Что такое вирус-вымогатель?
Этот вид вредоносного программного обеспечения используется киберпреступниками для вымогательства средств у жертв. Как правило, программа-вымогатель блокирует экран устройства жертвы или шифрует данные на диске, отображая требование о выкупе с реквизитами платежа.
Как распознать программу-вымогателя?
В большинстве случаев программа-вымогатель отображает на экране сообщение, что ваш компьютер заблокирован, или добавляет текстовый файл (сообщение) в соответствующие папки. Многие семейства вымогателей также меняют расширения зашифрованных файлов.
Как работает программа-вымогатель?
Операторы программ-вымогателей используют много различных техник заражения:
- Шифрование диска и блокирование доступа пользователя к операционной системе.
- Блокирование экрана пользователя.
- Шифрование данных на диске жертвы
- Блокировка устройств Android путем изменения кода доступа для блокирования устройства пользователя
Узнать больше
Все выше перечисленные виды программ-вымогателей требуют выкуп, чаще всего в Bitcoin или в другой криптовалюте. За это операторы угрозы обещают расшифровать данные или восстановить доступ к зараженному устройству.
Вирус закрывает браузер, блокирует и не дает скачать антивирусы — что делать
Однако нет никакой гарантии, что киберпреступники выполнят свое обещание (а иногда они не могут это сделать умышленно или из-за некомпетентного кодирования). Таким образом, компания ESET рекомендует не спешить платить требуемую сумму, а обратиться в бесплатную техническую поддержку ESET, чтобы узнать о возможных вариантах расшифровки данных.
Защита от программ-вымогателей
Основные правила для защиты собственных данных и устройств от программ-вымогателей:
- Регулярно создавайте резервные копии данных и храните по крайней мере одну копию.
- Обновляйте все ПО, включая операционную систему.
Надежное и многоуровневое решение по безопасности поможет пользователям, а также организациям распознать, предотвратить и удалить вымогателя.
Правила для защиты бизнеса от программ-вымогателей:
- Выключите или удалите ненужные сервисы и ПО
- Сканирование сети на наличие незащищенных учетных записей, в том числе со слабыми паролями
- Ограничивайте или запрещайте использование протокола удаленного рабочего стола (RDP) за пределами сети или включайте аутентификацию на уровне сети
- Используйте Virtual Private Network (VPN)
- Устанавливайте параметры брандмауэра
- Устанавливайте политику для трафика между внутренней и внешней сетью (Интернет)
- Установите пароль в настройках решение безопасности, чтобы защитить их от отключения злоумышленниками
- Обеспечьте защиту резервных копий с помощью двух- или многофакторной аутентификации
- Регулярно проводите обучение персонала для распознавания фишинг-атак и других техник киберпреступников.
100% способ установить антивирус, если вирусы заблокировали установку.
Коротко об истории
Впервые программа-вымогатель была обнаружена в 1989 году. Вредоносная программа получила название AIDS Trojan. Она распространялась через тысячи дискет, которые содержали интерактивную базу данных о СПИДе и факторы риска, связанные с болезнью. После запуска вредоносная программа фактически сделала невозможным доступ пользователя к большей части содержания на диске.
AIDS Trojan требовал выкуп в размере $189, которые нужно было отправить на почтовый ящик в Панаме. Программа была запущена 365 раз. Автором угрозы был доктор Джозеф Попп, однако он был признан неподсудным.
Последние примеры
В мае 2017 года программа-вымогатель WannaCryptor или WannaCry быстро распространилась, используя эксплойт EternalBlue. Последний использовал уязвимость в самых популярных версиях операционных систем Windows. Несмотря на то, что Microsoft выпустила исправление для многих уязвимых операционных систем более, чем за два месяца до атаки, файлы и системы тысяч организаций по всему миру пострадали от этого вредоносного программного обеспечения. Таким образом угроза WannaCry нанесла вред на сумму миллиардов долларов.
В июне 2017 года вредоносное программное обеспечение Diskcoder.C или Petya начало распространяться в Украине, а вскоре распространилось и за пределы страны. Как оказалось позже, это была хорошо организованная атака на цепь поставки, которая использовала популярное программное обеспечение для бухгалтерского учета, чтобы атаковать украинские организации.
Однако вредоносная программа вышла из-под контроля и заразила сети многих международных компаний, в тому числеMaersk, Merck, Rosneft и FedEx, вызвав убытки на сотни миллионов долларов.
