Главная › Телефон › Топ антивирусов против «загрузочных» угроз. Удаление вируса из загрузочного сектора

Топ антивирусов против «загрузочных» угроз. Удаление вируса из загрузочного сектора

В последнее время всё чаще и чаще поступают жалобы на вирус, который производит полную блокировку компьютера и вымогательство денег , на стадии ещё до загрузки операционной системы (красные буквы на черном экране). Проблема в том, что для неподготовленного пользователя ситуация может стать действительно тупиковой: компьютер не загружается ни в обычном, ни в безопасном режиме, загрузка и сканирование антивирусом с live-cd безрезультативна, даже попытка переустановки Windows может не увенчаться успехом ! Здесь я расскажу о способах как на самом деле легко и просто его удалить.

Данный вирус поражает MBR — главную загрузочную запись жёсткого диска, доступа к которой ни пользователь, ни операционная система доступа обычно не имеют. В этом и заключается вся сложность, и, одновременно простота его удаления.

Заражение обычно происходит во время клика на заражённой ссылке или загрузки зараженной веб-страницы. Далее компьютер через несколько секунд выключается, пытается перезагрузиться и показывает сообщение от том, что «Ваш компьютер заблокирован за просмотр, копирование и тиражирование видео с элементами педофилии… Необходимо платить штраф в размере… » и т.д. и т.п. Оплата осуществляется через Ibox-ы на кошельки Webmoney U338098752819, U225475893811, U250977606445, U193923440709, U255460166383, U229167721843, 380684668914 и др., либо пополнением счёта мобильного телефона. Существуют различные разновидности вируса для Украины и России:

Версия mbr-winlock для инопланетян (если они пользуются Windows) (шутка). Автору хватило ума написать и распространить вирус, а вот сделать надпись в правильной кодировке он не осилил))

Хочется так же отметить практически полную несостоятельность антивирусов против данной напасти: платные и с громкими названиями, как и два года назад, неспособны вовремя и адекватно реагировать против этой, действительно серьёзной угрозы:

Проверка вирусного файла sys3.exe на сайте virustotal.com показала, что на момент заражения из 43 антивирусов данный винлокер могло поймать только 5!

Каждый раз заражению соответствует наличие файла sys3.exe (собственно вирус ) во временных файлах браузера и netprotocol.exe в автозагрузке (создаёт брешь в операционной системе ) (версии данных файлов всё время изменяются и срабатываемость на них антивирусов остаётся крайне низкой , названия файлов злоумышленники пока не изменяли).

Уязвимость операционной системы Windows : пользователь просто сёрфит в интернете, а злоумышленники в это время модифицируют MBR и перезагружают компьютер!!!

Беспомощность нашей милиции/полиции в борьбе с данным видом преступлений: как ловить таких преступников они не знают, не умеют, не могут и не хотят, чем мошенники пользуются и будут пользоваться.

Люди, которые платят мошенникам — соучастники и спонсоры данных преступлений. Эти вирусы будут появляться вновь и вновь до тех пор, пока это экономически выгодно.

Способ 1. Восстановление MBR из резервной копии Acronis TrueImage

Если Вы относитесь к тем людям, которые после установки Windows, драйверов, программ и настроек сделали резервную копию системного диска — поздравляю, Ваши усилия не пропали даром! Для Вас эта проблема не является проблемой: нужно лишь загрузиться с загрузочного диска Acronis и восстановить mbr из своей резервной копии:

Загружаемся с диска Acronis True Image и выбираем пункт Recovery (восстановить)

Выбираем файл-образ системного диска

Выбираем пункт Restore disks or partitions (Восстановление дисков или разделов)

Выбираем из списка винчестер (системный), на котором нужно восстановить MBR

Нажать кнопку Proceed (Продолжить)

После перезагрузки от вируса не остаётся и следа, остаётся лишь провести «контрольную зачистку» компьютера свежими антивирусом и антитроянской программой.

Способ 2. С помощью утилиты CureIt от DrWeb либо Kaspersky TDSSKiller

Несмотря на то, что DrWeb данное заражение пропускает, результат заражения — модифицированый MBR он может с успехом лечить. Для этого нужно загрузиться с любого LiveCD и запустить эту утилиту . Вредоносная запись обезвреживается в считанные секунды:

Dr.Web CureIt! восстанавливает загрузочную запись в считанные секунды

При перезагрузке Windows загружается в нормальном режиме, как будто ничего и не было.

