10.03.2012

Лечение некоторых распространенных вирусов

Оставлю здесь важную информацию, полученную после прочтения курса "Специалист по анализу активных заражений и лечение инфицированных систем с помощью антивирусного ПО Dr.Web", которая не держится в голове.


Алгоритм действий по борьбе с Trojan.Mbrlock

Стоит отметить, что значительная часть вредоносных программ этого типа запрограммированы на функционирование до определенной даты, после чего оригинальная MBR автоматически восстанавливается. Если лечение не помогло, или недоступна самая новая версия LiveCD, нужно, загрузив ПК с другого жесткого диска или сменного носителя, поменять системную дату на более позднюю — вполне возможно, троянец сам восстановит пораженную MBR.
Когда восстановление системы завершено, необходимо отыскать исполняемый файл троянца,
чтобы отправить его на анализ. Обычно это файл с расширением .exe, который находится в папке Temp пользовательского профиля. С помощью Dr.Web LiveCD/USB скопируйте все exe-файлы из этой папки и отправьте в антивирусную лабораторию «Доктор Веб». После отправки подозрительных файлов папку лучше всего очистить, чтобы предотвратить повторную активацию вредоносной программы.

Внимание! При поражении системы Torjan.Mbrlock не рекомендуется пользоваться
программами, восстанавливающими главную загрузочную запись. Троянец может хранить
оригинальный MBR в одном из начальных секторов, и попытка восстановления может не
помочь делу, но уничтожить запись оригинального MBR, что сделает невозможным восста-
новление обычными методами.


Борьба с вирусами семейства HTTPBlock и BrowseBan
(блокировщики браузеров)

Имеется нормально функционирующий ПК с доступом в Интернет. Но попытка открыть какой-либо сайт в любом установленном браузере не дает результата (реже встречаются ситуации, когда в одном браузере все работает, а второй заблокирован). Открывается либо одна и та же веб-страница, либо баннер в полокна.

Ниже приведен общий алгоритм действий. На каком именно шаге вы сможете вернуть доступ
в Интернет — будет зависеть от вируса. В любом случае, выполнив весь цикл, вы сделаете только лучше.

1. Проверить и очистить файл HOSTS. Файл HOSTS содержит сопоставления IP-адресов
именам узлов и в изначальном состоянии содержит всего одну действующую строку (все
остальное — комментарии):
127.0.0.1
localhost
Файл не имеет расширения и располагается в папке C:\WINDOWS\system32\drivers\etc. Как
правило, вирусы в первую очередь модифицируют именно HOSTS, прописывая там перена-
правление со многих популярных сайтов на локальный компьютер или на вредоносный сервер.
Чтобы исправить это, откройте Hosts с помощью программы Блокнот и удалите все строки,
кроме указанной выше. Проверьте, удалось ли решить проблему.
Зачастую мошенники применяют различные хитрости, осложняющие задачу по борьбе
с вирусом, вот наиболее популярные уловки:
  •   Полоса прокрутки. При открытии файл HOSTS выглядит нетронутым, если не обращать внимания на полосу прокрутки справа. Но наличие полосы прокрутки говорит о том, что далеко внизу (может быть 70 или больше пустых строчек) все-таки есть список перенаправления, но при открытии файла в окне сразу увидеть его нельзя. Прокрутите файл доконца и уберите все лишнее.
  •   Подмена пути к файлу. Файл HOSTS может оказаться нетронутым, но в то же время не обрабатываться Windows! Положение базы данных, которую и представляет собой hosts, задается в реестре ключе DataBasePath в ветке \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\. Открыв этот ключ с помощью Regedit, убедитесь, что ключ указывает именно на системную папку (значение ключа должно быть %SystemRoot%\System32\drivers\etc), а не на постороннюю. Если значение неверное —  замените его правильным и вновь попробуйте открыть какой-либо сайт. 
  •  Ложный файл. В папку C:\WINDOWS\system32\drivers\etc, кроме файла HOSTS, может быть помещен другой файл со схожим названием. Поскольку Windows обрабатывает путь, то есть все содержимое папки, воспринят будет и настоящий hosts, и файлы, которые помещены туда дополнительно. Чаще всего в указанную папку записываются скрытые файлы с именами hosts2, host или им подобными. Включите отображение скрытых и системных файлов, отображение системных папок, после чего проверьте, есть ли «лишние» файлы, и удалите их. 