Источник: www.eset.com
Что такое вирус_exe.exe и как с ним бороться
Компьютерные вирусы всех мастей для Windows-систем являются настоящим бичом. Многие из таких угроз известны еще с тех пор, когда в качестве основной операционной системы использовалась DOS, а Windows только-только начинала свое развитие. К сожалению, несмотря на свое моральное устаревание, угрозы типа «Вирус_exe.exe», где «Вирус» является возможным названием исполняемого апплета, и сегодня продолжают свое деструктивное воздействие на операционные системы от Microsoft. Далее предлагается рассмотреть несколько базовых понятий, связанных с тем, что собой представляют вирусы этой категории, в чем состоит их воздействие на компьютерную систему, и как с ними бороться.
Что такое «Вирус_exe.exe»?
Начать стоит как раз с того, как именно такие апплеты воздействуют на операционные системы, что и позволит объяснить их природу. Как известно, на заре развития компьютерной техники с применением в качестве основной платформы систем Windows сами ОС подвергались исключительно деструктивному воздействию, связанному с нарушениями их работы путем воздействия на определенные важные компоненты, без которых функционирование ОС становилось невозможным. Угрозы типа «Вирус_exe.exe» и сегодня работают подобным образом, но, как уже можно сделать вывод из названия, заражают исключительно исполняемые файлы формата EXE.
После такого воздействия файлы запустить становится невозможно, а сама операционная системы немедленно сообщает пользователю, что искомый объект не найден, хотя на самом деле с жесткого диска он никуда не девается.
Нюансы воздействия угрозы на компьютерную систему
То, что вирусы вроде Some_exe.exe или его аналоги (например, разновидности Virus.Win32.Expiro) нацеливаются исключительно на исполняемые файлы, — далеко не самое страшное, что может подстерегать пользователя современного компьютера. Большинство таких угроз обычно маскируется под системные процессы, например, svchost.exe, и напрямую на EXE-файлы могут не воздействовать, предоставляя это право некоторым антивирусам. Да-да! Именно так! При первичном заражении подвергшийся атаке исполняемый объект начинает распознаваться штатным сканером уже как вирус, после чего может не только блокироваться, но еще и удаляться антивирусом.
Увы, такие ситуации достаточно часто наблюдаются при наличии в системе защитного ПО в виде хваленого антивируса Avast. При таком положении дел становится понятно, что для некоторых угроз категории «Вирус_exe.exe» методы борьбы оставляют желать лучшего. Тем не менее, несмотря даже на такую плачевную ситуацию, несколько вариантов действий по нейтрализации таких апплетов предложить все-таки можно.
Система заражена угрозой «Вирус_exe.exe»: что делать в первую очередь?
Итак, начать стоит с выявления самого вируса в системе. Как уже было сказано, такие угрозы могут достаточно хорошо маскироваться и активироваться даже при установке каких-то программ, загруженных из Интернета, причем даже не в момент запуска инсталлятора, а по окончании процесса установки или даже спустя некоторое время. Если при попытке старта какого-то пользовательского приложения, системного инструмента или даже без всякого на то повода, когда какая-то служба работает в фоновом режиме, Windows начинает выдавать сообщения по поводу отсутствия или недоступности исполняемых файлов, сначала обратите внимание на дерево активных процессов в «Диспетчере задач». Возможно, там будут присутствовать какие-то неизвестные службы вроде ahtomsys.exe или psagor.exe, которые и создаются угрозами типа «Вирус_exe.exe». Смело используйте принудительное завершение их работы.
На всякий случай проверьте все копии процесса svchohst.exe на предмет расположения отвечающего за него файла через меню ПКМ (оригинальный объект должен находиться исключительно в папке System32 и нигде более). Такие копии тоже нужно завершить и, если есть возможность, сразу удалить подозрительные вирусные объекты на жестком диске (при условии, что они не будут заблокированными).
Откат системы
Несмотря на опасность, которую представляют собой угрозы категории «Вирус_exe.exe», иногда для их обезвреживания можно применять и самые простые методы. Так, например, известны случаи, когда избавиться от вируса можно было обычным восстановлением системы до временной точки, предшествующей появлению угрозы на компьютере. Правда, особо рассчитывать на такую методику не стоит только по той простой причине, что определить точно, когда именно угроза проникла в систему, бывает достаточно проблематично (как уже говорилось, вирус может активироваться спустя некоторое время, а не сразу).
