Hi-Tech → Заблокированные Windows'ы

Заблокированные Windows'ы


Windows заблокирован
Конец 2009 и начало 2010 года для многих пользователей Windows ознаменовались появлением на их компьютерах сообщений, аналогичных приведенному выше на картинке. Текст и изображение в окне могут быть самыми разнообразными (например, сообщение о нарушении лицензии какой-либо программы или порно-баннер), но смысл всегда один: чтобы "разблокировать компьютер", требуется отправить смс на некий короткий номер, указав в сообщении указанный текст. При этом баннер занимает почти всю площадь рабочего стола и всегда оказывается расположенным поверх всех окон, что делает практически невозможным использование компьютера.


*****


Хотя сам уже довольно давно пользуюсь Ubuntu/Debian на домашнем компьютере, с проблемой "блокировки Windows" за прошедшую неделю пришлось столкнуться несколько раз: каждый день "новогодней" недели ознаменовывался разблокированием очередного компьютера друзей/родственников/знакомых/etc. Даже за несколько часов до наступления нового года довелось консультировать по телефону очередного "заблокированного" =)
В данном посте постараюсь собрать ссылки на ресурсы, способные помочь в решении проблемы, и кратко описать последовательность действий.

Появление баннера (или окна) с предложением отправить смс куда-либо является следствием работы на компьютере так называемого "троянского вымогателя". Краткую историю развития подобных "зловредов" можно посмотреть на VirusInfo. Цитата оттуда:

Троянский вымогатель (Trojan-Ransom) - вредоносная программа, нарушающая целостность пользовательских файлов, работоспособность отдельного программного обеспечения или операционной системы в целом, и требующая от пользователя заплатить за восстановление нарушенного функционала или поврежденных файлов.


При заражении помимо появления баннера чаще всего блокируется запуск "Диспетчера задач" (Ctrl+Shift-Esc), некоторых программ (например, браузера), становится невозможной загрузка Windows в "Безопасном режиме" (F8 при загрузке). Возможны и другие деструктивные действия.
Судя по обсуждениям в Интернете и личному опыту борьбы с "вымогателями", какого-либо единого алгоритма избавления Windows от подобного недуга не существует. Все зависит от конкретного Trojan-Ransom'а. Но можно попробовать следующую последовательность действий.

1. Прежде всего, не следует никуда отправлять смс. Стоимость сообщений на короткие номера может достигать нескольких сотен рублей, да и не факт, что отправка сообщения поможет "разблокировать компьютер".
2. Если на зараженном компьютере нет возможности запустить браузер ("выйти в Интернет"), то потребуется другой "здоровый" компьютер с возможностью выхода в Сеть (обращаемся к друзьям/знакомым/etc, можно попробовать использовать телефон или КПК для подключения).
3. Попав каким-либо способом в Интернет, пробуем подобрать код разблокировки, используя сервисы от Dr. Web http://news.drweb.com/show/?i=304
или "Лаборатории Касперского"http://virusinfo.info/deblocker/. Там потребуется указать номер для отправки и текст сообщения, отправки которого добивается от Вас "зловред". После ввода этих данных Вам будет сгенерирован код разблокировки, который следует ввести в окне "блокировщика". Если после ввода кода Вас снова просят отправить смс куда-либо, то повторяем операцию. Чаще всего после ввода 1-2 кодов баннер исчезает.
4. Теперь остается удалить из системы остатки трояна. Для этого используем CureIT http://www.freedrweb.com/download+cureit/, AVPTool http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/ или AVZ http://z-oleg.com/avz4.zip. Желательно провести полную проверку, загрузив Windows в "Безопасном режиме", выключив установленный антивирус и отключившись от Сети.
Как-то сложилось, что мне сподручнее использовать именно CureIT:
Dr. Web CureIT

Если не помогло, то остается попробовать провести полную проверку компьютера на вирусы с использованием какого-либо LiveCD, например, Dr. Web LiveCD (Документация).
В особо тяжелых случаях имеет смысл обратиться за помощью на специализированные ресурсы в Интернет (например, VirusInfo, Dr. Web).

Приведенных выше ссылок на полезные ресурсы и программы, надеюсь, должно хватить для борьбы с большинством "вымогателей" собственными силами. Теоретически также можно попробовать выяснить, кому принадлежит короткий номер для отправки смс, и обратиться в службу поддержки оператора связи, но на практике пока не довелось оценить эффективность такого подхода. Списки контент-провайдеров (т.е. тех, кто предоставляет какие-либо услуги за смс-оплату) можно найти в Сети например, некоторые указаны на сайте "Мегафон-Москва". Довольно интересная статья на тему коротких номеров.
Еще несколько ссылок: обсуждение сервисов "разблокировки" на Хабре, тема на ixbt, пример кода "вымогателя".

Судя по обсуждениям в Сети, заражению Trojan-Ransom'ом может подвергнуться любой компьютер с (лицензионной) Windows XP/Vista/7, подключенный к Интернет, даже с установленным (лицензионным) антивирусом/фаерволом. При этом заражение часто происходит при попытке установить какое-либо ПО (например, видео/flash-плеер) при просмотре сайтов порнографического содержания или ресурсов с мультимедийным контентом.
Однако, не стоит думать, что раз не спасает ни лицензионное ПО, ни постоянно обновляющийся антивирус, то и смысла их использовать нет (часто встречается такое мнение). Новые трояны довольно быстро попадают в базы известных антивирусов, а своевременное обновление ОС позволяет избавиться от известных проблем с безопасностью. Так что компьютер с Windows, на которую установлены все последние обновления, и с актуальным антивирусом представляется все же более защищенным. Например, на всех "заблокированных" компьютерах, с которыми пришлось столкнуться за неделю, была установлена пиратская версия Windows XP с отключенной функцией автоматического обновления, при этом антивирусы на пострадавших компьютерах были самыми разнообразными. В тоже время, пара компьютеров с лицензионной и обновляющейся Windows Vista стойко пережили эпидемию. Во всяком случае пока. Но это так...для статистики =)
Вывод стандартный: своевременно обновляем Windows и антивирус, используем "нормальный" браузер (например, не в обиду IE), поменьше посещаем "нехорошие" сайты и не устанавливаем подозрительные плееры/менеджеры загрузок/etc. Все это, теоретически, снижает риск увидеть "Ваш компьютер заблокирован. Отправьте смс с кодом XXXXXXX на номер XXXX для разблокировки". Как вариант - используем другую ОС =)

P.S. "Вымогатели" очень сильно надоели в праздники, поэтому и был сочинен этот пост. Теперь друзьям/знакомым можно дать ссылку на него и продолжать отмечать Новый Год/Рождество.
P.P.S. Ни разу не пытаюсь рекламировать ни продукцию "Dr. Web", ни "Лаборатории Касперского", ни чего-либо еще. Ссылки на сайты этих компаний приведены, так как они наиболее популярны и удобны для использования.


http://www.mixali4.org.ru/2010/01/zablokirovannye-windowsy.html