Этот пост про идею или проект, который в большом количестве случаев поможет быстро побороть Trojan.Winlock или просто винлокер. К сожалению, у меня нет необходимого опыта создания приложений, но я надеюсь, что среди читателей Хабра найдется желающий воплотить проект в жизнь.
Основная проблема избавления от зловредного окошка — это получение доступа к файловой системе и реестру заражённой машины. Дальше понятно: с помощью Autoruns Руссиновича анализируем реестр, находим, где прячется зараза, и удаляем её файлы, восстанавливая при необходимости заменённые системные файлы и ключи реестра. Но как всё-таки вернуть доступ?
В лёгком случае помогает ключ разблокировки, который можно найти на антивирусных сайтах. Иногда можно вызвать экранную лупу и через неё добраться до браузера и файловой системы, это тоже известный способ. Но в последних версиях локера эти способы не работают.
Тогда приходится загружаться с диска Windows Live CD или подключать заражённый жёсткий диск к другому компьютеру. Это долго и муторно: лайв сиди может не увидеть SATA-диск из-за отсутствия драйверов, на нём может не быть необходимых утилит, той же Autoruns.
Другой компьютер тоже не всегда под рукой. Хочется получить доступ быстро и без усилий.
Идея такова: создать флешку, которая при подключении к компу убивала бы процесс винлокера.
Программу, убивающую процесс, нужно прописать в autorun.inf на флешке, чтобы она запускалась при подключении к заражённому компьютеру.
Как определить, какой процесс нужно грохнуть? Нужно составить и зашить в программу список системных процессов, без которых виндоус работать не сможет, и грохнуть все остальные.
Затем надо проверить, запущен ли explorer.exe, так как часто локеры заменяют ключ реестра Shell на свой исполняемый файл. Если такого процесса нет, запустить.
Итог. Программа должна получить список запущенных процессов, выбрать из них те, которые необходимы для работы виндоуса, и завершить все остальные, среди которых будет и зловред. Далее при необходимости запустить explorer.exe.
Со стороны будет выглядеть очень эффектно: вставляем флешку, бац — локер исчез.
Недостаток идеи в том, что на компьютере может быть отключен автозапуск. Но если пользователь словил трояна, то с большой вероятностью он не заморачивается такими вещами, как отключение автозапуска.
Развитие идеи расскажите в комментариях.
Основная проблема избавления от зловредного окошка — это получение доступа к файловой системе и реестру заражённой машины. Дальше понятно: с помощью Autoruns Руссиновича анализируем реестр, находим, где прячется зараза, и удаляем её файлы, восстанавливая при необходимости заменённые системные файлы и ключи реестра. Но как всё-таки вернуть доступ?
В лёгком случае помогает ключ разблокировки, который можно найти на антивирусных сайтах. Иногда можно вызвать экранную лупу и через неё добраться до браузера и файловой системы, это тоже известный способ. Но в последних версиях локера эти способы не работают.
Тогда приходится загружаться с диска Windows Live CD или подключать заражённый жёсткий диск к другому компьютеру. Это долго и муторно: лайв сиди может не увидеть SATA-диск из-за отсутствия драйверов, на нём может не быть необходимых утилит, той же Autoruns.
Другой компьютер тоже не всегда под рукой. Хочется получить доступ быстро и без усилий.
Идея такова: создать флешку, которая при подключении к компу убивала бы процесс винлокера.
Программу, убивающую процесс, нужно прописать в autorun.inf на флешке, чтобы она запускалась при подключении к заражённому компьютеру.
Как определить, какой процесс нужно грохнуть? Нужно составить и зашить в программу список системных процессов, без которых виндоус работать не сможет, и грохнуть все остальные.
Затем надо проверить, запущен ли explorer.exe, так как часто локеры заменяют ключ реестра Shell на свой исполняемый файл. Если такого процесса нет, запустить.
Итог. Программа должна получить список запущенных процессов, выбрать из них те, которые необходимы для работы виндоуса, и завершить все остальные, среди которых будет и зловред. Далее при необходимости запустить explorer.exe.
Со стороны будет выглядеть очень эффектно: вставляем флешку, бац — локер исчез.
Недостаток идеи в том, что на компьютере может быть отключен автозапуск. Но если пользователь словил трояна, то с большой вероятностью он не заморачивается такими вещами, как отключение автозапуска.
Развитие идеи расскажите в комментариях.