Как проверить файл на винлокер

Обновлено: 06.07.2024

Добавлено через 2 минуты

BSE, WestGott

Условия задачи: юзерский комп, на нём винлокер. Так понятно?

Добавлено через 5 минут

Мне чаще всего помогала экранная лупа. Win+U => Экранная лупа => Веб.узел Майкрософт => Браузер => Файл => Работать автономно, далее по вкусу (мне по вкусу AVZ).

Ariny
Я с Winlock'ером ещё ни разу не встречался.
Но тонкие методы не по мне, если у юзера есть образ (который был создан мной же заблаговременно), то убью образом.
Если нет, то загружусь с Live CD Касперского, обновлю ему базы с флэшки и устрою зачистку диска C:.
Если это не поможет, тогда Format C: и установка Windows заново.

С вирусами у меня церемониться не принято

__________________
Нормальные герои всегда идут в обход. (c) Бармалей

Ariny
Образом эта штуковина убивается гарантированно
При помощи Format C: с переустановкой Windows тоже гарантированно убивается, но это радикальный метод и требует много времени.

Антивирусный Live CD может помочь, а может и нет, всё зависит сможет ли данный антивирус в данный момент времени распознать Winlocker'а у и вылечить от него.

Без переустановки можно попробовать грузануться с ERD Commander и посмотреть, кусты автозагрузки реестра на предмет "криминала".

И ещё, на сколько Winlocker блокирует винду?

Вызов диспетчера задач Ctrl + Shift + Esc работает?
А то может и ERD не нужен, открыл диспетчер, посмотрел процессы, нашёл подозрительный, убил его, потом запустил msconfig, нашёл ссылку на процесс в автозагрузке убил её, нашёл файл на винте и удалил.

__________________
Нормальные герои всегда идут в обход. (c) Бармалей WestGott
Дважды эх.
Давай ещё раз? Юзерский компьютер с винлокером, образов нету, формат-це крайне нежелателен.
Антивирусный Live CD не поможет ибо унлокеры от дяди Жени и Игоря Данилова не работают Опять же, зависит от локера, чаще нет, чем да, а вот экранная лупа работает почти всегда.

Ariny
Winlocker - это подвид вируса, в общем плане методы лечения вирусов похожи, вирусы я у нерадивых юзеров выкорчёвывал, так что считаю, что могу давать советы, в меру своих скромных познаний

Добавлено через 1 минуту

Опять же, зависит от локера, чаще нет, чем да, а вот экранная лупа работает почти всегда.

Ariny
А ERD Commander работает всегда, если в компе есть CD/DVD-привод и он исправен

Кстати а как насчёт комбинации клавиш Win + R?
Если работает, то набрав в появившемся окошке taskmgr и нажав Enter мы попадём в диспетчер задач, если Locker конечно даст его запустить.

Добавлено через 7 минут

унлокеры от дяди Жени и Игоря Данилова не работают Ariny
Кстати Unlocker'ы могут и не работать, а в базах сигнатурки на исполняемый файл Locker'а могут и оказаться, так что я бы скан с антивирусных Live CD со счетов не сбрасывал бы. __________________
Нормальные герои всегда идут в обход. (c) Бармалей Последний раз редактировалось WestGott; 25.05.2010 в 23:48 . WestGott
не встретив винлока или хотя бы не почитав об их поведении, довольно нелепо рассуждать о чём либо тут. __________________
Опытный шаман вылечит вашего электронного друга: танцы с бубном, снятие порчи и сглаза, заговор микросхем. Это не вирусы. Юзеры их сами устанавливают. Ты, действительно, почитай сначала о них что-нибудь.

Freeuse
Я против вирусов без "оружия" не хожу.
Cтандартный комплект, это флэшка со свежими базами на Веба и Каспера, с консольной версией Dr. Web, Live CD Касперского, ERD Commander, кроме того Boot CD с Ghost ну и загрузочный дистриб Windows. Всего этого, как правило хватает, чтобы извести любой вирус.

Разумеется я в магазин с LiveCD не хожу. Диспетчер задач блокирован, сайт доктора код не знает. Точно не вспомню, какой файл, но сидел он в System32, вычислил по дате создания. Кстати, в автозагрузке на него ссылки почему-то не было (в реестре была).

