Как обнаружить троян на компьютере windows 10

Видео:Как удалить вирусы на Windows в два клика?Скачать

Как удалить трояны с компьютера

Как удалить трояны с компьютера? Троянские программы — это программы, которые используются злоумышленниками в целях нарушения работоспособности компьютера, сбора важной информации или других неблаговидных целей. Распознать и удалить трояна с компьютера — непростая задача для обычного пользователя ПК, поэтому люди часто зовут на помощь опытных программистов.

Не стоит отчаиваться и сразу звонить ремонтникам, ведь для нахождения троянов, воспользуемся специальными сканерами. Найти и искоренить трояна можно бесплатно! При этом не нужно быть супер пользователем пк.

Из этой статьи вы узнаете, как удалить троян с компьютера или ноутбука своими силами. Прежде чем говорить об удалении троянов, нужно разобраться, что они из себя представляют.

Видео:Как без антивируса легко находить майнеров и вирусы вручную? Отключение запуска вирусов.Скачать

Как удалить трояны с компьютера? Что такое троян?

Под троянами принято понимать крохотные программы, которые имеют зловредный код. Они могут хорошо маскироваться и заносить инфекцию в ПК посредством фейковых антивирусов, инсталляционных программ, зараженных сайтов и даже сетевых атак. Часто случается так, что троянцы находятся в ПК, но из-за хорошей маскировки они не видны антивирусам. Троян отличается от «червя», так как он не нацелен на самопроизвольное распространение. Он преследует следующие цели:

Охота за конфиденциальной информацией — это сбор всех данных, что вы используете в сети, включая данные о кредитках и телефоне. В дальнейшем злоумышленник может получить к ним доступ.

Задействовать ресурсы компьютера в своих целях

Получение удаленного доступа, так, что пользователь даже не заметит, присутствие чужого

Уничтожение полезных данных, кодирование важной информации или блокирование системы.
Как удалить вирус-троян, не зная его симптомов? Это будет проблематично, срочно знакомимся с ними.

Какие симптомы имеет компьютер при нахождении в нем трояна?

Как удалить трояны с компьютера? Сканеры и антивирусы

Часто обычные антивирусы не могут найти скрытные зловредные программы. Как удалить троян в этом случае? На помощь тогда приходят антивирусные сканеры, которые не конфликтуют с уже установленным антивирусом. У этих сканеров постоянно обновляется база сигнатур вирусов, что дает возможность найти их и обезвредить. Рассмотрим самые известные сканеры-антивирусы, они то уж точно знают, как удалить вирус троян.

Kaspersky Virus Removal Tool

Это антивирусный сканер, который легко устанавливается и не имеет множества настроек. Всё, что нужно сделать, это:

Trojan Remover

Это утилита, которая точно знает, как удалить трояны с компьютера. Она может запросто исправить модифицированные файлы, над которыми «поработали» зловредные программы. Как работать с утилитой?

Dr.Web Cure It

Она разработана компанией Dr Web. Её цель — удаление вирусов-троянов, а также червей и макровирусов, зловредов.
Как пользоваться утилитой?

Вывод: как удалить вирус троян можно обычному простому пользователю ПК. Как удалить троян с компьютера? Ответ достаточно простой – воспользоваться рассмотренными сканерами-антивирусами. Разумеется, их гораздо больше, есть еще такие полезные утилиты, как AVZ или Super AntiSpyWare. Какой именно утилитой пользоваться – решать вам!

Источник

Видео:Тотальное УНИЧТОЖЕНИЕ ВИРУСОВ на ВАШЕМ ПКСкачать

Поймали троян на ноутбук – расскажу как удалить

Как часто Вам приходится сталкиваться с вирусами или trojan? На моем личном ПК подобных проблем не возникает, благодаря надежному защитному ПО, но знакомые частенько спрашивают, как удалить вирус троян с ноутбука или стационарного компьютера. В этой статье я расскажу о простейших способах, которые должен знать каждый юзер.

Я работаю в компьютерной отрасли не первый год, и за это время устранил сотни вредоносных утилит. Иногда даже самый «навороченный» антивирус не способен решить проблему. Приходится использовать специализированный софт конкретно для каждой ситуации. Частенько на помощь приходят встроенные приложения и возможности Windows.

Видео:КАК УДАЛИТЬ ВИРУСЫ С КОМПЬЮТЕРА? 100 РАБОЧИЙ МЕТОДСкачать

Последствия негативного воздействия

Когда троян проникает в систему начинают происходить странные вещи:

Это лишь часть неприятных последствий проникновения вирусов в ОС Windows.

