Персональные инструменты
Счётчики

Обсуждение:Винлок

Материал из Lurkmore
Перейти к: навигация, поиск

Содержание

[править] Статья неактуальна и устарела

Статья про винлоки давно не актуальна и давно устарела. Винлоков давно уже нет. Вместо них используют только трояны-шифровальщики.

Сказал ньюфаг, родившийся после 2010 года.
↑Прокудахтал петух, занимающийся викивознёй.
Ты заебал! Ты не админ, не указывай мне тут! Делаю что хочу, викивозня это нормально

[править] Обсуждение

Можно пару словечек добавить про программу 2IP Start Guard, она следит за изменениями загрузочной ветви реестра.

Ребят, внесите в статью куда более кошерную прогу от Simplix — AntiSMS. (http://forum.simplix.ks.ua/viewtopic.php?id=399). Куда более простая и действенная, чем описанный диск — Антивинлокер. Прога делает все сама.

Эй чуваки а что каспер за семсот рублев купить религия не позволяет? — Твой каспер УГ. И от Винлока не спасает…

Про украинский винлок доставило

Гадская херня, если в 2007 году легко отключилась из диспетчера задач и больше не теребила мозг, то сейчас доходит до того, что нужно вытаскивать батарейку из материнки.

Мимо проходил Статья канеш гогно, но ежели толковые батеньки допилят, можно будет оставить, бо проблема актуальна.

Поправил немного статью, можно убирать плашку и чуть чуть помочь в доработке.
А может сделать статью в виде вишмастера?Дохуя бесполезной информации и спойлер в конце статьи?
Пошла нахуй, ПРЫЩЕБЛЯДЬ со своими питушиными предложениями.

«Соль в том, что антивирусы не признают винлок как троян, поэтому вероятность заражения близка к 95%» — автор хуй и ничего не понимает в винлокерах. Реквестируется половоззрелый индивидуум, способный привести статью в нормальное состояние.

Во-первых, винлоки, как правило, никоим образом не блокируют explorer.exe, они просто переписывают путь к этому эксплореру в реестре, заменяя его на путь к exe-файлу локера. Во-вторых, возврат значения ключей реестра shell и userinit не всегда помогает, так как самые модные версии локера умеют подменять userinit.exe (справедливо только для WinXP) на файл локера, в этом случае нужно еще и возвращать оригинальную версию файла, предварительно удалив userinit.exe в папке system32, которая в свою очередь находится в папке с виндой, это можно сделать посредством того же LiveCD + нужен дистрибутив винды. В каком-нибудь Total Commander открываем I386 и в коммандной строке прописываем unpack -r userinit.ex_ x:/%windir%/system32, где X — буква диска, на который установлена WinXP, а %windir% — папка, в которую винда установлена. В-третьих, есть вариант локера, который записывается в boot sector жесткого диска, такой вариант локера блокирует доступ к системе еще до начала загрузки винды, выдавая все тот же текст, про то, что вы смотрели гей-порно, бла-бла, положите денег на такой-то номер и внизу чека отпечатается код, который нужно тут ввести. Решается очень просто: грузимся с установочного диска винды, и в момент когда появится экран с выбором, надо выбрать восстановление, нажав кнопку «r», далее выбираем под какой копией зайти, и когда появится командная строка, то надо набрать «fixboot» (без кавычек), после чего ребутнуть компьютер, всё должно заработать как раньше. А вообще, чтобы избегать этих баннеров, надо крайне внимательно читать, прежде чем нажимать что-либо, как правило люди хватают его на всяких сайтах, типа «просмотр кино онлайн» и т. д., их просят скачать какую-то программу для просмотра, либо обновление флешплеера с их сайта, что и приводит к таким последствиям. Также в сети можно найти т. н. Antiwinlocker LiveCD, который теоретически может проделать всю вышеперечисленную работу за вас быстро и не принужденно.
Учитывая предыдущие поправки, поправил статью, но вышестоящий автор должен вписать свой пост в статью. Я сам так (как в статье написал) крошу винлоки, но только на хрюше, как правило, уничтожение пути к нему и самого файла вируса оказывается достаточно (+прогнать антивиром). Но делать это с каждым разом сложнее, и тем более, я делал это только в ХРюше.
В качестве вариантов лечения винлоков сигнатуры которых еще не добавлены в базы кабсдохов: а) грузить все что угодно, от livecd с оболочкой и возможностью rw ntfs вплоть до перецепа винта на комп «другу», и поиск и уничтожение dll и exe за последние 2-3-4 недели, и как подсказывает один знакомый кэп б) очень неплохо помогает переименование пользовательского профиля, поскольку последние винлоки активно используют HKLU, которая расположена в файле ntuser.dat, так-то.