Изумительно, а как же был запущен regedit, а также файловый менеджер или на крайняк консоль (cmd.exe)?

В январские каникулы целая эпидемия этой гадости была.

На личных компьютерах у меня эпидемий не бывает, потому что организована продуманная антивирусная оборона, поэтому меня не беспокоят не Winlocker'ы не Kido не MS-Blast и прочия.

Ariny
Чем это принципиально отличается от открытия почтового вложения с exe-файлом замаскированным под картинку?

Вирус - это общее название для всех вредоносных программ.
А уж тонкости классификации в виде локеры, черви, трояны, собственно вирусы (те которые запускные файлы поражают и коих сейчас мало), руткиты и прочие - всю эту разношёрстную публику в общем называют вирусами, так что тонкости классификации тут ни к чему.

Любая вредоносная программа - это программа.
И первое что она должна себе обеспечить - это загрузку и выполнение при старте системы, для этого все используют несколько механизмов, помещение исполняемого файла в автозагрузку, помещение ссылок в кусты реестра автозагрузки, подмена или внедрение в исполняемые файлы, которые загружаются системой автоматически.

И если Winlock'ер или вирус накрепко блокировал систему, что хоткеи не работают и другие приложения никак не запустить, то первое что можно попробовать в этом случае это в начале загрузки винды нажать F8 и попытаться загрузить винду в безопасном режиме, если в графическом безопасном тоже всё блокировано, то попробовать безопасный режим с командной строкой, ну а если и оттуда ничего нельзя сделать, то остаётся ERD Commander и из него уже копать. Но до него всё-таки лучше попробовать просканировать системный раздел с антивирусного Live CD.

Каждый из нас сталкивался со всяческими СМС-блокерами, если не у себя на компьютере, то на машинах друзей. Такие штуки трудно назвать вирусами, но они тоже доставляют немало хлопот. Сегодня мы попробуем изучить приемчики кибер-мошенников, которыми они пользуются для отъема у населения честно заработанных денег.

Закрепление в системе

Представим, что злая малварь уже проникла в систему. Наивный пользователь скачал и запустил вредоносный exe’шник, который в первую очередь должен обеспечить себе «нормальную» работу. Для этого программа должна прописать себя в автозагрузку вместе с Windows. Многие прекрасно знают, что и где отвечает за запуск программ сразу после старта нашей любимой ОС, но я все-таки еще раз перечислю возможные варианты.

Существуют три основных места для авторана: системный реестр, системные файлы со списком загружаемых программ и специальные папки автозагрузки. Начнем в обратном порядке.

Папки автозагрузки известны любому пользователю. Все их содержимое можно увидеть в главном меню Windows, физически же они располагаются в профилях пользователей, например, C:Documents and SettingsadminГлавное меню ПрограммыАвтозагрузка. Разумеется, вместо admin, можно подставить «All Users или Default User».

В папки автозагрузки можно поместить как сам исполняемый файл, например, с помощью API-функции CopyFile, так и ярлык на него.

Всяческие вредоносные штуки редко используют это место для своего запуска, поскольку даже малоопытные юзеры могут обнаружить посторонние файлы в этих директориях. Тем не менее, как дополнительная гарантия своего успешного старта это место вполне сгодиться, так что не следует обходить его стороной при поиске малвари на зараженном компьютере.


уникальноеимя=путьк драйверу». Здесь зловреды уже любят следить гораздо больше, чем в папках автозагрузки. Но лидером среди самых популярных мест для авторана является реестр Windows.

Помимо всем известных ключей HKEY_CURRENT_USER SoftwareMicrosoftWindowsCurrentVersionRun и HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRun с их братьями для одноразового запуска RunOnce, существует еще множество всяких веток реестра, из которых может стартовать программа.

Например, если ты пользуешься IE, и он вдруг начал вести себя странно (показывает голых тетенек или открывает странные сайты), то стоит заглянуть сюда:

HKEY_CURRENT_USERSoftware MicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects.

