СМС Вирус

В данной статье мы расскажем о видах троянских вымогателей, их ещё называют смс вирусом и windows блокерами, и приведем некоторые способы о том, как избавиться от подобной «заразы». 

Для справки: троянский вымогатель (Trojan-Ransom) - вредоносная программа (которую в обиходе часто называют "смс вирус"), нарушающая целостность пользовательских файлов, работоспособность отдельного программного обеспечения или операционной системы в целом, и требующая от пользователя заплатить за восстановление нарушенного функционала или поврежденных файлов.

Внимание!!! 

1. ни в коем случае не выполнять требований злоумышленников, отправка смс на указанные в окне номера опустошит ваш счет на телефоне и к тому же не избавит Вас от проблемы,  
2. если вы неуверенный пользователь ПК, то не занимайтесь самолечением и не следуйте советам шарлатанов от компьютерной медицины (например, "удали все файлы из папки system32" - гарантированный способ умертвить Windows).

Перед лечением своего компьютера от  смс вируса не спешите выполнять приведенные скрипты в начале статьи, а внимательно прочтите статью до конца. В конце представлены наиболее эффективные в настоящее время способы лечения от смс вирусов.

Так же обратите внимание, на анимированный файл, с инструкцией по удалению смс вируса (дальше в статье).

СМС вирус Get Accelerator.

Начнем с самого первого смс вируса - Get Accelerator.
Антивирус Касперского распознает его как "Trojan-Ransom.Win32.Agent.gc", Dr. Web называют его "Trojan.Winlock.366", а BitDefender эвристически определяет его как "Gen:Trojan.Heur.Hype.cy4@aSUBebjk".

Рисунок 1. Смс вирус просит отправить смс.

 Вредоносная программа состоит из двух компонентов:

• драйвера %WinDir%dmgr134.sys
• внедряемой динамической библиотеки system32%{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll

Для удаления типичного представителя Trojan-Ransom.Win32.Agent.gc (смс вирус Get Accelerator) необходимо выполнить скрипт в AVZ (далее вы можете просмотреть анимированное изображение, с инструкцией по удалению данного вируса):

Код:

 begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('%WinDir%dmgr134.sys','');
 QuarantineFile('%System32%{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll','');
 DeleteFile('%System32%{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll');
 DeleteFile('%WinDir%dmgr134.sys');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполения данного скрипта операционная система перезагрузиться.

Скачать программу AVZ можно здесь: программа AVZ. 

Удаление смс вируса - анимационный файл с процессом выполнения удаления.

Рисунок 2. Анимированный файл с инструкцией по удалению смс вируса.

СМС вирус uFast Download Manager.

Второй представитель смс вируса - "uFast Download Manager", получивший наименования "Trojan-Ransom.Win32.SMSer.qm" и "Trojan.Win32.Agent.dapb" в базах данных Лаборатории Касперского и "Trojan.Botnetlog.11" - по классификации Dr. Web; BitDefender вновь определил вредоносную программу эвристически, назвав ее "BehavesLike:Trojan.UserStartup". 

В сравнении с "Get Accelerator" "uFast Download Manager" устроен немного сложнее с точки зрения интерфейса и несколько проще в том, что касается реализации. Основание для вымогательства также не изменилось: программа нарушает работу сетевого подключения. Иногда блокирует Диспетчер задач.

Рисунок 3. Смс вирус просит отправить смс.

 Для удаления типичного представителя uFast Download Manager (Trojan-Ransom.Win32.SMSer.qm, Trojan.Win32.Agent.dapb) необходимо выполнить скрипт в AVZ (как выполнить скрипт см. анимацию выше):

Код:

var
 SP: string;
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 SP:=RegKeyStrParamRead('HKEY_CURRENT_USER','SoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders','Startup');
 QuarantineFile(SP+'zavupd32.exe','');
 QuarantineFile('%UserProfile%applic~1ufastd~1propet~1.exe','');
 DeleteFile('%UserProfile%applic~1ufastd~1propet~1.exe');
 DeleteFile(SP+'zavupd32.exe');
 BC_ImportALL;
 ExecuteSysClean;
 ExecuteRepair(11);
 BC_Activate;
 RebootWindows(true);
end.

После завершения работы скрипта ваша операционная система должна перезагрузиться.

Скачать программу AVZ можно здесь: программа AVZ. 