Реквестую не удалять, а перенести в инкубатор.

Знакомая подхватила эту дрянь. Помогло безжалостное форматирование диска С: и переустановка системы. Надо отметить, что кулцхакеры, которые это пишут на диво последовательны. Виресняк блокирует Мозиллу, но почему то не трогает Эксплорер. А вот запросы фильтрует. При попытке ввести :"Антивирус", — окошко браузера закрывается.

Так же в сети встречались сайту с кодами, которые надо было ввести в окошке, некоторым таки помогало. Хотя и непонятно откуда взялись такие данные

На дайте ДрВеба точно было, возможно есть и на сайтах других антивирей.

Бля, вас всех что, мама не учила: «Не сиди под рутом админом»? Если сидишь в нете из-под учетки бесправного юзера, а учетка админа запаролена, ни одна хрень тебе никуда не пропишется и ничего в реестре не изменит.

повышение прав и обход UAC никто не отменял, другое дело, что писатели винлоков этим не заморачиваются — хомячков хватает, да и сидящий под юзером продвинутый пользователь врядли будет отправлять СМС. Но да, пока что не видел ни одного заражения из-под юзера, если баннер и всплывал, всё легко лечилось ребутом.

Почему не написали про откат системы как способе борьбы?

Хуйкат. Откат тут не поможет. Проверено.
И я проверял. Мне помог.
Восстановление из образа системного диска поможет чему хочещь, лол, столько шуму из за пустяка.
Откат из полной копии системного раздела помогает на 100%. Разумеется, если образ раздела был создан до заражения.
Один раз помог перевод системной даты месяца на три вперёд

Зайти в интернеты с др. компа и посмотреть какой пароль нужно набрать для конкретного винлока, или использовать генератор паролей на доктор вебе например.(И невхуй не уперлись реестры, командные строки и ливсиди)

Гарантирую, не на всякую тварь моментально найдётся подходящий код. Два-три дня придётся подождать, если не повезёт.
Полностью согласен. Бывало с 5-6 раза код подходил. А для некоторых зверей там по 30-40 комбинаций за раз выдают….(Спасибо за правку 6-го способа. Сразу не разобрался как ссылки вставлять.)
Ну, это явно не мне «спасибо»
А вот идею звонить по телефону и угрозами, слезами и прочими соплями выпрашивать код разблокировки необходимо слить..ибо глупо, некрасиво и неадекватно…Имхо, мошенники не отвечают по телефону, который запилен в винлоке, их телефон не найдешь ни на каком сайте…ну и сомневаюсь, что если кто то все же дозвонится, то они станут добрыми и пушистыми….
Тормоз, звонить надо оператору, а не на телефон.

[править] Вирусы-шифровальщики

Думаю, следует запилить статью. Сейчас в последнее время всё чаще встречаются вирусы-шифровальщики. Небольшая утилита, шифрует файлы наиболее популярных типов (doc, xls, pdf, jpg и т. д.) и требует бабло за код для расшифровки. Эта штуковина уже более серьёзная, нежели эти ваши винлоки, ибо данные физически шифруются, никакие переустановки windows не помогут, ибо зашифрованные файлы будут из себя представлять набор хаотичных байтов (которые только после расшифровки вновь превратятся в «читаемые» документы). Защита от подобной дряни только одна — резервное копирование важных файлов.