HKEY_LOCAL_MACHINESoftware MicrosoftWindows NTCurrentVersionWinlogon Userinit,

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersion WinlogonNotify.

Эти ветки реестра позволяют запустить разнообразные исполняемые файлы (обычные exe, программы, сервисы или dll).

Кстати, последний ключик подгружает пользовательскую dll к explorer.exe, а это значит, что код зловреда будет работать даже в Safe Mode.

Следует обратить внимание и на HKEY_LOCAL_MACHINE SOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsИмяпрогаммы — при запуске Имяпрогаммы будет запускаться софт, указанный в строковом параметре Debugger. Иная хитрая малварь может использовать ассоциации файлов в реестре.

То есть, при запуске, например, txt-файла, будет стартовать сначала вредоносное ПО, которое уже потом будет запускать реальную программу, работающую с этим типом файлов. Также вирус может загрузиться в память компьютера с помощью групповых политик. За это отвечает ключ HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionpoliciesExplorerRun, в котором содержатся параметры с путями запускаемых программ.

Вообще, мест, откуда может стартовать проникший на компьютер СМС-блокер или другая зараза, много, но проверить их достаточно просто (если не применяются специальные техники маскировки), особенно если использовать специализированные средства, например, утилиту HiJackThis.

Оборонительные редуты

После того, как малварь прописала себя в автозагрузку, ей следует позаботиться о своей сохранности: пользователь не должен завершить процесс зловреда, удалить программу из авторана и прочее. Для этого проще всего использовать все те же политики безопасности Windows.

Надо сказать, что фрауд-антивирусы, которые больше ориентированы на запад, практически не пользуются такими трюками. То есть, если наш отечественный СМС-блокер может напрочь парализовать работу компьютера, то англоязычная малварь такого не делает. Причина, скорее всего, в том, что в тех же Штатах законодательство к такого рода шалостям относится гораздо строже. Кроме того, местные жители не платят за электронные услуги эсэмэсками, для этого у них есть банковские карты, а, как известно, Visa и MasterCard очень ревностно следят за порядком среди своих клиентов. Одна гневная жалоба от доверчивого пользователя — и биллинг, проводящий процессинг платежей за Fraud Antivirus, может навсегда лишиться лицензии.

Первый из них — DisableRegistryTools. Если присвоить ему значение равное 1, то regedit.exe не захочет запускаться. Еще стоит обратить внимание на параметр DisableRegedit, который может находиться помимо HKCU-секции еще и тут — HKLMSoftwareMicrosoftWindowsCurrentVersionPolicies System. Для запрета запуска «Диспетчера задач» используется параметр DisableTaskMgr в HKCUSoftwareMicrosoftWindows CurrentVersionPoliciesSystem. Разумеется, малварь может запретить запуск определенных программ. Делается это опять-таки через политики безопасности. Если ключ HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies Explorer будет иметь параметр RestrictRun со значением равным единице, а также подключен RestrictRun, который содержит в себе список exe-файлов, то пользователь сможет запустить только те программы, которые находятся в этом списке.

Для черного списка следует использовать параметр и ключ DisallowRun, благодаря которым запуск определенного ПО станет невозможен. Уже этот набор ограничений позволяет малвари достаточно хорошо защитить себя от посягательств на свою жизнь. Даже если пытаться пробовать запустить нестандартные средства для мониторинга процессов и редактирования реестра, то и они могут быть заблокированы с помощью DisallowRun или RestrictRun. И это отнюдь не единственный способ помешать запуску чего-либо в инфицированной системе! Например, зловред может переассоциировать запуск программ на себя, прописав собственное тельце в параметре по умолчанию для ключа HKEY_CLASSES_ROOTexefileshellopencommand.

Или же поиграться с подключами в HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NT CurrentVersionImage File Execution Options. Но, к сожалению, вышеперечисленными методами малварь не ограничивается. Создатели своего детища могут блокировать некоторые настройки рабочего стола, настройки отображения файлов в проводнике и прочее. Но это мы рассмотрим чуть ниже, вместе с нарушением работоспособности интернета, поскольку все эти трюки служат больше для запугивания пользователя, нежели для защиты зловреда.