Видео:КАК УДАЛИТЬ ВИРУС - {ВИРУСОЛОГИЯ}Скачать

Решения

Нельзя сказать, что существует один универсальный способ для «лечения». Хакеры постоянно придумывают что-то новенькое, не позволяя расслабляться. Поэтому, некоторые трояны можно устранить очень быстро, а над другими придется изрядно попотеть.

Видео:КАК УДАЛИТЬ ВСЕ ВИРУСЫ НА КОМПЬЮТЕРЕ??? #shortsСкачать

Форматирование диска

Этот путь нежелателен для большинства пользователей, поскольку все данные с носителя будут удалены. Но иногда только таким образом можно спасти ситуацию.

Если вирусы крепко засели в системе, то проще отформатировать всё и переустановить ОС.

Рекомендую начинать с других способов.

Видео:Как Найти и Удалить Вирус МАЙНЕР на пк | Вычисляем Скрытый МайнерСкачать

Если система не запускается

В таком случае Вам не обойтись без установочного диска. Придется выполнить загрузку в безопасном режиме и вручную зачистить все следы трояна. Подробнее я расскажу далее.

Видео:😲ВИРУС МАЙНЕР💀, ЧТО С НИМ ДЕЛАТЬ?🤺Скачать

Не появляется рабочий стол

Такое случается после поражения некоторых системных ресурсов. После загрузки перед Вами появляется чёрный экран с курсором.

Видео:Как найти и удалить скрытый вирус майнер на вашем компьютере с Windows 10, 8 или 7 в 2019 🐛Скачать

Если не открываются сайты социальных сетей

Очень распространенное «заболевание», которое сводит с ума многих пользователей. Чаще всего решение скрывается в файле hosts:

Его нужно открыть в любом текстовом редакторе и удалить все записи. Затем перезагрузить ПК.

Видео:Как найти скрытый майнерСкачать

Полное сканирование

Как только заподозрили неладное, следует воспользоваться установленным антивирусом, запустив тщательную проверку. Это может занять несколько часов и поможет убрать вредоносный код с компьютера.

После запуска ОС, большинство драйверов и сетевых сервисов не будут включены, что позволит провести полноценное сканирование и избавиться от «недуга». Кроме того, антивирусный софт получит доступ к ресурсам, которые в обычном режиме могут быть заблокированы троянским софтом.

Видео:Скрытый МАЙНЕР - Вычисляем и УНИЧТОЖАЕМ!Скачать

DrWeb CureIt!

Если проверка не принесла желаемого результата (не было выявлено никаких проблем), то следует скачать бесплатно утилиту Cure It, которая содержит самые последние определения вирусов и может найти проблемы.

Видео:КАК ПРОВЕРИТЬ ВИНДОВС НА ВИРУСЫ?Скачать

Удаление процессов из автозагрузки

Открываем консоль «Выполнить» (Win + R) и прописываем команду:

После появления на экране окна настройки, переходим во вкладку «Автозагрузка» и снимаем галочки напротив подозрительных пунктов. Вот пример:

Устраняйте всё, что Вы лично не устанавливали. Если возникают сомнения, то зайдите в интернет с андройд планшета (или любого другого устройства) и «забейте» в поиск подозрительную строку, чтобы узнать её назначение.

Я написал уже много разных статей на тему лечение вирусов, можно будет глянть и там, может подойдет другой метод лучше.

Отдельно стоит упомянуть о вирусе Artemis (Артемида), который копирует свои файлы на диск, а потом начинает их дублировать. Таким образом свободное место начинает быстро заканчиваться. Чаще всего троян поражает только системы на базе Win32.

Видео:КАК УДАЛИТЬ ТРОЯН? 100 СПОСОБ УДАЛИТЬ ТРОЯН! LOARIS TROJAN REMOVER | Помощь в ПКСкачать

Очистка дисков

Я настоятельно рекомендую зачистить все файлы, которые связаны с точками восстановления, поскольку в них может содержаться вредоносный код. Также, стоит удалить временные файлы в папках Temp и просмотренные страницы браузера. Командную строку использовать не придется. Для этой цели подойдет любое сторонне ПО: Wise Care 365, CCleaner.

Видео:Как удалить троян с компьютера | удалить троян вирусСкачать

Используем AVZ, Ad-Aware

Чтобы защититься от шпионских приложений можно скачать данные мини-утилиты, которые могут бороться не только с Spyware, но и другими разновидностями Trojan.