  • Обычно пишут, что криптлоки распространяют по e-mail и кликать по подозрительному exe-шнику будет только домохозяйка. Но Анонимус как-то словил шифровальщик, купив в павильоне известного быдлоритейлера веб-камеру с диском, на котором якобы были драйвера. Запустив авторан, он получил зашифрованные .jpg файлы на диске C:, и картинку на весь рабочий стол. На картинке был изображен ЧВ, флаг «Веселый Роджер» и текст примерно следующего содержания: «ПЯТНАДЦАТЬ ЧЕЛОВЕК НА СУHДУК МЕРТВЕЦА! Хай, пиплы, камон на борт нашего „Летучего голландца“. Ваш компьютер взят на абордаж командой Намибийских пиратов. Ваши файлы зашифрованы нашим морским криптографом Бозоном Хикса. Мы готовы обменять вашу драгоценную инфу на жалкие бумажки, именуемые бабками. Поверьте, бабло — зло, отдайте его нам. У вас 3 дня до отплытия корабля», а далее координаты уебков. Думаю, это реально стоит отдельной статьи.
бабло-то послал?
  • Трояны-шифровальщики, которые распространяют по e-mail, бывают ещё в scr, js . В doc тоже может быть (если в ворде есть уязвимость, я про макросы). В PDF тоже может быть (java script), если Acrobat Reader дырявый. В теории может быть в mp3, avi, jpg. Если в программе, которая показывает фильм, фотку есть уязвимость (почитайте например про переполнение буфера) .

Вы что, думаете что у всех включено отображение расширения у файла ? Бывают ли шифровальщики в кряке, кейгене, трейнере и т. д. ? Сильно зависит от того, откуда скачал ?

В .dll и .sys (это тоже программы) бывают ли шифровальщики ? По идее могут быть.

[править] Люди, обратитесь к телемастеру.(с)

Если вы настолько тупы, что оказались бессильны перед очередной версией сабжа, то отдайте свой НЖМД знакомому гуру или в ближайший компьютерный сервис. Там тупо просканят ваш диск последней версией Касперского, подлатают реестр и восстановят убитые файлы. Взамен потребуется энная сумма денег/количество пива. И нехер работать из-под ру.. админа там где это не требуется.

Мальчик, ты долбоёб?
Меня доставали знакомые с этим винлоком, покая не догадался брать с них деньги, теперь я люблю этого зверька. Самому ни разу не удалось словить.

Владельцы Айфонов могут скачать приложение по удалению сабжа — Kaspersky Deblocker, помогает инфа 100%.

[править] В эту статью необходимо добавить

Статья о винлоке без картинков- не статья. Тем более, что на лурке они уже есть. Алсо: а что, этой статьи не было? о. О

Не было, решил запилить.
Как так не было? [1] [2] [3]
Ну не было и всё тут :)
З. Ы. — картинки годные, можно в статью запилить.

[править] Посмотрим с другой стороны

Почему ещё никого из вирусописателей не схватили за жопу? Надо бы обозреть и этот аспект. Ведь отследить, куда направляются деньги, несложно, было бы желание.

Во-первых, откуда мы знаем, что никто не пойман? Во-вторых, какую статью им можно предъявить?
Товарищ прокурор разберётся, на мой взгляд, здесь можно пришить ст. 273 [4]
Товарищ прокурор сможет разобраться, если винлокер как минимум пошифрует файлы, если он только картинку с требованием отправить смс показывает — очень сложно будет что-либо предьявить мошеннику.

[править] Ваша статья — говно

Зачем писать статью, не ведая матчасти в совершенстве? Автор, ваша статья — говно. Уйма неточностей, как то: Вы предлагаете запускать ворд/блокнот/вордпад, и сами говорите, что винлок блокирует диспетчер задач и клавишесочетания. Вы — либо воюете с логикой, либо нихуёвый идеалист. На каждом шагу враки и бред. Либо допиливайте статью грамотно, либо выпиливайте уже нафиг.


