Восстановление Ос После Вируса-Вымогателя

Мой лучший друг принес мне на просмотр нетбук, серьезно зараженный вирусами, и попросил помочь почистить систему из зоопарка.

Впервые увидел своими глазами забавное ответвление в развитии вредоносного ПО: «вымогатели».

Такие программы блокируют некоторые функции операционной системы и требуют отправить СМС-сообщение для получения кода разблокировки.

Лечение оказалось не совсем тривиальным, и я подумал, что, возможно, эта история сэкономит кому-то нервные клетки.

Я постарался дать ссылки на все сайты и утилиты, которые были необходимы во время лечения.

В данном случае вирус выдавал себя за антивирусную программу Internet Security и требовал отправить СМС K207815200 на номер 4460. На сайте «Лаборатории Касперского» есть страница, позволяющая генерировать коды ответа для «вымогателей»: support.kaspersky.ru/viruses/deblocker В DrWeb есть страница с подробными рекомендациями по борьбе с вымогателями: www.drweb.com/unlocker/index/Эlng=ru



Однако после ввода кода функции ОС оставались заблокированными, а запуск любой антивирусной программы приводил к мгновенному открытию вирусного окна, тщательно эмулировавшего работу антивируса:



Попытки загрузиться в безопасных режимах привели к точно такому же результату.

Дело осложнялось еще и тем, что пароли для всех учетных записей администраторов были пустыми, а вход в компьютер по сети для администраторов с пустым паролем по умолчанию блокировался политикой.

Пришлось загружаться с флешки (нетбук по определению не имеет дисковода).

Самый простой способ сделать загрузочную флешку: 1. Отформатируйте диск в NTFS. 2. Сделайте раздел активным (diskpart -> выберите диск x -> выберите раздел x -> активный) 3. Используйте утилиту \boot\bootsect.exe из дистрибутива Vista/Windows 2008/Windows 7: bootsect /nt60 X: /mbr 4. Скопируйте все файлы дистрибутива (у меня под рукой был дистрибутив Windows 2008) на USB-накопитель.

Всё, можно загружаться.

Так как нам нужна не установка ОС, а лечение вирусов, то копируем на диск набор бесплатных методов лечения ( АВЗ , CureIt ) и вспомогательные утилиты (забегая вперед, мне понадобились Потоки от Марка Руссиновича) и Далеко .

Перезагружаем нетбук, ставим в биосе загрузку с USB. Программа установки Windows 2008 загрузится, согласитесь с выбором языка, установите сейчас и нажмите Shift+F10. Появится окно командной строки, из которого мы можем запустить наши антивирусные инструменты и выполнить поиск заражения на системном диске.

Тут столкнулся с трудностью, CureIt выбрасывал систему в синий экран смерти с ругательствами об ошибке работы с NTFS, а AVZ хоть и работал, но ничего не мог найти.

Судя по всему, вирус очень и очень свежий.

Единственная зацепка — сообщение AVZ о том, что исполняемый код обнаружен в дополнительном NTSF-потоке для одного из файлов в каталоге Windows. Мне это показалось странным и подозрительным, поскольку дополнительные потоки NTFS используются в весьма специфических случаях и на обычных машинах ничего исполняемого там храниться не должно.

Поэтому мне пришлось скачать утилиту Streams ( http://technet.microsoft.com/en-us/sysinternals/bb897440.aspx ) от Отметить и удалить эту тему.

Его размер составлял 126 464 байта, как и dll-файлы, которые вирус выкладывал на вставленные в систему флешки.

После этого я с помощью Far поискал по всему системному диску файлы одинакового размера и нашел еще 5 или 6 подозрительных файлов, созданных за последние 2-3 дня.

Они были удалены таким же образом.

После этого CureIt смог работать (видимо наткнулся на дополнительные потоки) и успешно вычистил еще двух троянов :) После перезагрузки все заработало; дополнительные прогоны антивирусных сканеров ничего не нашли.

С помощью AVZ были восстановлены политики, ограничивавшие функции ОС.

Другу дали строгую инструкцию о том, как важно пользоваться антивирусами, тем более, что бесплатных много( Основы безопасности , который я сам использую на домашних машинах, Avast Домашняя версия , что мне тоже очень нравится.

Upd: наконец-то дошли руки перенести это в тематический блог.

Теги: #вирусы #Антивирусная защита #ntfs #вирусы и антивирусы #восстановление системы #SMS-вымогатели #SMS-вымогатели

• Компьютерная Сертификация От Известных Институтов Приводит К Трудоустройству

  19 Oct, 24

• Простое И Надежное Облачное Erp-Решение Sage

  19 Oct, 24

• Один День Из Жизни Успешного Владельца Сайта

  19 Oct, 24

• Средняя Стоимость Персональных Компьютеров В Москве Превысила 50 Тысяч Рублей - Дит

  19 Oct, 24

• Продвижение Ваших Работ С Помощью Блога

  19 Oct, 24

• «Ведомости»: Spotify Собирается Снова Выйти На Российский Рынок

  19 Oct, 24

• Каково Это Писать Статьи?

  19 Oct, 24

• Техническая Программа Phdays: Анализ Трояна Hummingbad, Что Такое Вредоносное По Для Macos И Атаки На Java Card

  19 Oct, 24

• Высокоскоростная Валидация (На Примере Сайта Habrahabr.ru)

  19 Oct, 24

• Стив Павлина. 10 Ошибок, Которые Допускают Начинающие Предприниматели

  19 Oct, 24