UPD (18.05.2012):

Новые модификации данного вируса изменяют разбивку диска на разделы. Скриншот консоли Windows Disk Management до лечения утилитой DrWeb CureIt:

После лечения и перезагрузки:

Способ 3. С помощью установочного диска Windows

Внимание! В свете последних модификаций данного вируса этим способом пользоваться НЕ РЕКОМЕНДУЕТСЯ!

Для Windows XP: вставляем установочный диск и включаем компьютер, жмём любую кнопку для подтверждения загрузки (Press any key to boot from CD…..). Ждём когда полностью загрузится диск и предложит выбор действий. Выбираем режим восстановления, кнопка R . Теперь система предложит выбрать какую ОС из найденных восстанавливать, нажимаем цифру и Enter (обычно 1). Теперь необходимо ввести пароль администратора, если его нет, то просто оставляем пустым и жмём Enter. Вот мы добрались до консоли восстановления. Вбиваем команду: FIXBOOT , Enter, вас попросят подтвердить, нажмите Y . Теперь вбиваем команду FIXMBR , Enter и опять подтверждаем нажатием Y . Всё теперь вбиваем EXIT и перезагружаемся. Можно грузиться с жёсткого диска. Всё.

Для Windows 7: загрузиться с установочного диска или флешки с windows 7 — восстановление системы — коммандная строка — bootsect /mbr All

Способ 4. Переустановка Windows

При переустановке Windows необходимо полностью удалить системный раздел, а потом создать его вновь. При этом пересоздастся и MBR.

UPD (26.01.2012):

Сегодня обнаружил тело вируса — файл

«Ваш компьютер заблокирован Internet Police за поиск и просмотр видеоматериалов содержащих педофилию, извращения, сексуальное насилие над детьми… Webmoney 380971559633 на 850 гривен»

Ситуация с обнаружением данной разновидности антивирусами пока что очень печальна . Кому интнресно, тело вируса можно взять здесь (пароль к архиву — infected):

UPD (13.07.2012):

Вчера разблокировал свежую версию, примечательной особенностью которой является почти 100% «слепота» антивирусов (в т.ч. Касперского). Рассылка данного образца по антивирусам возымела некоторое действие . Скачать тело вируса (пароль к архиву — infected):

Данный вирус поражает MBR – главную загрузочную запись жёсткого диска, доступа к которой ни пользователь, ни операционная система доступа обычно не имеют. В этом и заключается вся сложность, и, одновременно простота его удаления.

Заражение обычно происходит во время клика на заражённой ссылке или загрузки зараженной веб-страницы. Далее компьютер через несколько секунд выключается, пытается перезагрузиться и показывает сообщение от том, что «Ваш компьютер заблокирован за просмотр, копирование и тиражирование видео с элементами педофилии… Необходимо платить штраф в размере… » и т.д. и т.п. Оплата осуществляется через Ibox-ы на кошельки Webmoney U338098752819, U225475893811, U250977606445, U193923440709 и др., либо пополнением счёта мобильного телефона. Существуют различные разновидности вируса для Украины и России:

Люди, которые платят мошенникам – соучастники и спонсоры данных преступлений. Эти вирусы будут появляться вновь и вновь до тех пор, пока это экономически выгодно.

Способ 1. Восстановление MBR из резервной копии Acronis TrueImage

Люди делятся на две категории: на тех, которые делают резервные копии, и на тех, которые уже делают…

Если Вы относитесь к тем людям, которые после установки Windows, драйверов, программ и настроек сделали резервную копию системного диска – поздравляю, Ваши усилия не пропали даром! Для Вас эта проблема не является проблемой: нужно лишь загрузиться с загрузочного диска Acronis и восстановить mbr из своей резервной копии:

Загружаемся с диска Acronis True Image и выбираем пункт Recovery (восстановить)

Выбираем файл-образ системного диска

Выбираем пункт Restore disks or partitions (Восстановление дисков или разделов)

Выбираем из списка винчестер (системный), на котором нужно восстановить MBR

Нажать кнопку Proceed (Продолжить)

Способ 2. С помощью утилиты CureIt от DrWeb

Несмотря на то, что DrWeb данное заражение пропускает, результат заражения – модифицированый MBR он может с успехом лечить. Для этого нужно загрузиться с любого LiveCD и запустить эту утилиту . Вредоносная запись обезвреживается в считанные секунды:

Dr.Web CureIt! восстанавливает загрузочную запись в считанные секунды

При перезагрузке Windows загружается в нормальном режиме, как будто ничего и не было.

Способ 3. С помощью установочного диска Windows

Для Windows 7: загрузиться с установочного диска или флешки с windows 7 – восстановление системы – коммандная строка – bootsect /nt60 all /mbr

Способ 4. Переустановка Windows

При переустановке Windows необходимо полностью удалить системный раздел, а потом создать его вновь. При этом пересоздастся и MBR.