Проверка антивирусным ПО
В принципе, для нейтрализации вирусов этого типа можно воспользоваться и портативными утилитами, среди которых наибольшей функциональностью отличаются приложения KVRT и Dr. Web CureIt! при условии немедленного обновления антивирусных баз сразу же после запуска апплетов.
Однако самой мощной программой, которая позволяет находить и удалять вирусы из всех возможных локаций в компьютерной системе, включая даже оперативную память, является дисковая утилита Kaspersky Rescue Disk, при помощи которой можно загрузиться еще до старта операционной системы и выполнить полное сканирование с последующим лечением.
Проверка раздела автозагрузки
Но давайте посмотрим, как удалить «Вирус_exe.exe», если под рукой ни одного из выше перечисленных инструментов нет. Для начала следует проверить все элементы, загружаемые вместе с операционной системой.
В ОС Windows седьмой версии и ниже для этого используется соответствующий раздел в конфигураторе (msconfig), в восьмой и десятой модификациях автозагрузка находится прямо в «Диспетчере задач» (taskmgr). Как уже понятно, если там присутствуют подозрительные элементы, их следует деактивировать, предварительно завершив их процессы. Однако выполнять перезагрузку, предложенную системой, пока не стоит.
Поиск и удаление компонентов вируса на жестком диске
Следующим шагом станет поиск файлов и папок вируса на жестком диске. Если их расположение было определено заранее (например, в «Диспетчере задач»), проблем быть не должно. Также можно задать поиск, скажем, по названию процессов в разделе автостарта и удалить найденные объекты.
Если файлы по каким-либо причинам окажутся заблокированными, можно воспользоваться программой Unlocker или установить для себя дополнительные привилегии или права доступа. Отдельно обратите внимание на присутствие в директории System32 каталога deter, и если он есть, удаляйте его без промедления, поскольку большинство угроз типа «Вирус_exe.exe» как раз и используют его для хранения своих программных компонентов. В некоторых случаях для удаления файлов вирусов сначала нужно будет произвести аналогичные операции в реестре, но если с удалением проблем нет, их можно выполнить и после того.
Примечание: для наиболее результативного поиска рекомендуется сразу включить отображение скрытых файлов и каталогов, поскольку в большинстве случаев вирусные угрозы скрываются именно в таких локациях и представлены именно в таком виде.
Действия в системном реестре
В редакторе реестра (regedit) в первую очередь необходимо обратить внимание на папки автозагрузки Run и RunOnce в ветках HKLM и HKCU (их можно найти через обычный поиск при помощи сочетания Ctrl + F). В этих разделах следует удалить все подозрительные записи и ключи.
Кроме того, в ветке HKLM через разделы SOFTWARE, Microsoft и WindowsNT следует найти папку CurrentVersion с подкаталогом Winlogon, где для параметра Shell должно быть указано значение Explorer.exe, а для ключа Userinit – полный путь к одноименному исполняемому файлу (Userinit.exe) в директории System32. Если значения отличаются, их следует изменить. И только теперь можно выполнить полный рестарт системы. По идее, от вирусов указанного типа и следа не останется.
Заключение
Таковы вкратце основные методы поиска и нейтрализации вирусных угроз, воздействующих на исполняемые файлы. Подводя краткий итог всему вышесказанному, остается сказать, что при ручном удалении угроз, если они по каким-либо причинам не смогут быть нейтрализованы антивирусными средствами, после их удаления и полной перезагрузки системы на всякий случай все равно следует произвести сканирование компьютера, но при этом желательно сменить сканер или использовать несколько однотипных программ от разных разработчиков.
Источник: www.syl.ru
Как удалить вирус с браузера
Сегодня браузер — это одна из самых нужных программ на любом компьютере, который подключен к интернету. Неудивительно, что появилось множество вирусов, которые заражают не все программы подряд (как это было ранее), а бьют точечно — в браузер! Причем, часто антивирусы практически бессильны: они не «видят» вируса в браузере, хотя тот может вас перекидывать на различные сайты (иногда на сайты для взрослых).
В этой статье хотелось бы рассмотреть, что делать в такой ситуации, когда антивирус «не видит» вируса в браузере, собственно, как удалить этот вирус с браузера и очистить компьютер от различного рода adware (рекламы и баннеров).
1) Вопрос №1 — есть ли вирус в браузере, как происходит заражение?
Для начала такой статьи, логично, привести симптомы заражения браузера вирусом* (под вирусом подразумевается, в том числе, и рекламные модули, adware и пр.).