Если после лечения смс вируса у Вас возникнет проблема соединения с сетью

Если после лечения смс вируса у Вас возникнет проблема соединения с сетью, сделайте следующее:

1. В диспетчере устройств Windows (правой клавишей мыши на значок мой компьютер закладка оборудование диспетчер устройств) удалите сетевой адаптер
2. Обновите конфигурацию оборудования. Старое соединение исчезнет и появится новое, которое можно переименовать в привычный вид. 

В дальнейшем вышли более продвинутые версии смс вирусов "Get Accelerator" – 2, "iMax Download Manager" (Packed.Win32.Krap.w) и "iLite Net Accelerator" (Packed.Win32.Krap.w)

Рисунок 4. Смс вирус с отсчетом времени.

От этих смс вирусов уже не избавиться простым выполнением скрипта.

Помимо баннера с вымогательским текстом вирус умеет делать следующее:

• мешать запуску и работе антивирусных инструментов и сканирующих утилит,
• блокировать Диспетчер задач и Редактор реестра,
• препятствовать загрузке Windows в безопасном режиме,
• выключать Восстановление системы Windows.

В данный момент антивирусные лаборатории помогают пользователям бесплатно получить код, введя номер, на который требуется отправить смс.

Получить код можно на сайте Dr. Web (http://www.drweb.com/unlocker/index/?lng=ru) или Антивируса Касперского (http://support.kaspersky.ru/viruses/deblocker)

После введения кода Вы получите доступ к своей операционной системе, но это не значит, что смс вируса уже нет. 

Для лечения смс вируса предлагаем две стратегии:

1. Скачайте на здоровом компьютере утилиту от DrWeb – CureIT (http://www.freedrweb.com/show/?i=688&c=19). Запишите её на CD или DVD (ни в коем случае не записывайте на флэшку! активный вирус повредит утилиту ещё до запуска!). Сделайте полную проверку "больного" в режиме Safe Mode, затем в нормальном.
    Этот способ может не помочь, если антивирус DrWeb не знает модификацию вируса, заразившего Ваш компьютер. Если это так, отправьте несколько зараженных файлов в вирусную лабораторию Dr. Web. (https://vms.drweb.com/sendvirus/).
   В течение суток CureIT! "научится" лечить вирус, правда утилиту придется скачать заново на "чистом" компьютере. 
    
2. Второй способ предполагает наличие здорового компьютера с установленным Антивирусом Касперского или Dr. Web. Именно эти антивирусы делают упор на сигнатурный детект, который необходим в лечении классических вирусов. Антивирусные базы должны быть самыми свежими. Достаньте жесткий диск "зараженного" компьютера и подключите к "здоровому". Запустите полную проверку антивирусом. По окончании проверкилечения верните диск на место.
   Данный способ также не гарантирует успеха, если антивирус не знает вирус. Кроме того, его нельзя применять, если один из компьютеров находится на гарантии или у Вас нет соответствующих навыков перестановки жесткого диска. 
   Также настоятельно рекомендуем использовать Антивирус Касперского 2010 с самыми свежими базами, помимо этого стоит настроить антивирус на углубленный поиск. 

Для этого нужно войти в настройки Антивируса Касперского (рисунок 5).

Выбрать меню полная проверка 

Рисунок 5. Настройка антивируса касперского для проверки компьютера.

Текущий уровень безопасности установить на Высокий

Рисунок 6. Настройка проверки компьютера.

После чего нажать кнопку «настройка»

Рисунок 7. Установите уровень проверки на максимальный.

Выскочит окно, в нем следует в закладке «дополнительно», установить Эвристический анализ «глубокий», и поставить галочку напротив пункта «Углубленный анализ». 

Рисунок 8. Настройка дополнительных параметров.

После чего нажать «ок». Данную настройку следует выполнить на всех видах проверки (Полная проверка, Быстрая проверка, Проверка объектов).

Рисунок 9. Установите глубокий уровень анализа.

После настройки Касперского на углубленный поиск можно проверять зараженный диск.

После лечения, возможно, потребуется обновить систему с установочного диска, а также восстановить настройки, вирус мог отключить некоторые службы, в том числе диспетчер задач и возможность редактирования реестра. 

Ни один из вышеперечисленных способов не гарантирует 100% восстановления поврежденных файлов и их работоспособности. Если поврежденные данные для Вас очень ценны, рекомендуем обратится в сервисный центр.