2. Проверить настройки прокси в браузере. Следующий шаг вируса после модификации
файла HOSTS — изменение настроек браузера. Речь идет о такой опции, как "Используемый
прокси-сервер». В небольших сетях и на домашних ПК прокси-серверы обычно не использу-
ются, поэтому большая часть пользователей даже не знает об их существовании.
Для устранения проблемы с доступом в Интернет необходимо проверить настройки прокси
в браузере и, при необходимости, обнулить их:
  •   Internet Explorer. Откройте меню Сервис –> Свойства обозревателя. На вкладке Подключения нажмите Настройка сети. В открывшемся окне снимите флажки со всех пунктови нажмите ОK.
  •   Opera. Нажмите комбинацию клавиш Ctrl+F12. В открывшемся окне перейдите на вкладку Расширенные, в левом меню перейдите на Сеть и выберите Прокси-серверы. Снимите флажки со всех пунктов меню и нажмите ОK.
  •   Firefox. Откройте меню Инструменты –> Настройки –> Дополнительно. На вкладке Сеть нажмите Настроить и в открывшемся окне отметьте флажком пункт Без прокси.
Примечание. Если настройки прокси в вашем браузере подверглись изменению, запишите
на лист бумаги адрес прокси-сервера, в дальнейшем он нам понадобится. Например, там
может быть адрес 77.78.240.31.

3. Удалить из реестра созданные вирусом ключи. В предыдущем шаге мы получили
адрес прокси-сервера, на который производил перенаправление вирус. Чтобы блокировка
не повторилась, необходимо убрать из реестра все ключи с этим адресом. Запустите Regedit
и с помощью клавиш Ctrl+F (Найти) и F3 (Найти далее) удалите все ключи реестра, где встре-
чается найденный вами адрес, в нашем примере это 77.78.240.31. Также, если был обнаружен
вредоносный процесс, нужно удалить все ключи, содержащие его имя.
Если вы подозреваете, что какой-то ключ нельзя удалять, достаточно просто удалить присво-
енное ему значение.

4. Проверить специфические варианты работы вируса. К этому пункту относится работа по устранению нескольких известных вирусных действий для конкретных браузеров:
  •   Internet Explorer. В стандартном браузере от Microsoft наиболее уязвимую часть составляют BHO (англ. Browser Helper Object — вспомогательные объекты браузера). BHO — это плагины для Internet Explorer, которые могут быть как полезными для пользователя (если созданы легальными компаниями), так и вредоносными. Чтобы отключить обработкуплагинов, в главном меню браузера нажмите Сервис –> Надстройки и в открывшемся окне отключите ненужные надстройки с помощью кнопки Отключить.
  •  Opera. Часто баннер устанавливается пользовательским скриптом. Чтобы избавиться от него, достаточно удалить папку пользовательских скриптов. Ее расположение можно посмотреть в настройках браузера: нажмите комбинацию клавиш Ctrl+F12, перейдите на вкладку Расширенные, в левом меню нажмите Содержимое и выберите Настроить JavaScript. В строке открывшегося окна указана папка, где содержатся пользовательские скрипты. Откройте ее через Проводник и удалите все файлы. 
  • Firefox. Здесь баннеры запускаются из пользовательских дополнений. Чтобы удалить его, придется пожертвовать всеми дополнениями, если вам точно не известно название вируса (так обычно и бывает). Пользовательские дополнения хранятся в папке C:\Program Files\Mozilla Firefox\extensions.
6. Провести полную антивирусную проверку компьютера. Даже если проблема была решена на первом или втором шаге, но вирус, ставший ее причиной, сохранился на ПК, рано или поздно ситуация повторится. Чтобы этого избежать, необходимо установить антивирус, например от компании «Доктор Веб» (www.drweb.com). После установки обновите базы и проверьте ПК на вирусы.