Обычно, многие пользователи даже не обращают внимание на то, на какие сайты порой переходят, какие программы устанавливают (и с какими галочками соглашаются).
Самые распространенные симптомы заражения браузера:
1. Рекламные баннеры, тизеры, ссылка с предложением что-то купить, продать и пр. Причем, подобная реклама может появляться даже на тех сайтах, на которой ее никогда не бывало ранее (например, в контакте; хотя там и так рекламы не мало…).
2. Просьбы отправить смс на короткие номера, причем на тех же популярных сайтах (от которых никто не ожидает подвоха… Забегая вперед, скажу, что вирус подменяет в браузере реальный адрес сайта на «подставной», который по виду не отличишь от настоящего).
Пример заражения браузера вирусом: под видом активацией аккаунта «Вконтакте», злоумышленники спишут деньги с вашего телефона…
3. Появление различных окон с предупреждением, что через несколько дней вы будете заблокированы; о необходимости проверки и установки нового флеш-плеера, появление эротических картинок и роликов и т.д.
4. Открытие произвольных вкладок и окон в браузере. Иногда, такие вкладки открываются через определенный промежуток времени и не заметно для пользователя. Увидите вы такую вкладку, когда закроете или свернете основное окно браузера.
Как, где и почему заразились вирусом?
Чаще всего заражение браузера вирусом происходит по вине пользователя (я думаю в 98% случаев…). Причем, дело даже не в вине, а в некой халатности, я бы даже сказал торопливости…
1. Установка программ через «установщики» и «качальщики»…
Самая распространенная причина появления рекламных модулей на компьютере — это установка программ через небольшой файл-установщик (представляет из себя exe файл, размером не более 1 мб). Обычно, такой файл можно скачать на различных сайтах с софтом (реже на малоизвестных торрентах).
При запуске такого файла, вам предлагают запустить или скачать файл уже самой программы (а помимо этого, на компьютере у вас появиться еще пяток различных модулей и дополнений…). Кстати, если обращать внимание на все галочки при работе с такими «установщиками» — то в большинстве случаев можно снять ненавистные галочки…
Depositfiles — при скачивании файла, если не убрать галочки, на ПК установятся браузер Амиго и стартовая страница от Mail.ru. Подобным макаром на ваш ПК могут установиться и «вирусы».
2. Установка программ с adware
В некоторых программах могут быть «вшиты» рекламные модули. При установке таких программ, обычно, можно снять галочки с различных дополнений для браузеров, которые они предлагают ставить. Главное — не жать кнопку далее, без ознакомления с параметрами установки.
3. Посещение эро-сайтов, фишинговых сайтов и пр.
Здесь особо комментировать нечего. Рекомендую все же не переходить по разного рода сомнительным ссылкам (например, приходящие в письме на почту от незнакомых лиц, либо в соц. сетях).
4. Отсутствие антивируса и обновлений Windows
Антивирус — это не 100% защита от всех угроз, но от большей части он все таки защищает (при регулярном обновлении баз). К тому же, если обновлять регулярно и саму ОС Windows — то от большинства «проблем» вы себя обезопасите.
2) Удаление вируса из браузера
Вообще, необходимые действия будут зависеть от вируса, которым была заражена ваша программа. Ниже я хочу привести универсальную инструкцию по шагам, выполнив которую, можно избавиться от большинства поголовья вирусов. Действия лучше всего выполнять в той последовательности, в которой они приведены в статье.
1) Полная проверка компьютера антивирусом
Это самое первое, что рекомендую сделать. От рекламных модулей: тулбаров, тизеров и пр. антивирус вряд ли поможет, и их наличие (кстати) на ПК — это показатель, что на компьютере могут быть и другие вирусы.
Антивирусы для дома на 2015 год — статья с рекомендациями по выбору антивируса.
2) Проверка всех дополнений в браузере
Рекомендую зайти в дополнения вашаего браузера и проверить, нет ли там ничего подозрительного. Дело в том, что дополнения могли установиться и без вашего ведома. Все дополнения, которые вам не нужны — удаляйте!
Дополнения в firefox. Чтобы зайти нажмите сочетание кнопок Ctrl+Shift+A, либо щелкните по кнопке ALT, а затем перейдите во вкладку «Инструменты -> Дополнения».
Расширения и дополнения в браузере Google Chrome. Чтобы зайти в настройки, перейдите по ссылке: chrome://extensions/
Opera, расширения. Чтобы открыть вкладку, нажмите кнопки Ctrl + Shift + A. Можно зайти через кнопку «Opera» -> «Расширения».