Воздействие на пользователя

Самая главная задача мошеннического ПО — это выманить у пользователя определенную сумму денег. Задачу эту в какой-то степени можно назвать даже творческой — надо так испугать юзера, чтобы он, не сильно сожалея о своих кровных, отправил СМС и при этом не решил самостоятельно избавится от малвари. Поэтому разработчики зловредов включают свою фантазию на полную катушку. Самый банальный и распространенный прием для влияния на пользователя — это неубиваемое окно. Его нельзя закрыть, нельзя свернуть, оно висит поверх всех остальных окон на десктопе, а в некоторых случаях оно даже монопольно владеет фокусом ввода.

Достигнуть такого эффекта совсем несложно, причем используя стандартные средства Windows. API-функция CreateWindowEx, отвечающая за создание окон, имеет множество параметров, среди которых dwExStyle и dwStyle, позволяющие программистам-мошенникам добиться нужного эффекта. Например, передав функции в качестве первого аргумента значение WS_EX_TOPMOST, мы заставим окно отображаться всегда поверх всех остальных окон, не имеющих этого атрибута, а поиграв dwStyle можно получить отсутствие всяческих контролов в заголовке окна или даже вообще избавиться от этого заголовка.

Но одним только вездесущим окном дело обычно не ограничивается. Встречаются, например, экземпляры, которые меняют обои на рабочем столе. Обычно таким трюком пользуются антивирусы-подделки. На десктопе появляется что-то типа значка химического оружия и грозная надпись, а при клике по пустому пространству экрана открывается интернет-страница с предложением купить «полезное» ПО. Делается это довольно просто, никаких велосипедов изобретать не надо — в Windows есть забытая всеми возможность выводить на рабочий стол определенную веб-страницу — со всеми вытекающими из этого последствиями.

Достучаться до IE можно через его COM-интерфейсы, а к другим браузерам нужен индивидуальный подход. Поддельные DNS-сервера тоже неплохо справляются с задачей подмены сайтов. Правда, для этого нужны не только права админа в системе, но и рабочий DNS-сервер. Утилита netsh позволяет легко и просто изменить настройки подключения к Сети, но тру-кодеры воспользуются программными методами, например, все тем же WMI. Сделать недоступными некоторые серверы в интернете можно, создав специальную запись в route table. Люди могут сделать это с помощью команды route, а программы юзают специальную API — CreateIpForwardEntry. Но в этом случае надо точно знать все ip-адреса ресурса, который нужно сделать недоступным.

Заключение

В этой статье мы привели далеко не полный список трюков и хитростей, которые используют современные зловредымошенники. Кодеры, перешедшие на темную сторону, постоянно придумывают новые уловки и методы воздействия на законопослушных пользователей Сети. Но имея хотя бы небольшое представление о том, что и как делает пресловутый СМСблокер, можно уже бороться с ним. А чтобы эта борьба была как можно менее болезненной, очень советую всем помимо крутых антивирусов использовать учетную запись с урезанными правами, так как в Линуксе и МакОси вирусов нет именно потому, что там не сидят под рутом.

Борьба с антивирусами

К счастью, СМС-блокерам противостоят доблестные антивирусные компании, которые неустанно трудятся над добавлением сигнатур зловредов в свои базы. Это очень раздражает вирусописателей, ведь из-за этого они теряют свои деньги.

Поэтому некоторые экземпляры малварь-индустрии пытаются отключить или затруднить работу аверов. Мы подробно писали об этом в наших краш-тестах, поэтому — смело поднимай подшивку «Хакеров» и наслаждайся.

Вячеслав Закоржевский, Senior Malware Analyst, Heuristic detection group, Kaspersky LAB. Постоянный автор журнала «Хакер».

Добавлено через 2 минуты

BSE, WestGott

Условия задачи: юзерский комп, на нём винлокер. Так понятно?

Добавлено через 5 минут

Мне чаще всего помогала экранная лупа. Win+U => Экранная лупа => Веб.узел Майкрософт => Браузер => Файл => Работать автономно, далее по вкусу (мне по вкусу AVZ).