Вирусы, заражающие MBR, существуют давно: они появились уже во времена MS-DOS, когда мы с тобой играли в Doom 2 и были молодыми и красивыми. В последние несколько лет они снова подняли голову - теперь все их боятся и называют модным словом «буткиты». А что говорят по этому поводу товарищи антивирусы? Могут ли они бороться с такими угрозами? Вот это-то мы и проверим!

С угрозами в MBR’е и Boot-секторе у нас сегодня будут сражаться пять продуктов:

BitDefender Internet Security 2012 - в последнее время этот антивирус здорово набрал обороты, к тому же движок BitDef покупают несколько сторонних компаний. Интересно посмотреть, что он из себя представляет.
ESET NOD32 Smart Security 5 - тут и комментировать нечего, это второй по популярности антивирус в России после «Каспера».
F-Secure Internet Security 2012 - достаточно известный продукт финской секьюрити-компании.
Outpost Security Suite Pro 7.5 - продукт от компании Agnutim, которая делает классный файервол. Между прочим, халявный файервол от Outpost в свое время пользовался в нашей стране огромной популярностью. Пожалуй, сейчас его место в наших сердцах занял тоже халявный и всесторонне могучий Comodo.
Rising Internet Security - антивирус от китайской компании Rising. Посмотрим, на что способны китайцы.

Let the contest begin

Первым делом я заразил Windows XP SP3 на VmWare буткитом Sinowal, который известен, обрати внимание, аж с 2009 года. Затем я с помощью Hiew убедился, что MBR действительно изменен, и стал поочерёдно устанавливать все продукты и сканировать (или пытаться сканировать) систему.

MBR, заражённый Sinowal’ом

Тестирование я начал с BitDefender’а. Для меня стало неожиданностью, что этот антивирус вообще не смог установиться! На середине установки он предложил мне перезагрузить компьютер, а после перезагрузки открылось окно установщика (и по совместительству downloader’а), прогресс-бар в котором показывал 55 %. По прошествии некоторого времени эта цифра так и не изменилось. По-видимому, установленный Sinowal помешал BitDefender’у, что весьма грустно.

Ну а следующий испытуемый - NOD32 - не подвёл. Он успешно обнаружил не только сам дроппер в temp’е, но ещё и выявил заражение MBR’а. Очень радует, что этот популярный в России антивирус способен справляться с достаточно серьёзными угрозами.

Антивирус F-Secure Internet Security также успешно разобрался с буткитом и обозвал его Win32/Mebroot, как и NOD32. Любопытно, что в столбце «Объект» в GUI указано просто «Заражение системы». По-видимому, разработчики решили не пугать пользователей страшными названиями вроде MBR и «загрузочный сектор». 🙂 А вот Outpost несколько разочаровал: он обнаружил только файловые компоненты Sinowal’а, а заражённый MBR пропустил. Пожалуй, продукт от Agnitum - это все-таки в первую очередь файервол, а не антивирус.

Rising вообще не удалось привести в работоспособное состояние. Я несколько раз пытался установить и нормально запустить китайское изделие, но потерпел неудачу. Сначала я было подумал, что проблема в VmWare, но оказалось, что это не так (подробнее читай дальше). По-видимому, именно Sinowal не дал антивирусу инсталлироваться.

Еще один буткит: Ghodow

После того, как все пять антивирусов были протестированы на системе, заражённой Sinowal’ом, я решил откатиться к чистому снэпшоту и запустить дроппер другого буткита. Хотя второй буткит не так широко известен, как Sinowal, антивирусы всё равно должны его детектировать, поскольку это злой вирус, который делает в системе много чего нехорошего. Называется он Win32/Ghodow.NAD (по данным ESET). В дальнейшем я буду называть его просто Ghodow.

Антивирус BitDefender снова постиг провал: на этот раз он не прошёл даже первый этап установки - «Сканировать системные файлы на наличие вирусов». Мастер установки предлагал мне несколько раз перезагрузить компьютер, загрузиться в BitDefender Rescue Mode, который представляет собой *nix-систему с антивирусным сканером, и выполнить многие другие действия. Однако в конечном итоге установщик выдал примерно такое лаконичное сообщение: «Установить BitDefender не удалось».

Ну а NOD32 и здесь не подкачал: он успешно обнаружил второй буткит в «MBR-секторе физического диска 0».