Надеюсь материал был полезным, не забываем поделится им в социальных сетях по кнопкам ниже. До новых встреч.

Источник

Видео:Что такое Trojan и как от них защищатьсяСкачать

Удалить троян

Троян – это вид вредоносных программ, создаваемых злоумышленниками для особых целей. В случае подозрения на зараженность компьютера необходимо немедленно обратиться за компьютерной помощью и удалить троян.

Нет необходимости искать того, кто мог бы это сделать, ведь Вы уже находитесь на страничке профессиональной компьютерной службы быстрого реагирования.

Название таких вирусов происходит от Троянского цикла, когда в знак примирения в Трою противники пригнали коня из дерева, в животе которого разместился отряд греков, которые в ночь выбрались из этого «подарка» и открыли ворота для остальной армии.

Из-за этого хитрого трюка Троя оказалась повержена.

Современные вирусы-трояны работают по подобному принципу. Чаще всего они замаскированы под полезную утилиту, но при ее запуске троян забирает на себя управление ПК и записывает себя в критичные для операционки места.

Обычно, если троян попадает в компьютер, он блокирует диспетчер задач Виндовс и редактор реестра.

Видео:Как бесплатно и качественно проверить ПК на вирусы?Скачать

Зачем вообще выкладывают трояны?

Если мелкие, безобидные вирусы хакеры создают просто в качестве развлечения, то трояны обычно требуют много времени на разработку и служат совершенно четким целям. Они прочно обосновываются у вас в компьютере и начинают передавать «хозяину» ваши личные данные.

Например, троян может перехватывать вашу личную переписку, ловить пароли от интернет-банкинга или электронного кошелька, копировать переписку в любом десктопном мессенджере, шпионить за вашей работой.

Одним из популярных троянов является WindowsLocker, который блокирует рабочий стол с требованием перечислить круглую сумму денег на счет хакеров или отправить платное SMS.

Заразиться трояном можно практически в любом месте. Например, в социальной сети могут взломать аккаунт вашего приятеля и прислать ссылку с текстом вроде «Привет, смотри что нашел!» — естественно, вы уверены, что это ваш приятель хочет показать вам что-то интересное, открываете ссылку, и в этот момент ваш компьютер заражается вирусом.

Также поймать трояна можно и на любом сайте при скачивании файлов – программ, музыки, документов. Поэтому всегда нужно пользоваться только проверенными и официальными источниками.

Видео:Словил Майнер! Как удалить майнер? Загрузка ЦП 100 ПРОЦЕНТОВСкачать

Как защитить компьютер от трояна?

Практически любого трояна в состоянии обнаружить обычный, бесплатный антивирус. Правда, иногда, попадая в ПК, вирус сразу же блокирует работу антивируса. В таких случаях вам понадобится дополнительный софт.

Сразу хотим обратить внимание на то, что удаление троянов и червей часто невозможно до конца выполнить без помощи специалиста.

Эти программы так глубоко пускают корни в системе, что без большого опыта обнаружения и чистки троянов самостоятельно избавиться от вирусов невозможно.

Удаление троянов – задача, которая далеко не всегда бывает простой. Вредоносные программы, как правило, глубоко оседают в компьютере, вносят изменения в код и прочно закрепляются на устройстве, из-за чего их уничтожение может стать настоящей проблемой. Но нерешаемых задач, как известно, не бывает. Подавляющее большинство вредоносных программ, теми или иными способами, устранить можно. Но как это сделать?

Для того чтобы ответить на вопрос, как убрать троян, необходимо рассмотреть, как же действует антивирусный софт. Зачастую, принцип работы таких программ плюс-минус одинаков. Отличия могут скрываться в деталях:

Как проверить, есть ли на компьютере троян win32?

Для того чтобы определить наличие «инфекции» на компьютере и далее удалить троян, сначала устанавливается программа-антивирус и подбирается ключ, если программа является платной. После чего она запускается и появляется меню.

Далее выбирается соответствующий пункт меню, предлагающий сканировать компьютер на вирусы. Как правило, у каждого антивируса таковых два: быстрая проверка (проверяет компьютер за короткие сроки, но очень поверхностно) и углубленная (проводится долго, но устройство сканируется глубоко и проверяется каждый файл и папка).

При установке съемного жесткого диска или флеш-носителя, программа также предлагает их сканирование. Проверка файлов на трояны в данном случае осуществляется только на переносном устройстве, компьютер при этом не затрагивается.