Ariny
Я с Winlock'ером ещё ни разу не встречался.
Но тонкие методы не по мне, если у юзера есть образ (который был создан мной же заблаговременно), то убью образом.
Если нет, то загружусь с Live CD Касперского, обновлю ему базы с флэшки и устрою зачистку диска C:.
Если это не поможет, тогда Format C: и установка Windows заново.

С вирусами у меня церемониться не принято

__________________
Нормальные герои всегда идут в обход. (c) Бармалей

Ariny
Образом эта штуковина убивается гарантированно
При помощи Format C: с переустановкой Windows тоже гарантированно убивается, но это радикальный метод и требует много времени.

Антивирусный Live CD может помочь, а может и нет, всё зависит сможет ли данный антивирус в данный момент времени распознать Winlocker'а у и вылечить от него.

Без переустановки можно попробовать грузануться с ERD Commander и посмотреть, кусты автозагрузки реестра на предмет "криминала".

И ещё, на сколько Winlocker блокирует винду?

Вызов диспетчера задач Ctrl + Shift + Esc работает?
А то может и ERD не нужен, открыл диспетчер, посмотрел процессы, нашёл подозрительный, убил его, потом запустил msconfig, нашёл ссылку на процесс в автозагрузке убил её, нашёл файл на винте и удалил.

__________________
Нормальные герои всегда идут в обход. (c) Бармалей WestGott
Дважды эх.
Давай ещё раз? Юзерский компьютер с винлокером, образов нету, формат-це крайне нежелателен.
Антивирусный Live CD не поможет ибо унлокеры от дяди Жени и Игоря Данилова не работают Опять же, зависит от локера, чаще нет, чем да, а вот экранная лупа работает почти всегда.

Ariny
Winlocker - это подвид вируса, в общем плане методы лечения вирусов похожи, вирусы я у нерадивых юзеров выкорчёвывал, так что считаю, что могу давать советы, в меру своих скромных познаний

Добавлено через 1 минуту

Опять же, зависит от локера, чаще нет, чем да, а вот экранная лупа работает почти всегда.

Ariny
А ERD Commander работает всегда, если в компе есть CD/DVD-привод и он исправен

Кстати а как насчёт комбинации клавиш Win + R?
Если работает, то набрав в появившемся окошке taskmgr и нажав Enter мы попадём в диспетчер задач, если Locker конечно даст его запустить.

Добавлено через 7 минут

унлокеры от дяди Жени и Игоря Данилова не работают Ariny
Кстати Unlocker'ы могут и не работать, а в базах сигнатурки на исполняемый файл Locker'а могут и оказаться, так что я бы скан с антивирусных Live CD со счетов не сбрасывал бы. __________________
Нормальные герои всегда идут в обход. (c) Бармалей Последний раз редактировалось WestGott; 25.05.2010 в 23:48 . WestGott
не встретив винлока или хотя бы не почитав об их поведении, довольно нелепо рассуждать о чём либо тут. __________________
Опытный шаман вылечит вашего электронного друга: танцы с бубном, снятие порчи и сглаза, заговор микросхем. Это не вирусы. Юзеры их сами устанавливают. Ты, действительно, почитай сначала о них что-нибудь.

Freeuse
Я против вирусов без "оружия" не хожу.
Cтандартный комплект, это флэшка со свежими базами на Веба и Каспера, с консольной версией Dr. Web, Live CD Касперского, ERD Commander, кроме того Boot CD с Ghost ну и загрузочный дистриб Windows. Всего этого, как правило хватает, чтобы извести любой вирус.

Разумеется я в магазин с LiveCD не хожу. Диспетчер задач блокирован, сайт доктора код не знает. Точно не вспомню, какой файл, но сидел он в System32, вычислил по дате создания. Кстати, в автозагрузке на него ссылки почему-то не было (в реестре была).

Изумительно, а как же был запущен regedit, а также файловый менеджер или на крайняк консоль (cmd.exe)?

В январские каникулы целая эпидемия этой гадости была.

На личных компьютерах у меня эпидемий не бывает, потому что организована продуманная антивирусная оборона, поэтому меня не беспокоят не Winlocker'ы не Kido не MS-Blast и прочия.