Вообще непонятно к чему все эти потуги со стороны вирмейкеров с отключением диспетчера задач и регедита, инжектом в процессы, работой в сейфмоде и прочими средствами защиты от выгрузки процесса винлока юзером? Неужели человек знающий и перепробовавший все способы избавления от винлока в конце концов сдастся и отправит таки смс-ку в надежде получить код разблокировки. С другой стороны потенциальная жертва у которой хватит ума отправить СМС (раньше каждый десятый, сейчас 1 из 100) понятия не имеет об этих ваших таск менеджерах, реестрах и сейфмодах. Достаточно сделать перекрывающее окно с bsNone не реагирующее на внешние раздражители, написать на нем что будет если не отправить смс на указанный номер, поле для ввода «кода разблокировки» и батон. Все. Эффективность будет такая же как у самого навороченного винлока. Эффективность в смысле вероятности отправки СМС конечно..

Делается это для того, чтобы жертва, позвонив знакомому «специалисту по компьютерам» и перепробовав все легковыполнимые телефонные советы обломалась и пришла к решению, что задача избавления от вируса пиздец как сложна.
Дело в том, что винлоков много хуевых и разных. Одни могут блокировать дохрена чего, а другие только картинку показывать. Есть версии, которые не переносят запуск процессов с названием taskmgr, explorer, regedit, но при переименовании утилиты procexplorer.exe в любую другу лабуду все проходит на ура. Все зависит от степени хитрожопости быдлкодера.

Я смотрю, тут много специалистов по винлокам собралось? Вместо достойной правки только и могут «УДОЛИТЬ!!!»…Статью оставить. Хорошая годная статья.

статья хорошая и полезная. просто за всеми веяниями быдлокодерства не уследить. разные версии ведут себя по-всякому. поэтому особо одаренные могут узреть в решении проблем неточности и с диким воплем кричать «Говно!»

[править] Оставьте статью в покое

Оставьте статью в покое…Все методы проверены и рабочие за исключением одного…

Двух как минимум

[править] Так кто же идеолог?

Наткнулся на такую вот статейку: http://www.xakep.ru/post/53562/ >Не секрет, что многие пользователи настолько далеки от информационных технологий, что допускать их к работе за таким сложным устройством, как ЭВМ, чревато. Но как организовать ограничение доступа к ПК? Ведь включить компьютер нынче может любой, у кого хотя бы на 10% руки растут из плеч. К счастью, существует целый класс программ, помогающий ограничить пользователю доступ к различным компонентам операционной системы: от простого запрета играть в Косынку или Сапера, до полной блокировки Windows.

Это не добывающий себе еду специалист компьютерной помощи, как думалось сначала. Главный идеолог — это такой «злой профессор»-программист, сошедший с ума на почве «засилья чайников». Наверняка ещё и является линуксоидом, возможно ещё и мечтает о вендекапце и всеобщему переходу на линукс-питухос. А это уже потом школокулхацкеры всякие переиначивают троян, чтобы накидать себе денег на телефон.

>Руслан, залогинтесь.

[править] MBR-Locker

Тема не раскрыта. Я так понимаю, fdisk /mbr из рекавери-консоли вин-дистриба будет достаточно для лечения.

Ни фига. Зато помогает загрузка с ERD, переименование:

C:\Windows -> C:\~Windows C:\Program Files -> C:\~Program Files C:\Documents and Settings -> C:\~Documents and Settings C:\boot.ini -> C:\~boot.ini Это все при дефолтных настройках, разумеется. Затем берем дистрибутив Windows, загружаемся и запускаем установку Windows на существующий раздел. После завершения текстовой части установки опять загружаемся с ERD, удаляем все созданное установщиком (см. выше) и переименовываем все обратно. Проверено на XP.

Вы явно знаете толк в извращениях. MBR-Locker лечится за не более 7 минут, одним из способов, описаных в стаьте или обсуждении выше — Анонимус

[править] требует доработки

Повидимому из авторов статьи мало кто работал с локерами серьезно. забыли упомянуть про такие волшебные способы как подмена дебаггера или taskmgr. да и тема авторана не раскрыта, ибо Winlogon и run — это прошлый год. сейчас в моде другие ухищрения