Как только работа антивирусной программы завершится, она покажет результаты и предложит, что именно делать с файлами, которые она посчитала угрожающими пользовательским данным или корректной работе устройства. Это может быть:

Как правило, по такому алгоритму работает подавляющее большинство антивирусов. Единственное, может отличаться интерфейс и нужно будет найти лишь расположение тех или иных команд. Однако следует обратить внимание, что ни один антивирус не дает стопроцентной защиты и гарантии определения такого софта. Поэтому если компьютер поймал трояна, чистить ПК лишь одной программой, как правило, недостаточно. Профессионалы пользуются дополнительными утилитами, для наиболее достоверного определения.

Как избавиться от трояна?

Итак, допустим, антивирус обнаружил на вашем компьютере вирусы и предлагает очистку от троянов. Безусловно, вы можете попробовать удалить программу или файл вашим штатным антивирусом. Однако нередко при выполнении функции «удалить» или хотя бы «перенести в карантин» можно столкнуться с системной ошибкой.

Это значит, что вирус прячется, и не хочет так просто уходить с вашего компьютера. В таких случаях нужно прибегнуть к специальным программам.

Trojan Remover

Например, может помочь Trojan Remover. Это прекрасная программка, которая спасла уже не один миллион людей от троянов. Утилита имеет довольно большую мощность, но имеет недостатки. Во-первых, она доступна исключительно на английском языке, а во-вторых, за нее придется заплатить. Правда, у нее есть бесплатный пробный период на 30 дней. За это время вполне можно вычистить всех троянов.

Не смотря на свой мощный функционал, Trojan Remover весит совсем мало – всего 12 Мб. Вам нужно скачать и установить программу, постоянно нажимая «Далее». У вас появится окно, где нужно поставить флажок напротив «Проверить обновления». При этом компьютер должен иметь соединение с интернетом.

Нажмите на Update, чтобы загрузились обновления. Теперь программа готова к использованию. Запустите установленную программу, нажмите Continue и выберите Scan – запустится проверка компьютера на наличие троянов.

Если программа действительно обнаружит какие-то серьезные вирусы, она сообщит об их присутствии и предложит удалить.

Каждый раз, когда вы будете запускать устройство, софт будет автоматически проверять его, изучая наиболее значимые и уязвимые места ОС. Если вы выбрали лечение или удаление файлов, скорее всего, компьютер запустит перезагрузку. Поэтому перед тем, как начинать проверки и удаление файлов, сначала сохраните все важные данные и закройте браузер.

SUPERAntiSpyware

Еще одна программа, при помощи которой можно удалить системный троян, это SUPERAntiSpyware. Главное ее достоинство – это свободное распространение в полном функционале. Нужно скачать программу с официального сайта, запустить файл. Если вы хотите самую быструю установку, выбирайте Express Install, но там ничего не получится поменять в настройках. Поэтому лучше все-таки выбирать Custom Install.

Установка, в принципе, очень простая. По ее окончанию появится окошко с предложением купить профессиональную версию, но вам нужно отказаться. Теперь запускаете программу, выполняете обновление, щелкая по меню Check for Updates. Подождите завершения обновления антивирусных баз, затем закройте окно.

Чтобы полностью просканировать систему, нажмите на Complete Scan, поставьте отметку рядом с Enable Rescue Scan, затем нажмите на пункт Scan your Computer. Далее вы подтверждаете свои намерения.

Проверка на наличие троянов на ПК проходит довольно долго – 64 Гб твердотельного диска, например, проверяются около 15 минут. В конце проверки вы увидите результат. Все обнаруженные проблемы помечены флажками. Если вы не знаете, что это за файл или программа, смело удаляйте. Сделать это можно, нажав на кнопку Remove Threats. После окончания удаления вирусов компьютер перезагрузится, и после этого очистка окончена.

Spyware Terminator

Также обнаружить и удалить трояны можно при помощи программы Spyware Terminator. Ее главное достоинство – это поддержка русского языка.

Загружаем программу, проводим обычную установку. Вам будет предложено купить «лучшую защиту», но вы можете просто нажать на «ОК» и пропустить этот шаг.

После установки появится главное окно программы. Чтобы запустить обнаружение и лечение вирусов, нужно выбрать вкладку Сканирование и выбрать Полное Сканирование. Если программа что-то находит, вы жмете на кнопку «Удалить». Для удаления обычно программа просит закрыть все браузеры.