Алгоритм действий при вирусном изменении домашней
страницы

Действия троянцев из семейства Trojan.Starter (http://vms.drweb.com/virus/?i=9284) не имеют
прямого отношения к главным «героям» этого раздела, зато, подобно им, проявляют свою
активность в браузерах. Первый и единственный признак поражения компьютера Trojan.Starter — это изменение домашней страницы на нежелательную без участия пользователя. В браузере Opera зачастую меняется стартовый внешний вид — вместо экспресс-панели открывается установленный троянцем сайт.
Важно, что при поражении этим троянцем восстановить стартовую страницу через стандартные настройки браузера невозможно — после перезагрузки браузера или ПК проблема возникает вновь.
Чаще всего в качестве стартовых страниц устанавливаются следующие ресурсы (не перехо-
дите по ссылкам!):
  www.webalta.ru
  www.apeha.ru
  www.ctel.ru
  www.smaxi.net
  www.wonderpage.org
Путь к решению проблемы варьируется в зависимости от используемого браузера. Общими
являются лишь два момента:
  •   Все действия необходимо выполнять при закрытом браузере, кроме тех пунктов, где нужно работать непосредственно в нем.
  •   После работы с файлами и папками любого браузера обязательно проведите чистку реестра (см. пункт про Internet Explorer).
Internet Explorer
  Нажмите Пуск –> Выполнить, введите regedit и нажмите OK.
  В меню реестра выберите Правка –> Найти, в строке поиска напечатайте название сайта,
заменившего вашу домашнюю страницу (например: webalta), и нажмите OK.
  Найдя первую запись с таким значением, необходимо очистить ее, удалив значение записи.
Удалять саму запись нельзя!
  Нажмите F3 для поиска следующей записи с искомым словом. Очистите ее и переходите
к следующей. Поиск нужно провести до конца реестра.
  Когда работа завершена, закройте редактор реестра.
  Откройте Internet Explorer и установите нужную вам домашнюю страницу в его настройках.

Opera
Откройте папку C:\Windows\system32 (где С: — диск установки ОС) и найдите в ней файл
operaprefs_fixed.ini. Просматривая его, вы, вероятно, обнаружите код, изменяющий домашнюю
страницу. Например, в случае с webalta.ru код выглядит следующим образом:
[User Prefs]
Home URL=http://webalta.ru
Startup Type=2
Если такой или ему подобный код присутствует в файле — удалите его и закройте файл,
сохранив изменения. После этого можно запустить Opera и задать прежнюю домашнюю стра-
ницу или режим экспресс-панели.

Firefox
Если проблема связана со страницей webalta.ru, в Firefox откройте меню Справка –> Инфор-
мация для решения проблем, после чего в открывшемся окне нажмите кнопку Открыть его
папку. Откроется папка с профилем Firefox. В ней необходимо найти два файла — user.js и prefs.js. Просмотрите их в любом текстовом редакторе, например Блокноте. Код, изменяющий стартовую страницу, выглядит так:
user_pref("startup.homepage_override_url", "http://webalta.ru");
user_pref("browser.startup.page", 1);
user_pref("browser.startup.homepage", "http://webalta.ru");
Если код обнаружен и при этом файл user.js, не содержит других записей, его нужно удалить.
Prefs.js удалять нельзя, достаточно убрать из него строки, влияющие на изменение домашней
страницы.
Если проблема связана с любой другой страницей, наберите в адресной строке браузера
about:config и нажмите Enter. В появившемся предупреждении выберите Я обещаю, что буду
осторожен.
Откроется реестр Firefox. Введите в строку поиска название установленной троянцем домашней страницы (apeha.ru, wonderpage.org и др.), и реестр выведет перечень записей, содержащих упоминание о ней. Очистите значения этих записей и перезапустите браузер.