0) Винлокер может быть не единсвенной заразой в системе. 1) Зачастую даже в безопасный режим войти невозможно. Либо локер напакостил, либо кто-то ещеё (например — sality). Последний может быть уже и удален, а вот каки остались. 2) Контрольные суммы файлов(как уже предолагалось) таки зависят от сервиспаков. И говносборки никто не отменил. Потому файло можно проверить по базе безопасных файлов. Годные базы поставляются с avz и uvs. Луркайте. 3) Лечение аверскими «рескуе дисками» — зло. Менее опытные коллеги анонимуса имели уже после такого «лечения» нерабочую систему. Ибо править реестр автоматом аверские офф-лайн лечилки пока не умеют. Что странно.(Так было по состоянию на март 2012 г). Да и с удалением вредоносного кода из легальных исполняемых файлов (см. пункт 0)иногда заканчивается фейлом. 4) Говорить здесь (да и вообще в сети) о методах профилактики (кроме самых очевидных) означает сделать эти методы неработоспособными. 5) Не знаю как где, а вот Алматинский анонимус снимает эту порчу за те же 15 условных баксов, а то и вовсе бесплатно. Ибо работы на 5 минут, включая загрузку вин-пе. И еще пять на поиски подвоха (а то очень уж просто выглядит). Так что ищите нежадных любителей поковыряться в говне. 6)Запиливать в статью годные способы нет смысла. Это ж не учебник. Да и нах никому не нужно. Предлагаю сократить список методов до примерно такого: 6.1 Попытаться загрузиться в сейфмоде или под другим юзером. Если прокатило, запускаем годную лечилку со свежими базами. Лучше -две, от разных вендоров. 6.2 Если не грузится никак, запускаем предустановленную запасную ось. Это может быть WinPE, консоль восстановления (да, ее можно ставить на хдд). Если не позаботились заранее, то грузимся с оптического привода (тот же Win PE). Подключаемся к реестру больной системы, и правим. Как подключаться и где искать зверьков? Поиск в помощь. 6.3 От зверьков, модифицирующих MBR и VBR, MBR и VBR. А вы как думали? Методы восстановления ищем самизнаетегде. Следует помнить, что загрузчик может быть и нестандартный. Впрочем, обладатель оного с проблемой справиться должен без наших сопливых советов.

Как-то так.

[править] Следует вписать в «лечение»

Странно что не написали. Большинство коммерческих вирусов удаляются по истечении некоторого времени (пару недель, месяц). Поэтому лезем в биос, ставим время на год вперед и винлок исчез. Я гарантирую это!

Да вроде было указано, но одно время тут буйствовал один удолист и многое повыпиливал. А способ смены даты работает, я тоже проверял.
опять 25, не у всех трюк с датами проходит

Интересно, а банальное зажатие шифта во время запуска не пойдет? Или же ESC?

Лечится зараза очень просто, либо с live usb с линупсом, либо в «безопасном режиме с поддержкой командной строки», в cmd вводим explorer.exe, запускается проводник, далее топаем по пути C:\Users%udername%\(возможно в папку документы) и там ищем %набор букаф%.exe и валим его. С линупсом аналогично. Ребут. Радуемся жизни.

p.s.: в реестре чисто, в последнее время никуда не прописывается, так что механизм работы не вполне ясен…

[править] Winlock и YouTube

Появилось новое направление: винлок кидается разным малолетним нубам и на видео записывается (как это мерзко даже писать!), как они выпрашивают код разблокировки, после чего выкладывается на Ютуб. Подобные видео собирают много просмотров, ведь людям интересно смотреть на чужое горе. Всё это оправдывается борьбой с читерами, хотя, конечно, бред собачий. За читы нужно банить в той игре, в которой они используются, а не банить весь комп (тем более, если им ещё кто-то пользуется). А самое мерзкое, когда «борьбой с читами» оправдывается вымогательство денег и steam-аккаунтов. И ещё: авторы подобных каналов сами навязывают читы своим жертвам.

Представь пруфы.
Пруф http://www.youtube.com/watch?v=hNfCMr2Yihw Типичный быдлопалач.