Выводы

В данной статье мы разобрали основные способы очистить компьютер от троянов. Чем больше вы будете знать об этой проблеме, тем сложнее троянам будет пробраться в компьютер.

Ниже мы приведем основные моменты в защите компьютера от любых вредоносных программ.

Если вам кажется, что компьютер работает нестабильно, запустите полную проверку антивирусом. Если вы скачиваете файлы, назначение которых вам неизвестно, также проверяйте их антивирусом.

Что делать, если программы не помогают?

Довольно часто встречается такая ситуация, когда даже со специальными программами удалить трояны не получается. Они просто остаются на своих местах даже после многократного удаления. Тогда остается всего два варианта:

Поэтому если вам кажется, что компьютер работает плохо, а антивирусы то и дело «кричат» о том, что в системе обнаружены угрозы, лучше отнесите компьютер к нашим профессионалам.

Источник

Рансомварь под Windows 10: как защититься от троянов-шифровальщиков и восстановить файлы

Содержание статьи

WARNING

Если троян зашифровал файлы, сразу выключи компьютер! Затем загрузись с флешки и постарайся собрать максимум данных. В идеале нужно сделать посекторный образ диска и уже после этого спокойно анализировать ситуацию.

Всадники шифрокалипсиса

Сегодня у большинства пользователей стоит какой-нибудь популярный антивирус или хотя бы MSRT – встроенное в Windows «средство для удаления вредоносных программ». Однако ransomware спокойно запускаются, шифруют файлы и оставляют сообщение с требованием выкупа. Обычно ключ для расшифровки обещают прислать после оплаты каким-нибудь полуанонимным способом. Например, зайти через Tor на страницу с дальнейшими инструкциями и перечислить выкуп на одноразовый номер кошелька.

Антивирусы реагируют на это так редко, что их разработчиков даже стали обвинять в сговоре. Это не первый случай, когда вирусологов подозревают в преступных целях, но технически здесь все объясняется проще. Дело в том, что троян-шифровальщик не выполняет никаких действий, однозначно свидетельствующих о его вредоносной активности. Сам троян-шифровальщик — это простейшая программа с набором библиотек общего назначения. Иногда это просто скрипт или батник, запускающий другие портейбл-утилиты. Давай разберем общий алгоритм действий шифровальщиков подробнее.

Обычно пользователь сам скачивает и запускает ransomware. Трояна подсовывают жертве под видом обновления, нужной утилиты, документа с фишинговой ссылкой и другими давно известными методами социальной инженерии. Против человеческой наивности антивирусы бессильны.

Попавший в систему троян-шифровальщик может быть опознан по сигнатуре только в том случае, если он уже есть в базах. Новые образцы в них заведомо отсутствуют, а модификации старых троянов дополнительно проверяют на детекты перед распространением.

После запуска трояна поведенческий анализатор антивируса молчит, поскольку, с его точки зрения, не выполняется никаких потенциально опасных действий. Какая-то программа ищет файлы по маске? Да пожалуйста! Создает копии файлов? Без проблем! Шифрует копии? Тоже не повод для паники. Функции шифрования поддерживаются большинством современных программ, а троян использует те же стандартные криптографические библиотеки. Он удаляет пользовательские файлы? Это тоже не запрещено — они ведь не системные. Затирает свободное место? Безопасное удаление также востребованная и легальная функция. Он добавляется в автозапуск? И это тоже разрешенное поведение.

В отличие от классических вирусов, троян-шифровальщик не пытается модифицировать файлы, не внедряется в активные процессы и вообще ведет себя скучно. Он просто создает копии документов и баз данных, шифрует их, а затем удаляет без возможности восстановления оригинальные файлы пользователя и ключ шифрования, оставляя текст с требованием выкупа. Во всяком случае, авторам троянов хотелось бы видеть именно такое идеальное поведение. В действительности же эта цепочка процессов может дать сбой на любом этапе, благодаря чему становятся возможными альтернативные методы расшифровки.

Превентивные меры

Обычные антивирусы не в силах бороться с новыми шифровальщиками, сигнатуры которых пока отсутствуют в их базах. Они могут лишь распознавать наиболее грубые модификации на уровне эвристики. Комплексные решения (вроде Dr.Web Security Space и Kaspersky Internet Security / Total Security) уже умеют устранять их деструктивные последствия. Они заранее создают копии пользовательских файлов, скрывают их и блокируют доступ к ним сторонних программ. В случае если троян доберется до фоток и документов из стандартных каталогов, всегда можно будет восстановить их из копий, а зашифрованные файлы просто удалить.

