Исследовательская работа
по теме «Троян Winlock и как с ним бороться»
Ученицы 11А класса
МБОУ БГО Борисоглебской СОШ №4
Субботиной Дарьи Борисовны
Компьютерный вирус - это программа-вредитель, обычно малая по размеру, имеющая способность саморепликации. Самостоятельно может многократно копировать свой код и присоединяет его к кодам других программ, мешая корректной работе компьютера.
Первые вирусные эпидемии относятся к 1987-1989 годам.
Вирус «Brain» - первый компьютерный вирус. Создан 19 января 1986 г. Заражал загрузочный сектор дискет. Вирус был написан в Пакистане братьями Базидом и Амджадом Фарух Алви, оставившими текстовое сообщение с их именами, адресом и телефонным номером.
Первые вирусные эпидемии
Вирус «Jerusalem».Уничтожал программы при их запуске. Сообщения о зараженных компьютерах поступали из Европы, Америки, с Ближнего Востока.
Вирус «Червь Морриса» Удалял свой исполняемый файл, переименовывал свой процесс в sh и каждые три минуты ветвился.
Вирус «Datacrime» Заражает COM-файлы при запуске на выполнение.
В России же первая массовая эпидемия компьютерного вируса произошла в 1988 г. Это был вирус «Phantom1» (полиморфный)
Статистика появления компьютерных вирусов
Распространение троянских вирусов
Один из самых распространённых вирусов сейчас – вирус Trojan «Winlock»
Для того, чтобы отследить, какой из вирусов является на данный момент самым распространенным, среди учащихся нашей школы было проведено анкетирование. Было опрошено 100 человек.
Предлагались следующие вопросы:
Был ли Ваш компьютер хотя бы единожды заражен вирусом? Если да, то какой это был вирус. Знаете ли вы как бороться с вирусной атакой.Результаты анкетирования учащихся
МОУ Борисоглебской СОШ №4
Таким образом, стала очевидна актуальность представленной работы.
Для того, чтобы определить, каким же образом удалить вирус Trojan Winlock, необходимо разобраться в его особенностях.
Характерные признаки Trojan Winlock
Одним из очевидных признаков заражения вашего компьютера данным типом вируса является появление следующего диалогового окна.
Это одна их вредоносных программ-вымогателей, блокирующих или затрудняющих работу с операционной системой, и требующих перечисление денег злоумышленникам за восстановление работоспособности компьютера. Ранее для перевода денег обычно использовались короткие SMS-номера, в настоящее время также подобные программы могут требовать перечисления денег на электронные кошельки (например, «Яндекс. Деньги») либо баланс мобильного номера. Необходимость перевести деньги часто объясняется тем, что «Вы получили временный бесплатный доступ к сайту для взрослых, необходимо оплатить продолжение его использования» либо тем, что «на Вашем компьютере обнаружена нелицензионная копия Windows».
Кроме Trojan. Winlock существуют и другие вредоносные программы, вымогающие деньги у пользователей. например, «блокировщики» доступа на популярные интернет-ресурсы и т. д. По классификации Лаборатории Касперского вымогательское вредоносное ПО (включая Trojan. Winlock) носит наименование Trojan-Ransom.
Широкое распространение вирусы-вымогатели получили зимой 2009—2010 года, по некоторым данным оказались заражены миллионы компьютеров, преимущественно среди пользователей русскоязычного интернета. Второй всплеск активности такого вредоносного ПО пришелся на май 2010 года. Пути распространения Trojan. Winlock и подобных вирусов разнообразны, в значительной части случаев инфицирование происходит через уязвимости браузеров при просмотре зараженных сайтов.