[править] Анонимус

«Будет появляться ошибка, словами хакеров „синий экран смерти“», лол


[править] Загадочная история винлокера 22813371488

Посоны, был винлок интересный. Лечил как шаман племени Хуяйа. Короче сижу на Уютненьком. Тут вдруг ХЕРАК и ВАШ ШИНДОУС ЗАБЛОКИРОВАН! ОТПРАВЬТЕ 228 НА НОМЕР 133714/88. Я такой «ООООХ ПАХОДУ ПРИШЛО ВРЕМЯ ПЕРЕУСТАНАВЛИВАТЬ ШИНДОУС999((9(9» и пошел с телефона смотреть как это лечить. И нашел на сайте доктора Паутины решение. И я такой «УЯЯЯ!!! ЙА СМАГУ СНОВА СМАТРЕТ СВОЮ ГЕЙПОРНУ С МОИГО ЛЮБИМАГО IE!» И короче подошел к компу. Там надо было нажать на слово какое-то, уже не помню и он исчезал. Вообщем нажал я, и он исчез. Я могу делать чо хочу, но не работает explorer. Я такой «НУ ОГ, ЩА ВКЛЯЧУ» и включил. А тут опять баннер! И короче пошел к другу. Он говорит: «ТЫ ШО, ДЕБИЛ? УСТАНАВИ avz С ФЛЕШКИ И НИ ПАРСА!!!» Я установил avz с флешки, обновил там, все дела. И включил скан. Он нашел пару файлов непонятных, и заветный win.exe в папке C:/users/василий/roaming/ а avz еблан и сделан желторотыми, поэтому не удалил. И я другу звоню, и говорю "А ШО ТУТ ТАКОИ? НАШОЛ КАКОИТА win.exe И НИ УДАЛИЛ((999(" а друг "ХЕЗЕ ТАДА(((". И пошел я спать, так как это было ночью. Просыпаюсь такой, а тут у меня этот авз висит. Я скопировал путь к файлу, и вставил в cmd DEL [путь] и короче врубил explorer. И на мое удивление винлокера не было! Весь день дрочил на порно сайтах. Так что, аноны, знайте если такая хворь будет, как лечить.

[править] Что за МБР мать его тебя твою!?

Стоит добавить раздел о «вирусаписсатилях» и о модном нынче у них МБР парашилке.

[править] Способ второй, мануальный, модифицированный, самый надёжный

Именно он мне и помог. В ветке HKEY_CURRENT_USER и параметре shell была какая-то абракадабра написана типа C:\Downloads\avidvdxvid.exe. Стёр это говно и написал explorer.exe, и при загрузке, ВНЕЗАПНО, увидел рабочий стол.

[править] Пионерские винлокеры-конструкторы (читеры, для вас)

Как раз, те которые кидаются читерам. Недавно сам словил такой. Как лечить:

зайти с другой учетки
удалить папку автозагрузка в меню пуск.
можно антивинлокером лайвсиди.
если скачался сам, то нужно из аппдаты удалить инстал

[править] Пара слов об UAC

Хочу сказать, что UAC всё же не такой кал, как его здесь описали. По крайней мере единственная полезная вещь, которую он делает, это спрашивать всякий раз при запуске любой программы, которая имеет доступ к памяти (в том числе и у администратора). Если это задрачивает, в свойствах нужной программы можно ставить галку «всегда под рутом запускать». Дело в том, что как-то раз я шароёбился по нету в поисках кинца и внезапно надыбал на очередной вирусный сайт. Мало того, что он весь был оклеен баннерами типа «ваш комп под угрозой, срочно требуется лечение, лови таблетку мазафака!!!», так вдобавок мне сразу же автоматически скачалась какая-то чухня. Причём по завершении она ещё и пожелала самостоятельно запуститься, то есть она каким-то хуем скачалась с автоматически назначенным тегом «открыть по завершении». А ссаный NOD32 всё это дело проигнорил! В тот момент меня спас от заражения именно включенный UAC, без него вирусня так бы и открылась, а вместо этого всплыло окошко с вопросом. Поэтому, если у вас в компе единственная учётная запись администратора, UAC настоятельно рекомендую не выключать, без него вы попросту можете проворонить запуск какой-нибудь автоматической хуйни, на которую вы не нажимали. А дополнительные учётки занимают лишнее место на диске.


[править]

Я под столом от украинского винлокера