Поскольку антивирусный комплекс загружает свой драйвер и модуль резидентной защиты еще до входа пользователя, это довольно надежный метод хранения резервных копий. Однако их можно делать и сторонними утилитами. Главное, чтобы они размещались на внешнем носителе, который отключается сразу после создания бэкапа. Иначе троян обнаружит резервные копии на постоянно подключенном винчестере и также зашифрует их или повредит.

Инкрементные бэкапы на внешнем диске

Xakep #216. Копаем BitLocker

Из универсальных программ для бэкапа функцией дополнительной защиты от действий вредоносных программ обладает бесплатная утилита Veeam Endpoint Backup Free. Она умеет автоматически отключать USB-диски сразу после завершения создания резервных копий и сохранять несколько версий файлов.

К дополнительным особенностям программы относится умение бэкапить системные разделы без их отключения (теневая копия), практически мгновенное восстановление отдельных файлов и каталогов (их можно открывать прямо из образа по ссылкам) и другие интересные опции. Также она умеет создавать загрузочный диск со своей средой восстановления на тот случай, если троян заблокировал нормальную работу ОС.

Загрузка в среде восстановления Veeam

Кроме универсальных утилит для резервного копирования с дополнительными функциями защиты от шифровальщиков, есть целый ряд специализированных программ превентивной защиты. Одни из них бесплатно доступны только на стадии бета-тестирования, а затем становятся новым модулем платного антивируса (например, так было с Malwarebytes Anti-Ransomware). Другие пока существуют именно как отдельные бесплатные решения.

GridinSoft Anti-Ransomware

Эта украинская утилита для предотвращения заражения программами-вымогателями как раз находится в стадии бета-тестирования. Разработчики описывают ее как универсальное средство, препятствующее любым попыткам выполнить несанкционированное шифрование файлов. Они обещают эффективно блокировать атаки ransomware и предотвращать вызываемую ими потерю данных. На практике утилита оказалась бесполезной. Первый же троян-шифровальщик из старой подборки преспокойно запустился, сделал свое грязное дело и повесил на рабочий стол требования о выкупе.

CryptoPrevent Malware Prevention

Эта утилита оставила самое неоднозначное впечатление. CPMP действует проактивно на основе большого набора групповых политик и множества поведенческих фильтров, контролируя действия программ и состояние пользовательских каталогов. В ней доступны несколько режимов защиты, включая уровень «Максимальный», который работает по принципу «включил и забыл».

Интерфейс программы обеспечивает быстрый доступ к десяткам настроек, но после изменения большинства из них требуется перезагрузка. Само приложение CPMP не должно работать все время. Его требуется запускать только для мониторинга и обслуживания. Например, для проверки состояния, чтения логов, обновления или изменения параметров.

При этом графическая надстройка очень долго запускается и в ней нет оповещений в реальном времени. Также нет и привычного карантина. В режиме «Максимальная защита» все файлы, опознанные как опасные, просто удаляются без вопросов.

Для проверки мы попробовали поставить в CPMP максимальный уровень защиты и последовательно выпустить на волю семь разных троянов-вымогателей. Три из них были удалены CPMP сразу при попытке запуска. Никаких сообщений при этом не отображалось. Четыре других благополучно стартовали, однако до финиша не добрались. CPMP не давал им создать новые файлы и зашифровать пользовательские, но и не удалял. Загрузка процессора все время была 100%, диск стрекотал, и делать что-либо в тестовой системе было невозможно.

CryptoPrevent сдерживает осаду троянов

С трудом нам удалось добраться до клавиши Kill Apps Now в окне CPMP. Через секунду все программы, запущенные от имени пользователя (включая Process Explorer), были принудительно выгружены. В оперативной памяти остались только системные процессы.

Картина «После боя». Художник — CryptoPrevent

За время боя некоторые зловреды обосновались на рабочем столе, а троян Satan.f добавил в автозапуск вывод текстового требования о выкупе. Шифрования файлов при этом не произошло, но и полного удаления малвари тоже.

Получилась патовая ситуация: даже максимально жесткие ограничения не обеспечили надежной защиты от троянов-вымогателей. В некоторых случаях активное противодействие им приводило к тому, что все системные ресурсы оказывались полностью заняты. Уведомлений при этом не выводится никаких. Понять, что происходит в системе, можно только по анализу логов, но до них еще нужно добраться.