3. Проверка установленных приложений в Windows
Так же как и дополнения в браузере, некоторые рекламные модули могут быть установлены как обычные приложения. Например, поисковик Webalta одно время устанавливал приложения в ОС Windows, и чтобы избавиться от него — было достаточно удалить это приложение.
4. Проверка компьютера на malware, adware и т.д.
Как уже говорил выше в статье, антивирусы находят далеко не все тулбары, тизеры и прочий рекламный «мусор», устанавливаемый на компьютер. Лучше всего с этой задачей справляются две утилиты: AdwCleaner и Malwarebytes. Рекомендую проверить компьютер полностью обоими (они вычистят процентов 95 заразы, даже о той, о которой вы и не догадываетесь!).
AdwCleaner
Программа достаточно быстро просканирует компьютер и обезвредит все подозрительные и вредоносные скрипты, приложений и пр. рекламный мусор. Кстати, благодаря ней, вы очистите не только браузеры (а она поддерживает все популярные: Firefox, Internet Explorer, Opera и пр.), но и очистите системный реестр, файлы, ярлыки и пр.
Чистилка
Простая и удобная программа для очистки системы от различного мусора, шпионского и вредоносного рекламного ПО. Позволяет в автоматическом режиме очистить браузеры, файловую систему и реестр.
Malwarebytes
Отличная программа позволяющая быстро вычистить весь «мусор» с компьютера. Компьютер можно сканировать в различных режимах. Для полноценной проверки ПК хватит даже бесплатной версии программа и режима быстрого сканирования. Рекомендую!
5. Проверка файла hosts
Очень многие вирусы меняют этот файл на свой и прописывают в нем нужные строки. Из-за этого, заходя на какой-нибудь популярный сайт — у вас на компьютере загружается сайт мошенника (в то время, как вы думаете что это настоящий сайт). Далее, обычно, возникает проверка, например вас просят прислать смс на короткий номер, или сажают вас на подписку. В результате — мошенник получил деньги с вашего телефона, а у вас на ПК как был вирус, так и остался…
Располагается он по следующему пути: C:WindowsSystem32driversetc
Восстановить файл hosts можно разными способами: с помощью спец. программ, с помощью обычного блокнота и пр. Легче всего восстановить данный файл, использовав антивирусную программу AVZ (не придется включать отображение скрытых файлов, открывать блокнот под администратором и прочие ухищрения…).
Как очистить файл hosts в AVZ антивирусе (подробно с картинками и комментариями): https://pcpro100.info/kak-ochistit-vosstanovit-fayl-hosts/
Очистка файла Hosts в антивирусе AVZ.
6. Проверка ярлыков браузера
Если ваш браузер переходит на подозрительные сайты после того, как вы его запустили, а антивирусы «говорят» что все в порядке — возможно в ярлык браузера была дописана «зловредная» команда. Поэтому, рекомендую удалить ярлык с рабочего стола и создать новый.
Чтобы проверить ярлык, перейдите в его свойства (на скриншоте ниже показан ярлык браузера firefox).
Далее посмотрите на полную строчку запуска — «Объект». На скриншоте ниже — показано строка так, как она должна выглядеть, если все в порядке.
Пример «вирусной» строчки: «C:Documents and SettingsUserApplication DataBrowsersexe.emorhc.bat» «http://2knl.org/?src=hp4#128578;
1. Установите на компьютер современный антивирус и регулярно обновляйте его. Время потраченное на обновление антивируса меньше, чем вы потеряете на восстановление компьютера и файлов после вирусной атаки.
2. Обновляйте ОС Windows время от времени, особенно это касается критических обновлений (даже если у вас отключено авто-обновление, из-за которого часто тормозит ПК).
3. Не скачивайте программы с подозрительных сайтов. Например, не может программа WinAMP (популярный проигрыватель музыки) быть размером меньше 1 мб (значит вы собираетесь скачать программу через загрузчик, который очень часто устанавливает разного рода «мусор» в ваш браузер). Для загрузки и установки популярных программ — лучше использовать официальные сайты.
4. Чтобы убрать всю рекламу из браузера — рекомендую установить AdGuard.
5. Рекомендую регулярно проверять компьютер (помимо антивируса) с помощью программ: AdwCleaner, Malwarebytes, AVZ (ссылки на них выше в статье).
На этом сегодня все. Вирусы будут жить столько же — сколько и антивирусы!?
Источник: pcpro100.info