Пару недель назад стали "счастливыми" обладателями вируса блокирующего работу Windows XP и требующего отправить SMS с определённым текстом на указанный короткий номер для получения кода для разблокировки.
Кратко о системе:
- Лицензионная Windows XP со всеми вышедшими на данный момент обновлениями;
- Лицензионный антивирус ESET Smart Security 4 (с регулярными обновлениями);
- Mozilla FireFox 3.6 с расширением для блокировки рекламы AdBlock Plus. Правда без NoScript.
- Всё работало под единственной учёткой с правами администратора.
Вроде бы никаких сильно подозрительных сайтов не посещали и наверное, ничего не запускали, но так как в этот день у нас были гости, то 100% сказать не могу. Беглый просмотр history ничего сильно подозрительного не выявил, а открывать после восстановления контроля над компьютером все сайты из истории, по понятным причинам, не хотелось.
Вирус был обнаружен, когда я попытался открыть диспетчер задач, а мне сообщили, что это запрещено администратором. Так как я и есть администратор на этом компьютере, то это сразу вызвало у меня подозрения. При попытке провести какие-либо спасательные мероприятия (открыть msconfig, реестр, настройку групповых политик...) компьютер был отправлен в перезагрузку, после которой после загрузки Windows тут же появлялся черный экран с требованием отправить SMS на номер 5121 с текстом 7488054, окошком для ввода кода разблокировки и каким-то таймером обратного отсчёта.
От греха подальше, компьютер (ноутбук) тут же был закрыт, а я принялся с телефона искать спасительный код. Тут хочу сразу всех предупредить: Ни в коем случае ничего отправлять никуда не надо, так как только зря деньги потратите. Лучше сразу обратиться к специалистам. Если есть второй компьютер, то можно поиск производить с него, или же просто позвонить знакомым, предварительно выписав короткий номер на который требуют послать SMS и текст сообщения.
Сначала полез на сайт своего антивируса в поисках ключа для разблокировки и... его там НЕ НАШЁЛ. То есть были представлены несколько десятков пар кроткий номер-текст сообщения, но нужного мне сочетания не было. Тогда полез на сайт антивируса Dr.Web. Там всё сразу нашлось (подошёл код 2047692). Отдельно хочу отметить очень удобный и продуманный интерфейс именно для доступа с мобильного телефона. Если нужной вам комбинации у тут нет, то можно посмотреть ещё на сайте антивируса Касперского, или же просто поискать требуемое сочетание в интернете. Если же и поиск ничего не дал, то не спешите отчаиваться, возможно ещё не всё потеряно. Можно использовать альтернативные варианты загрузки (например, с CD/DVD, или с флешки, или же, если конфигурация компьютера позволяет, подключить другой жёсткий диск и загрузившись с него проверить всего пострадавшего на вирусы.
Найденный код подошёл, и вирус радостно отрапортовал, что мол "спасибо за денежку, я удаляюсь". Правда, доверия у меня его сообщение не вызвало, тем более что контроль над, например, диспетчером задач мне так и не вернули. Полез в интернет и выкачал AVZ - бесплатный антивирус Олега Зайцева (ссылка для скачивания находится в правой части в середине таблицы, сам не сразу нашёл, поэтому обращаю ваше внимание). Скачал, распаковал из архива, запустил, в разделе Методика лечения поставил галочку "Выполнять лечение", а также на закладке параметры поиска выбрал максимальный уровень эвристики и расставил все галочки, область поиска - все диски. AVZ предупредил, что после работы понадобится перезагрузка. После перезагрузки, прогнал его ещё раз. Для запуска диспетчера задач и т.п., воспользовался функцией AVZ->Файл->Восстановление системы.
В результате этих шаманских действий, в установленном у нас ESET Smart Securiry "отвалился" FireWall. Попытки его реанимировать ничего не дали. Так что пришлось скачать с сайта инсталятор, и отключив предварительно для безопасности сеть, переставить ещё и его. После установки, и скачивания необходимых обновлений решил для собственного успокоения провести полную проверку дисков им. Проверка ничего более не выявила. После полной проверки заодно решил почистить систему от накопившегося мусора используя утилиту CCleaner.
Профилактика:
- Не правильно, что компьютер постоянно работает под учёткой с администраторскими правами. Планирую ввести дополнительную учётную запись, с ограниченными возможностями, и переключаться под Администратора только в случае надобности.
- Не знаю, поможет ли нет, но решил отключить автозапуск для всех устройств. Некоторое неудобство, зато больше безопасности.
- Решил организовать, наконец-то, систему резервного копирования важной информации.
- В очередной раз подумал перевести домашний компьютер на Ubuntu. Оставив Window XP, в качестве доп. системы.