SMSLock - одна из версий известного вируса Trojan. Winlock. Trojan. Winlock является вирусом-вымогателем из семейства Trojan-Ransom. В семействе вирусов вымогателей Trojan-Ransom: Trojan. Winlock.19 - блокирует Windows. Trojan. Encoder.63 - шифрует пользовательские файлы. CryZip - в него входят одновременно программы Trojan. Winlock и Trojan. Encoder. Описание Cryzip: Компания LURHQ обнаружила программу, шифрующую данные и требующую выкуп. Вредоносная программа Cryzip ищет файлы 44 различных типов, шифрует их и затем оставляет послание пользователю с требованием заплатить 300 долларов за пароль для восстановления файлов.
«Не пытайтесь искать программу, которая зашифровала вашу информацию, — она просто больше не существует на вашем жестком диске, — написано в послании, оставляемом программой. — Если вы действительно волнуетесь о ваших документах и информации в зашифрованных файлах, вы можете заплатить 300 долларов, используя электронные платежные системы. Заявление в полицию о случившемся не поможет вам, они не знают пароль. Заявление куда-то еще о нашем аккаунте e-gold не поможет вам восстановить файлы. Это ваш единственный способ вернуть ваши файлы».
Это третий известный образец программ для шифрования файлов с целью получения выкупа. В мае 2005 года был обнаружен троянец PGPcoder, использовавший свой алгоритм шифрования. Нынешний Cryzip помещает файлы в защищенный паролем ZIP-файл с помощью коммерческой библиотеки сжатия. Пароль ко всем зашифрованным файлам один и тот же: «C:\Program Files\Microsoft Visual Studio\VC98». Эта строка хранится в троянце в незашифрованном виде. Такая строка часто встречается в проектах, скомпилированных Visual C++ 6. Видимо, автор вредоносной программы рассчитывал на то, что тот, кто будет искать пароль в троянце, не станет обращать внимание на эту строку.
Что делать в случае заражения Trojan. Winlocker
и другим подобным вредоносным ПО
Ни в коем случае нельзя выполнять требования злоумышленников. Помните, что стоимость SMS может доходить до нескольких десятков долларов независимо от указанной в «интерфейсе» вируса, а гарантий того, что вы получите в ответ верный код, либо вирус не даст знать о себе через некоторое время снова, нет.
-В случае предлагаемой оплаты по SMS можно позвонить в службу поддержки контент-аггрегатора, которому принадлежит номер. Часто они могут сообщить код разблокировки.
-При возможности воспользоваться онлайн-сервисами подбора кода разблокировки на сайтах производителей антивирусного ПО (Dr. Web, Eset, Лаборатория Касперского).
-Произвести полное сканирование компьютера антивирусной утилитой со свежими обновлениями антивирусной базы (например, «одноразовым» антивирусом Dr. Web CureIt или Kaspersky Virus Removal Tool, скачать его желательно со «здорового» компьютера), даже в случае успешной разблокировки системы подбором кода.
-Если вирус блокирует доступ к определенным ресурсам Интернет (обычно к популярным социальным сетям и сайтам с антивирусным ПО), необходимо удалить лишние записи (кроме строки «127.0.0.1 localhost») из файла C:\Windows\System32\drivers\etc\hosts и очистить кэш DNS (командой ipconfig /flushdns от имени администратора), а также очистить cookies и кэш в браузере.
-1. При перезагрузке жмём F8 и выбираем пункт загрузка в режиме поддержки адресной строки
2. Ctrl+Alt+Del кликаем на Диспетчер задач - Файл - Новая задача (выполнить)
3. Кликаем на Обзор и идём windows\system32\ там ищем файл muzapp. exe и muzapp. dll / Удаляем эти два файла.
-Открыть диспетчер задач. Посмотреть процессы на предмет лишних. Попробовать завершить процесс. Скорее всего процесс перезапустится. Перезагрузиться в безопасном режиме и удалить программу вручную.
Таким образом, очевидно, что в настоящее время компьютерные вирусы представляют большую опасность. И для того, чтобы защитить себя – необходимо наличие антивирусной программы с постоянно обновляющимися базами данных.
Но если все же заражение произошло - не теряться, не идти на поводу у мошенников, а воспользоваться представленными в данной работе советами.