Борьба с вирусами семейства Trojan.Encoder (вирусы-
шифровальщики)

Троянцы семейства Trojan.Encoder (http://vms.drweb.com/virus/?i=472) — один из самых непри-
ятных типов вредоносного ПО. Активировавшись в системе, они шифруют содержащиеся
на диске файлы, делая их содержимое недоступным для приложений и самого пользова-
теля. Шифрование может производиться по нескольким алгоритмам, чаще всего XOR (метод
шифрования, основанный на операции «исключающее ИЛИ» — eXclusive OR) и различные модификации TEA (Tiny Encryption Algorithm, блочный алгоритм шифрования). Шифровке подвергаются файлы наиболее распространенных типов: .rtf, .txt, .pdf, .xls, .rar, .zip, .xml, .c, .cpp, .h, .pgp, .jpg .jpeg, .psd, .mov, .doc, .docx, .xlsx, .ppt, .pptx, .db, .mdb, .dbf, .php, .mp3 и многие другие.
Исполняемые файлы программ, как правило, не шифруются, но сами приложения становятся
бесполезными, поскольку все обрабатываемые ими файлы делаются недоступными.
Этот вид вредоносного ПО обычно распространяется через электронную почту и Интернет,
могут использовать уязвимости браузеров.
К вопросам восстановления данных после атаки Trojan.Encoder нужно подходить очень осторожно, поскольку неверные действия могут привести к потере зашифрованных данных.
Постановка проблемы: имеется компьютер, рабочие файлы которого зашифрованы троянцем.
Наша задача восстановить всю информацию, после чего удалить вредоносное ПО из системы.
Для достижения цели необходимо будет выполнить следующие шаги:

Шаг 1. Необходимо определить, какой именно модификацией Trojan.Encoder поражена
система. Основные модификации шифровальщиков отличаются следующими признаками:
  •   К зашифрованным файлам добавилось одно из расширений: .icq550946977, .pizdec, .GpCODE, .а. Указывает на вирус Trojan.Encoder.94.
  •   К зашифрованным файлам добавилось одно из расширений: .korrektor, .exe, .bloc, .gggg, .diablo, .cool, .vhd, .mmm, .kis, .mis, .web. Любое из них могут иметь файлы, зашифрованные Trojan.Encoder.71.
  •   К зашифрованным файлам добавилось расширение .Crypted. Результат деятельности Trojan.Encoder.91.
  •   К зашифрованным файлам добавилось расширение .Encrypted. Оно присваивается файлам при шифровании троянцами Trojan.Encoder.94 и Trojan.Encoder.99.
  •   Файлы сжаты в ZIP-архивы, защищенные паролем. Это специфика Trojan.Encoder.68.
  •   Расширение файлов не меняется, на рабочем столе появляется сообщение с требованием оплаты и данными для платежа. Также в конец зашифрованных файлов добавились строки вида: "B3E36CB6475B5EB08D9507E09A0978880C28E1E3F6497B93C945738DB5D7B31DC2BDBFDF14E797DC". Этим отличается Trojan.Encoder.102.
  •   Расширение файлов не изменилось, но на рабочем столе появилось сообщение, вида "Все Ваши файлы заблокированы. Для разблокировки посетите сайт: ***". Здесь важно обратить внимание на ID и запомнить его. Подобным образом файлы шифрует Trojan.Encoder.96.
Шаг 2. Исходя из названия троянской программы, можно подобрать соответствующую утилиту для дешифровки. Компанией «Доктор Веб» выпущены бесплатные утилиты для восстановления файлов после поражения системы вирусами-шифровальщиками. Утилиты можно скачать по ссылке: ftp://ftp.drweb.com/pub/drweb/tools. Описанным выше шифровщикам соответствуют следующие утилиты: 
Всегда используйте наиболее новые версии утилит дешифровки, скачивая их с сайта drweb.
Например, актуальной версией сейчас являются 1.3.9 для 94-й утилиты и 1.4.15 для 71-й.