Ariny
Чем это принципиально отличается от открытия почтового вложения с exe-файлом замаскированным под картинку?

Вирус - это общее название для всех вредоносных программ.
А уж тонкости классификации в виде локеры, черви, трояны, собственно вирусы (те которые запускные файлы поражают и коих сейчас мало), руткиты и прочие - всю эту разношёрстную публику в общем называют вирусами, так что тонкости классификации тут ни к чему.

Любая вредоносная программа - это программа.
И первое что она должна себе обеспечить - это загрузку и выполнение при старте системы, для этого все используют несколько механизмов, помещение исполняемого файла в автозагрузку, помещение ссылок в кусты реестра автозагрузки, подмена или внедрение в исполняемые файлы, которые загружаются системой автоматически.

И если Winlock'ер или вирус накрепко блокировал систему, что хоткеи не работают и другие приложения никак не запустить, то первое что можно попробовать в этом случае это в начале загрузки винды нажать F8 и попытаться загрузить винду в безопасном режиме, если в графическом безопасном тоже всё блокировано, то попробовать безопасный режим с командной строкой, ну а если и оттуда ничего нельзя сделать, то остаётся ERD Commander и из него уже копать. Но до него всё-таки лучше попробовать просканировать системный раздел с антивирусного Live CD.


Это специальная программа, которая позволяет заблокировать компьютер. Может быть использована в различных целях.

Особенности

WinLocker считается многофункциональной программой. Благодаря ему можно выполнять следующие действия:

  • запретить использование различных редакторов;
  • отключить автоматические обновления;
  • запретить компьютеру выполнять различные функции;
  • скрыть некоторые иконки;
  • запретить запуск приложений;
  • отключить быстрое переключение и многое другое.

Для установки Винлокера на ПК потребуется скачать архивные файлы, а затем распаковать их на устройстве используя стандартный метод. Далее объекты запускаются. Следующим действием будет выбор папки, в которой расположится программа. Нажав кнопку «Далее» человек запускает процесс инсталляции, который обычно занимает несколько минут. Затем в программе необходимо зарегистрироваться. Систем запросит имя пользователя и ключ активации. Найти эти данные можно в архиве, где расположены установочные файлы. Информация вставляется в соответствующие поля, после чего нажимается клавиша «Ок». После этого установка Винлокера на ПК будет завершена. Человек может переходить к использованию программы в личных целях.

Интерфейс большинства Винлокеров выполняется на русском языке. В левом боковом меню располагаются пункты с функциональными возможностями программы. Если человек планирует использовать утилиту на своем компьютере, ему достаточно поставить галочки рядом с соответствующими разделами.

Винлокер запрашивает минимальные системные требования. Это позволяет устанавливать его даже на те устройства, которые не отличаются большой мощностью. Он совместим со всеми актуальными версиями операционной системы Windows. Программа также не занимает много места на жестком диске.

Утилита, как уже говорилось, может быть использована для различных, зачастую не всегда хороших действий. Некоторые геймеры применяют программу для того, чтобы насолить пользователям, которые, по их мнению, используют читы и другие ухищрения, которые позволяют им набирать больше опыта или усиливать различные возможности персонажа. Такая практика существует во многих онлайн-играх. При этом не следует забывать, что для подобных случаев существует служба технической поддержки, а также администрация сервера. Только они имеют право заблокировать аккаунт пользователя. Если игрок узнает, что его Винлокер, который мешает его компьютеру нормально функционировать, был создан другим человеком, он вправе обратиться в суд и обвинить злоумышленника в создании и использовании вредоносных компьютерных программ. За это предусмотрено уголовное наказание по статье 273 УК РФ. Человека могут посадить в тюрьму на срок до 7 лет или дать ему штраф до 200 тыс. рублей.

Преимущества

  • можно найти в свободном доступе;
  • небольшие системные требования;
  • можно найти в свободном доступе или создать самостоятельно.

Винлокер позволяет полностью заблокировать операционную систему компьютера. Для разблокировки потребуется ввести пароль. Использовать программу следует очень осмотрительно.

Читайте также: