Computer ajuta, repararea calculatorului în g
Programe-extortionists. Clasificare. Metode de tratament
Programe de clasificare; solicită răscumpărarea
C o minte flux de lucru extortionists malware sunt împărțite:
1. extortionists programe care restricționează accesul la site-urile;
2. programe rău intenționate care limitează activitatea cu browser-ul;
3. extortionists programului, blocarea accesului la serviciile de sistem de operare și funcții;
4. programe rău intenționate care limitează acțiunile utilizatorului în sistemul de operare;
5. Programul extortionists criptează fișierele de pe calculatorul utilizatorului.
Programe de LL enumerate sunt clasificate ca Trojan-Ransom malware. Scapă de programele de acțiune ale revendicărilor 1 și 2 nu prezintă nici o dificultate și poate fi realizată manual, fără ajutorul aplicațiilor anti-virus. Cu programe de revendicările 3 și 4 se pot ocupa de dificil și chiar necesar să se recurgă la ajutorul unui software special. Programul revendicării 5 de multe ori nu poate fi deblocat fără asistența specialiștilor de înaltă calificare și software scump.
P Să luăm în considerare fiecare element de clasificare extortionists malware separat.
Programele extortionists care restricționează accesul la site-uri
În acest caz, avem de-a face cu un fișier obișnuit cu extensia * .bat și dimensiunea de 13 kilobytes, pentru a modifica fișierul hosts pe calculatorul utilizatorului. Mecanica de lucru malware a unui astfel de fișier va fi discutată într-un articol viitor pe blog-ul nostru.
Prefixul P scurt, de obicei de patru cifre, numere, operatorii de criminali închiriate SMS-uri de facturare. Prețul pe SMS este determinată de chiriaș unui număr scurt, și pot fi limitate la limitele lăcomiei sale și poftele financiare. Cel mai adesea, suma reală percepută pentru utilizator pentru un SMS este mult mai mare decât cel care este listat în „raportul de informații“ pe site-ul, în cazul în care este redirecționat vizitatorului.
Și din această sumă în contul de intrus pe Internet intră doar aproximativ patruzeci de procente din suma obținută în mod fraudulos, restul de bani merge la contul numerelor scurte locatorul și operatorul SMS. Banii primiți de șantajist, în mod direct sau indirect, incasare cu portmonee ale sistemelor cunoscute de bani virtuale WebMoney, Yandex.Money și altele.
programe rău intenționate care limitează activitatea cu browser-ul
- Deschide fereastra "Gestionare programe de completare" din Tools> Add-ons> Activare sau dezactivare programe de completare.
- Definiți un add-on rău intenționat printre lista din fereastra. De obicei, acestea sunt suplimente în „editor“, care fie nu au, sau apare inscripția „Nu a fost verificat“
- Dezactivați add-on-uri au fost găsite dăunătoare, definindu-le statutul de „persoane cu handicap.“
- Reporniți browser-ul pentru a se asigura că adăugarea malware-ului nu mai este valabil.
- Dacă pașii de mai sus nu ajuta, cel mai probabil, nu a fost dezactivat plus, încercați să dezactivați toate programele de completare unul câte unul din lista afișată, și sunt sigur de a găsi pe cel potrivit.
programe extortionists, să blocheze accesul la serviciile și funcțiile sistemului de operare
Q Pentru a evita pierderea de date nesalvate în cazul în care computerul este într-un mediu de rețea, puteți încerca următoarele:
- Porniți pe coajă de comandă la distanță cmd.exe calculator
- Executați următoarele comenzi:
WMIC
/ NOD:<имя компьютера>
/ USER:<имя пользователя на атакованном компьютере>
- Se introduce parola pe o mașină blocată
- Lista extras de procese în derulare pentru a selecta suspecte, care nu se aplică la Windows și rularea programelor de utilizator și rulați comanda: proces în cazul în care numele = "<имя блокирующего процесса>„șterge
- La finalizarea acestui proces pe calculatorul utilizatorului va dispărea banner șantajist.
- În cazul în care un șantajist banner nu a apărut imediat, dar după o repornire a mașinii și nu există nici un pericol de a pierde date nesalvate, reporniți computerul la pornirea sistemului apăsați tasta F8, până când apare un meniu cu o listă de moduri de încărcare.
- Selectați modul de descărcare «Repair Your Computer» (Restaurarea computerului);
- După introducerea parolei, va apărea o fereastră cu o fereastră de dialog în care selectați «System Restore»
- începe să ruleze System Restore Wizard, urmând instrucțiunile pe care trebuie să selectați un punct de restaurare de la data la care calculatorul a lucrat bine.