Шаг 3. Скачав соответствующую утилиту, можно приступать к расшифровке файлов. Ниже
приведен алгоритм работы со всеми упомянутыми утилитами:
  Te94decrypt.exe. Для дешифровки файлов от Trojan.Cncoder94/99 сперва необходимо
подобрать подходящий ключ расшифровки. Для подбора ключа необходимо сделать
следующее:
1. Скопируйте дешифровщик te94decrypt.exe в корневую папку диска C: и запустите его
через меню Пуск –> Выполнить. В строке запуска введите без кавычек: "C:\te94decrypt.exe
любой_файл". Утилита автоматически расшифрует файл по всем возможным вариантам
декодирования.
2. Будет создано несколько (иногда более 10) копий расшифрованного файла, название
каждой из которых будет оканчиваться набором символов "-kN", где N — некоторое число.
Например, один из вариантов расшифрованного файла может называться archive.rar-k201.
Число 201 — один из вариантов ключа.
3. Откройте поочередно все расшифрованные файлы и найдите тот, который расшифрован
правильно. Обратите внимания, какой ключ соответствует верному декодированию.
4. Запустите утилиту дешифровки Пуск, вместо имени файла указав подобранный ключ
(например: C:\te94decrypt.exe –k 201).
  •   Te91decrypt.exe. Для дешифровки всех файлов достаточно запустить утилиту двойным щелчком мыши и в открывшемся окне нажать Продолжить.
  •   Te102decrypt.exe. Для дешифровки всех файлов достаточно запустить утилиту двойным щелчком мыши и в открывшемся окне нажать Продолжить.
  •   Te71decrypt.exe. Работа с этой утилитой разнится в зависимости от модификации вируса, зашифровавшего файлы:  Trojan.Encoder.71. Для расшифровки файлов запустите утилиту двойным щелчком мыши и нажмите Продолжить.  Trojan.Encoder.96. Скопируйте дешифровщик te71decrypt.exe в корень диска C: и запуститеего через меню Пуск –> Выполнить. В строке запуска введите без кавычек: "C:\te71decrypt.exe–k ID", где ID — цифры, указанные на измененных вирусом обоях рабочего стола (в нашем примере 197).
Шаг 4. Проверьте расшифрованные файлы в нескольких папках. Если все в порядке, значит,
декодирование выполнено успешно, и можно приступать к последнему этапу — уничтожению файла троянца. Для этого можно использовать либо антивирус (предварительно обновив базы), либо утилиту Dr.Web CureIt! 

Примечание. До того как файлы расшифрованы, в системе нельзя производить никаких
действий! В их число входят:
  •   Проверка и лечение компьютера с помощью антивируса или утилиты Dr.Web CureIt! (или аналогичной).
  •   Переустановка Windows.
  •   Перемещение или удаление любых (в том числе не зашифрованных) файлов на компьютере.
  •   Если на компьютере (в корне диска C:\ или папке профиля пользователя) появились файлы с названиями crypted, pass или другими подобными — их ни в коем случае нельзя перемещать или удалять!
  •   Очистка истории браузера.
Примечание. Проверять, правильно расшифрованы файлы или нет, проще всего с помощью
архивов. Для этого достаточно открыть любой декодированный архив и провести
Проверку целостности или Тест архива (зависит от используемого архиватора).


Не обязательно пользоваться утилитами, рекомендованными компанией Dr.Web. Подозреваю, что и у других вендоров есть свои утилиты для этих целей. Изучать их цель не стояла. Здесь приведено всего-лишь общее описание борьбы с вирусами средствами продуктов компании Доктор Веб.

Вся информация скопирована из брошюры "Анализ активных заражений и лечение инфицированных систем с помощью антивирусного ПО компании "Доктор Веб". Учебный курс". Пост сделан только для того, чтобы не забыть эту информацию.

Update:  Утилита ScraperDecryptor для борьбы с Trojan-Ransom.Win32.Scraper (другие названия: TorLocker)

2 комментария:

Примечание. Отправлять комментарии могут только участники этого блога.