, только вымогатель был Download Manager… что то подобное. Избавился просто — откатился до точки восстановления, которая была сделана автоматически несколько часов назад.
                          0
                          К чему такие сложности? Сгенерите код и потом спокойненько дочистите машину.
                          treshyov.habrahabr.ru/blog/80691/#comment_2383965
                            0
                            У меня хавал код исчезал и сразу заного запускался.
                            0
                            И так отдельный топик писать нет желания хотелось бы поделиться своим решением.
                            у меня dualboot стоит убунта. собсвенно виндовс грузится в безопасном режиме и ничего не даёт запустить.

                            Запуск cureit не дал результата нашёл вирусы удалил, но очередная загрузка в венду показывает фигу :)

                            У меня стоит альтернативный таск менеджер от sysinternals штука очень полезная :)

                            И о чудо через меню программы он запускается. он позволяет посмотреть какие файлы использует процесс (процесс вируса виден на глаз, ну либо методом перебора), Вот в этом списке есть файл с альтернативным потоком
                            обознается он примерно так
                            C:\windows\inf\brm****.inf:asdasdfafgDSF_asdfasdf
                            Гружусь снова в убунту удалю данный файл и вот оно счастье. запускается куреит уже из венды, запускается HiJackThis
                            Который снимает блокировку на запрет редактирования реестра. ещё много чего полезного умеет :)
                            Дальше попутка запустить касперского (установленного со свежими базами) не удалась, мол политика безопасности установленная администратором {sdfasd;flkjsdlkrj23453lk4nzsdf}, кстати являюсь единственным пользователем в системе с 11 значным паролем, использую только свежий софт :))

                            в реестре даю поиск по этому самому ключу и вот они политики эти по соседсву удаляю всё, ребут касперский с радостью воскрешается. Зановес
                              0
                              Коллеги, а ни у кого случайно нет ссылки где можно скачать зверя?
                                0
                                Куда тебе выслать? :-)
                                  0
                                  можно в личку
                                0
                                Добавлю свой опыт, по точно такой же твари.

                                Эта штука, пока вы боритесь с ее разблокировкой, ищет на компе FAR и если там есть сохраненные FTP аккаунты, заходит на сервера ищет файлы в именах которых есть слова «main», «news», «catalogue», «index» с расширениями htm, html, php, inc, а так же все без исключений файлы .js и внедряет в конце зашифрованный Javascript код начинающийся с /*LGPL*/. Через него то и происходит заражение и распространение вируса.

                                Во время заражения у меня стоял бесплатный Avira AntiVir Personal он успел выкинуть окно с варнингом о трояне, но тут же видимо был блокирован вирусом, окно пропало и среагировать я не успел. Заразился под Google Chrome. Разблокироваться мне помог сервис докторвеба, главное вбивать код в правильном регистре с большой «К». После разблокировки CureIT и Avira не могли ничего найти, потому что тут же запускался процесс svhost который создавал 99% нагрузку на ЦП. Не стал сильно бороться форматнул диск и переставил систему. Сейчас стоит свежекупленный Avira Premium Security Suite, в его составе есть WebGuard вот он эту штуку точно блокирует, проверил на своих зараженных страницах.
                                  0
                                  Пробовали подбирать код на всех сайтах — не помогает. Заражен этой хренью комп-р друга, который живет в другом городе.
                                    0
                                    мне помог именно сервис от докторвеб, посмотрите нод вроде тоже организовал сервис попробуйте:

                                    esetnod32.ru/support/winlock.php

                                Only users with full accounts can post comments. Log in, please.