Но того, что произошло дальше, я совсем не ожидал. Ни один из трёх оставшихся антивирусов не смог обнаружить заразу в MBR’е, хотя каждый из них корректно установился и обновился. Более того, я пробовал различные варианты сканирования - от quick/поверхностного до руткит-сканирования системы. Однако ни один из них не привел к положительному результату, были обнаружены только компоненты буткита в файловой системе, что, конечно, не радует.

Попробуем по-своему

Однако руки мои продолжали чесаться, и я решил не останавливаться на достигнутом и сделать нестандартный MBR. Я написал в Hiew небольшой код, который копировал область памяти размером 0x200 с адреса 0x200 на адрес 0x1000 и передавал туда управление. Код, конечно, безвредный, но мне было любопытно, как отреагируют антивирусы на нестандартный MBR. Стоит отметить, что в этом случае и BitDefender, и Rising успешно установились, обновились и заработали. Таким образом, моё предположение о том, что установленные буткиты могут мешать инсталляции антивирусов, подтвердилось.

Оказалось, что измененный MBR совершенно не трогает железные сердца антивирусов. Таким образом, я предположил, что буткиты детектируются обычными сигнатурами и сделать вредоносный MBR, который бы не обнаруживался, совсем не проблема. Для проверки я проделал аналогичную операцию с кодом NTFS-загрузчика (по сути, с кодом бут-сектора) и получил тот же результат.

Заключение

Какие можно сделать выводы по результатам теста? Антивирусы недостаточно хорошо детектируют буткиты. На компьютер, инфицированный буткитом, встанет не каждый антивирусный продукт. Так что держись и, главное, не забывай перед выключением компьютера в дисководе А: сомнительные дискеты;).

Загрузочные вирусы при заражении заменяют главную загрузочную запись, после чего как обычно, это происходит так, пользователь скачивает с сайта фильм, или включает онлайн просмотр, идет перезагрузка. После включения компьютера начинает самодиагностики POST (Power On Self Test). Процедура POST считывает с жесткого диска главную загрузочную запись (MBR — Master Boot Record) и записывает ее в оперативную память компьютера. Главная загрузочная запись содержит программу первоначальной загрузки и таблицу разделов, в которой описаны все разделы жесткого диска. Это так называемый MBR.Lock (МБР-лок) .

Выглядят вирусы все одинаково просто, красный текст на черном фоне, в котором в общем нет ничего нового, с требованием оплатить штраф за просмотр гей-порно, детского порно и видеоматериалов содержащих насилие. В интернете распространяются мбр-локи с требованием оплатить штраф на счет абонента МТС или БИЛАЙН, в Украине и Белорусии на электронный кошелек WebMoney (ВебМани).

Естественно его ловят с переменным успехом. Каким образом и где он подцепляется пока непонятно. Некоторые находят его при бесплатной просмотре онлайн фильмов . В итоге вместо цветного экрана Windows мы наблюдаем необычную картину:

WINDOWS ЗАБЛОКИРОВАН ЗА СТРОГОЕ НАРУШЕНИЕ!
Для снятия блокировки Вам необходимо оплатить штраф в размере 200 гривен.
Для этого, в любом терминале оплаты (автомате) попомните WebMoney кошелек U 232456732410 на указанную выше сумму.
В случае оплаты суммы равной штрафу, либо превышающей ее, на фискальном чеке терминала Вы найдете код разблокировки. Его нужно ввести в поле в нижней части окна.
После снятия блокировки Вы должны удалить все материалы, содержащие элементы насилия и педофилии. В случае отказа от оплаты, все данные на Вашем персональном компьютере будут безвозвратн уничтожены.

EnTeR c0d3: _

Или такой:

Ваш компьютер заблокирован за просмотр, копирование и тиражирование видео с элементами педофилии, детского порно и гей-порно.
Для снятия блокировки Вам необходимо оплатить штраф в размере 130 гривень.
Инструкци по оплате:
-найдите ближайший терминал Ibox(или другие).
-выбирете раздел «Электронная комерция» (в зависимости от терминала).
-выберите оплата «Webmoney» и укажите номер кошелька U277136277839
-Внесите указанную сумму и оплатите штраф. На фиксальном чеке найдите номер извещения, введите его в поле для разблокировки.
После снятия блокировки Вы должны удалить все материалы, содержащие элементы насилия и педофилии. В случае отказа от оплаты, все данные с Вашего персональном компьютере будут безвозвратно уничтожены и переданы в Управление МВД для разбирательства по статье 301 УК

причем при загрузке он моментально зависал не давая вводить никакого текста и в нижнем левом углу выводил кракозябры.