Cybereason RansomFree

Это поведенческий анализатор для Windows 7–10, предназначенный предотвращать заражение известными и новыми троянами-вымогателями, включая шифровальщики и винлокеры. По заявлению разработчиков, программа написана бывшими военными экспертами в области информационной безопасности, которые получили 90 миллионов долларов инвестиций от Lockheed Martin и Softbank.

Первый детект Cybereason

Первый троян-шифровальщик запустился, но тут же вылетел с ошибкой. Второй стал активным процессом в памяти. Cybereason тут же определил его и предложил не просто выгрузить, а заодно и удалить созданный трояном файл.

Третий троян также был успешно заблокирован. Cybereason не дал ему зашифровать файлы. Процесс 58CD2A07 был выгружен, а единичный детект на VirusTotal у Wininit.exe — ложноположительное срабатывание.

Двух следующих троянов Cybereason проморгал. Они были активны всего несколько секунд, но этого хватило для преодоления проактивной защиты.

Бывшие военные сдаются

Старый знакомый Petya принудительно перезагрузил компьютер, заблокировал запуск Windows и зашифровал файлы. Даже жаль, что Cybereason так быстро сдался. У нас еще столько коней было из числа ветеранов кавалерии!

Ветераны победили Cybereason

Kaspersky Anti-Ransomware Tool for Business

Эта бесплатная программа призвана защищать от всех видов ransomware, включая новые шифровальщики и винлокеры. Работает в современных версиях Windows (7–10) любой разрядности. Она определяет новые версии ransomware по репутационной характеристике файлов в облачной сети Kaspersky Security Network и поведенческому анализу, который выполняет компонент «мониторинг активности». KART for Business может использоваться с любым сторонним антивирусом, но эта программа несовместима с собственными решениями «Лаборатории Касперского», так как в них уже включена аналогичная функциональность.

Работает KART в фоне и не отъедает системные ресурсы сколь-нибудь заметно. Настройки у программы минимальные и не касаются собственно проверки. Она всегда выполняется через облачную сеть KSN, а пользователя лишь уведомляют о найденных угрозах.

Если срабатывание на какое-то приложение ты считаешь ложным, то можно добавить его в список исключений, кликнув Manage Applications. но лучше дважды подумай.

Любой детект требует времени, поэтому KART хранит историю активности приложений на тот случай, если троян успеет выполнить какие-то изменения в системе до того, как его заблокируют.

Отмена изменений, сделанных трояном

При запуске на уже зараженном компьютере Kaspersky Anti-Ransomware Tool for Business автоматически обнаруживает зашифрованные трояном файлы и помещает их в отдельное хранилище для последующей передачи специалистам на расшифровку.

Bitdefender Anti-Ransomware Tool

Еще одна программа с говорящим названием от румынской компании Bitdefender. BART может использоваться параллельно с любыми антивирусами, кроме созданных в Bitdefender — в них уже есть соответствующие модули. Внешне BART работает аналогично KART. У них общие заявленные принципы детекта известных и новых троянов через фирменную сеть облачной проверки и поведенческий анализатор. Разработчик указывает, что в основу BART легли методы противодействия четырем основным семействам троянов-шифровальщиков: CTB-Locker, Locky, Petya и TeslaCrypt.

Возможно, именно от них утилита и защищает, однако даже краткое знакомство с BART оставило неприятное впечатление. Он не смог предотвратить запуск первого же трояна, причем его сигнатура давно есть в базах Bitdefender. Троян без проблем прописался в автозапуск и начал хозяйничать в системе, в то время как BART показывал зеленый свет.

BART не определяет трояна из базы Bitdefender

Осматриваем дареного коня

Если троян-шифровальщик все же запустился в системе и успел натворить дел, то не паникуй и не пытайся удалить его из работающей операционки. Теперь твой компьютер — место преступления, на котором надо сохранить все следы.

Вопреки пословице, в случае шифровальщиков у дареного коня надо смотреть всё — дизассемблером и hex-редактором. Лучше поручить это аналитикам антивирусных лабораторий, поскольку они в любом случае будут изучать новый образец малвари. Часто в коде удается найти зацепки, помогающие разработать способ расшифровки файлов. Поэтому ни в коем случае не прибивай коня до полной расшифровки. Просто стреножь его, удалив из автозапуска и поместив в архив с паролем.