- În cazul în care instrucțiunea №2 nu a ajutat, este necesar să se utilizeze o metodă pentru a elimina manual troian malware folosind modul sigur de Windows
- Reporniți computerul la pornirea sistemului apăsați tasta F8, până când apare un meniu cu o listă de moduri de încărcare.
- Selectați modul de descărcare «Safe mode with Command Prompt» (Safe Mode de pornire pentru o comandă de rulare rapidă)
- După ce Windows pornește în acest mod, este posibil să curgă de la linia de comandă, folosind orice aplicație care este posibil să se neutralizeze software rău intenționat. Pentru a găsi numele proceselor care trebuie să fie eliminate, utilizați un alt computer, neinfectate.
- În cazul în care modul de siguranță este programul extortionist dezactivat, porniți mașina de pe un LiveCD disc bootabil, ERDCommander, Acronis sau alta la alegere.
- Localizați registry HKEY_LOCAL_MACHINE cheie \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
- Modificarea cheii valoarea Userinit în C: \ Windows \ System32 \ userinit.exe
- Eliminați fișierul virusului în Userinit
- Reporniți computerul în modul normal
programe rău intenționate care limitează acțiunile utilizatorului în sistemul de operare
T familie royany de Trojan-Ransom, Trojan-Ransom.Win32.Krotten și Trojan-Ransom.Win32.Taras utilizați disponibile în Windows capacitatea de a schimba un set de utilizatori funcțiile unui anumit mașină. În cele mai multe cazuri, după efectul unui astfel de program, șantajistul, doar un singur browser-ul poate rula pe masina infectate, și apoi doar pentru a admira mesajul de răscumpărare. Alte programe și procese nu vor putea rula toate funcțiile utilizatorului va fi blocat.
P azblokirovat astfel de acțiuni troienii pot urma instrucțiunile:
- Boot în modul de siguranță și conectați-vă ca un alt utilizator.
- acțiunile utilizatorilor sunt adesea diferite de cea care a început programul, extortionist, nelimitat.
- Însoțitorul de calculator descărca programul de vz pe Internet și salvați-l pe unitatea flash.
- Boot de pe LiveCD disc de boot, ERDCommander, Acronis sau alta la alegere.
- Copiați conținutul folderului cu vz de utilitate cu mass-media flash pe desktop, redenumiți folderul fișierul AVZ.exe copiat la IEXPLORE.EXE, astfel mascând programul util pentru noi de Internet Explorer, care nu este, de obicei, nu începe.
- Reboot aparatul și conectați ca utilizatorul este blocat și rula un program de vz desktop a noului Iexplore.exe fișier
- Utilizarea interfeței programului, selectați „Restaurare sistem“ elementul de meniu bifați pe toate punctele, cu excepția ultima și începe vosstanvoleniya proces.
- Când lucrarea este terminată, reporniți aparatul. Toate restricțiile trebuie ridicate.
Programul extortionists criptează fișierele de pe calculatorul utilizatorului
Cu ovsem neobișnuit, dar mai mult și mai frecvente în ani extortionists recente programe de vizualizare, atunci când virusul invizibil pentru utilizator criptează fișiere cu informații importante, de regulă, fișiere cu extensiile * .doc, * .docx, .xls *, * .xlsx , * .txt și altele. Pe lângă fișierele criptate, du-te înapoi la același director cu acesta, programul este un atacator plasează un fișier text cu textul condițiilor de rambursare, nu ca Trojan-Ransom.Win32.GPCode. Mai puțin frecvent, se întâmplă ca banner-ul extortionists este pus pe tapet desktop, în caz Trojan-Ransom.Win32.Encore mâini. Fișierele criptate reprezintă un nonsens umplut kryakozyabry complet, nimic nu este absolut imposibil de citit. Cel mai frecvent copil al acestei familii - Trojan-Ransom.Win32.Gpcode. Programe-extortionists grup de Trojan-Ransom.Win32.Cryzip, fără alte formalități plasate fișiere cu informații importante pentru utilizator în fișiere .zip * și închideți-le cu o parolă, pentru care a cerut să plătească o răscumpărare plătită prin SMS. Un grup de escroci din oferta Trojan-Ransom.Win32.Fixer pentru a „cumpăra“ un utilitar special pentru decriptarea fișiere. Anunțul iese doar în momentul în care utilizatorul încearcă fără succes să deschidă un fișier criptat discret. Plata pentru utilitatea lor pentru fișierele de descifrare, evazioniștii, desigur, cere pentru a trimite prin SMS-uri.
B Pentru a trata fișiere criptate pe cont propriu trebuie să aibă în sine troian și să încerce să-l despacheta, pentru a găsi o modalitate de a cripta și decripta programul de scriere. Dacă nu poți face acest lucru, trebuie să contactați serviciul de asistență tehnică orice companie anti-virus.