Перезагрузка компьютера положительного эффекта не принесла, «Безопасный режим» тоже не работает. Как в случае с ранними блокираторами, рабочего стола нет. Все что можно было сделать - это зайти в BIOS. В целом - это качественная блокировка Windows путем замены записи Master Boot Record . MBR (Основная Загрузочная Запись ) - это первый сектор на жестком диске компьютера, с которого собственно и начинается процесс его загрузки.

Внимание! Самое главное, даже не пытайтесь пополнить счет злоумышленнику!

Существует несколько вариантов лечения

Лечения от вируса-вымогателя при помощи установочного диска Windows

Если у Вас сохранился образ восстановления, сделанный, например Acronics True Image, при помощи которого когда-то ставили Windows, тогда все просто - нужно восстановить MBR сектор . Или с помощью установочного диска Windows.

Если у вас возникли проблемы с удалением вируса обращайтесь к специалистам ITcom, мы предоставляем услуги по .

Вирусописатели раз от раза становятся все изобретательнее и изобретательнее. На смену уже всем "знакомого" вируса-блокировщика Winlock, от которого можно , пришел новый, более продвинутый вирус, который блокирует работу компьютера еще до того момента, когда начнет стартовать сама операционная система. Отсюда следует, что "старые" методы избавления уже не действуют и нужно искать что-то новое.

Ниже представлен способ избавления от блокировщика MBRLock, который почему-то "в народе" назвали - блокировщиком BIOS`а.

Небольшое отступление

Работа вируса MBRLock заключается в том, что он меняет загрузочную область MBR и просто прописывается вместо загрузки операционной системы. Пользователь, который включает свой компьютер, чаще всего видит на черном фоне грубый текст с вымогательным контекстом, требующий отправить некоторую сумму либо на мобильный телефон, либо на рублевый счет WebMoney. После оплаты у пользователя якобы на чеке будет код-разблокировки, который после набора просто выполнит стандартную процедуру восстановления MBR-области (если Вы не знаете что такое MBR, то можете ознакомится на Wiki).

Поэтому этот вирус никак не может выступать в качестве вируса-блокировщика BIOS, так как получить доступ к этой подсистеме можно вне зависимости от его наличия на вашем компьютере.

Универсальный способ избавления от блокировщика Windows - MBRLock

В Интернете можно найти очень много способов для решения этой проблемы, но все они относятся к ней словно "забивать гвозди микроскопом". Никто не утверждает, что с помощью LiveCD с "пиратской" Windows или какого-то другого программного обеспечения, нельзя убрать этот блокировщик. Конечно же можно, но это решение не совсем верное, простое и, самое главное, безопасное.

Самый универсальный способ избавится от блокировщика Windows - это восстановить главную загрузочную область MBR с помощью любого установочного диска с подобной операционной системой.

Избавляемся от MBRLock:

Приведенный способ выше является универсальным способом избавления от вируса-вымогателя MBRLock, который позволяет это сделать с минимальными "вложениями" и полностью стандартными средствами Windows.

Все так как Гейтс прописал...

P.S. Если сравнить 2 вируса: Winlock и MBRLock, то получается, что проще поддается "лечению" именно MBRLock - продолжатель Winlock`ера.

Если Вы чувствуете, что Ваш WEB-ресурс должен быть на первых строчках поисковиков, а вместо этого он ютится где-то на последних местах, необходимо воспользоваться SEO или SMO. Дешевле и стабильнее использовать поисковое продвижение сайта , которое несомненно подвинет ваш сайт выше и сделает его более посещаемым, чем сейчас.

Случайные 7 статей:

Комментарии

cayenne
20 Январь, 23:19
Если-б было все так просто… Иногда вылетает BSOD на стадии предварительной загрузки файлов. Даже не доходит до “первого окна”.. Все равно приходится грузиться с livecd править вайл boot.ini и сканировать антивирусом..
Сергей
8 Февраль, 21:18
Да статья интересная, но нужно перечитывать…
faceless
2 Апрель, 01:51
Mut@Nt
2 Апрель, 05:48

faceless: Испытывал я данное средство в работе, и фиксом MBR иногда не получается отделаться. Получилось избавиться от этой гадости только методом загрузки с LiveDVD, зачисткой всех временных папок винды, а уже только затем фиксил загрузочную запись.

Ну если вирус все еще активен и сидит где-то, то все возможно.
tuti
30 Апрель, 20:58
полезно
faceless
21 Июнь, 22:45

Mut@Nt: faceless: Испытывал я данное средство в работе, и фиксом MBR иногда не получается отделаться. Получилось избавиться от этой гадости только методом загрузки с LiveDVD, зачисткой всех временных папок винды, а уже только затем фиксил загрузочную запись.
Ну если вирус все еще активен и сидит где-то, то все возможно.