Именно ошибки в коде трояна помогают найти ключ быстрее, чем за 100500 тысяч лет, как это было бы в случае корректной реализации его авторами AES-256. Этот стандарт шифрования часто упоминают создатели троянов в своих угрозах. Считается, что это внушит жертвам мысль о невозможности расшифровки файлов без ключа, но реально многие трояны основаны на более простых алгоритмах.

У тех же зловредов, в которых действительно пытались использовать AES, из-за грубых недочетов множество вероятных ключей сужается до такого объема, который уже можно перебрать на обыкновенной персоналке за несколько дней или даже часов. Встречаются среди ransomware и такие варианты, которые вообще не требуют особой квалификации для расшифровки. У них либо ключ хранится локально, либо все «шифрование» построено на операции не сложнее XOR.

Эксперт компании Emsisoft Фабиан Восар (Fabian Wosar) часто шутит в своем блоге, что вскрытие алгоритма шифрования очередного недотроянца заняло у него меньше времени, чем написание требований о выкупе у его авторов. Он бесплатно выкладывает утилиты для дешифровки файлов на сайте компании.

Начинать стоит именно с поиска бесплатных утилит на этих сайтах, но что делать, если нужная среди них так и не нашлась? К сожалению, это тоже весьма вероятно. Новые версии троянов-шифровальщиков появляются постоянно, да и не все из них ломаются на раз-два. С отдельными образцами аналитики могут провозиться больше месяца. Изредка бывает и так, что метод расшифровки не удается обнаружить вообще. Это либо результат особенно качественного шифрования (большая редкость), либо наоборот — максимально кривого кода троянца, алгоритм которого портит файлы и в принципе не предполагает корректную расшифровку.

Если известные бесплатные утилиты не помогли, то можно отправить письмо Фабиану, создать запрос на сервисе Crypto Sheriff, а заодно написать в техническую поддержку Emsisoft и других антивирусных компаний.

В любом случае новую малварь стоит прислать вирусным аналитикам. Причем отправить им лучше не только файл самого троянца, но также все созданные им временные файлы и три-пять образцов зашифрованных файлов. Если у тебя в бэкапах где-то остались оригинальные (незашифрованные) версии этих же файлов, то прикрепи их к запросу. Сопоставление пар «открытый текст / шифртекст» — один из основных методов криптоанализа. Чем больше таких пар ты сможешь найти, тем быстрее отыщут метод расшифровки.

По моему опыту, лучше всех расшифровывать файлы получается у Dr.Web и «Лаборатории Касперского». Если у тебя есть действующая лицензия на любой их коммерческий продукт, то аналитики бесплатно расшифруют файлы. Если ты не их пользователь — то за деньги. Как правило, услуга расшифровки стоит в разы дороже годовой лицензии на антивирус, но такую политику можно понять. Криптоанализ, особенно в случае AES и RSA, отнимает много времени, которое специалистам целесообразнее тратить на поддержку своих постоянных клиентов.

В октябре один из наших читателей словил новую модификацию трояна-шифровальщика и одновременно обратился в техподдержку разных компаний.

Уже через три дня ему ответили из Dr.Web: «Решение найдено. Расшифровка возможна. Для не пользователей Dr.Web услуга платная. Путь к получению расшифровки на коммерческой основе: приобретение Dr.Web Rescue Pack стоимостью 5299 рублей без НДС. В состав пакета Dr.Web Rescue Pack входит услуга по расшифровке и лицензия на Dr.Web Security Space на два года для защиты одного ПК».

Читателя не устроила цена, поэтому он стал ждать ответа от других компаний. Примерно через месяц на сайте «Лаборатории Касперского» появилась новая версия бесплатной утилиты RannohDecryptor, которой он и расшифровал свои файлы.

Расшифровка файлов

Расшифровка выполнялась локально и, судя по длительной стопроцентной загрузке процессора, методом перебора. Полная расшифровка 565 файлов заняла девять с половиной часов на десктопном Core i5. Нерасшифрованным остался только один файл, оказавшийся копией другого.

Выводы

Трояны-шифровальщики создают массу проблем, заставляя тратить много времени и/или денег на расшифровку своих файлов. Простого антивируса для борьбы с ними недостаточно. Рано или поздно он пропустит новую малварь, сигнатуры которой еще нет в базах. Поэтому стоит прямо сейчас озаботиться дополнительными мерами защиты. Среди них есть множество бесплатных вариантов, но их эффективность пока оставляет желать лучшего. Как минимум есть смысл регулярно делать бэкапы и ограничивать доступ к ним, а также заранее сделать подборку утилит для дешифровки.

Источник