трохи теорії
Пошесть троянців-блокувальників (Trojan.Winlock) почалася восени 2009 року і не припинилася досі. Відмінною особливістю цього типу шкідливих програм є банер, що з'являється на екрані при старті Windows і робить неможливою роботу на ПК. У тілі банера, як правило, вказується номер телефону або електронного гаманця, який необхідно поповнити на певну суму (100-500 рублів), щоб отримати код розблокування, який можна ввести в спеціальне поле.
Велика частина троянців-блокувальників вже відома виробникам антивірусних програм і внесена в вірусні бази, що дозволяє запобігти зараженню комп'ютера, але нові модифікації з'являються щогодини, в результаті антивірус може і пропустити атаку. Якщо це сталося, і ОС заблокована, для боротьби з троянцем доведеться використовувати інший, справний ПК.
Для розблокування комп'ютерів, уражених Trojan.Winlock, багато антивірусні вендори також пропонують послуги з безкоштовної розблокування. Робиться це за допомогою спеціальних інтернет-сервісів - розблокувальників (англ. Unlocker), з якими ми в цій статті і ознайомимося. У нашому невеликому тестуванні братимуть участь сервіси розблокування від «Лабораторії Касперського» ( http://sms.kaspersky.ru/ ), Компанії «Доктор Веб» ( https://www.drweb.com/xperf/unlocker/ ) І ESET ( http://www.esetnod32.ru/support/winlock/ ).
Суть цих сервісів проста - користувачеві дається доступ до бази вже відомих кодів розблокування, ввівши один з них в поле банера, можна відключити його.
Розблокування за допомогою сайту Лабораторії Касперського
На сторінці http://sms.kaspersky.ru/ введіть номер телефону або гаманця, який вказаний в банері. Телефонний номер можна вказувати в будь-якому форматі, а імена гаманців потрібно вводити цілком, включаючи літери.
Якщо код розблокування в базі відсутня - замість констатації факту вам буде запропоновано використовувати утиліти від Лабораторії Касперського для лікування цього троянця.
Розблокування за допомогою сайту «Доктор Веб»
На сторінці https://www.drweb.com/xperf/unlocker/ використовуйте форму, щоб вказати номер гаманця або телефону, на який троянець вимагає перевести гроші. Телефонний номер можна вказувати в будь-якому форматі, а імена гаманців потрібно вводити цілком, включаючи літери.
Ввівши в поле дані, натисніть Шукати коди, вся знайдена інформація буде розташована нижче форми введення.
Для полегшення сприйняття можна налаштувати формат виведення, використовуючи меню в лівій частині екрана. З його допомогою можна вказати число результатів на сторінці, включити / відключити відображення пов'язаних з даними троянцем гаманців і телефонів, а також приховати / відобразити дані по вірусам, інформація з яких в базі розблокувальників відсутня.
Якщо відповідних кодів розблокування, не знайдено або згенеровані коди не підійшли - спробуйте підібрати код за допомогою пошуку по зображеннях ( https://www.drweb.com/xperf/unlocker/gallery/ ).
Дані в ньому представлені в наступному форматі.
У лівій частині вікна розташовано аналогічне описаному вище меню, з тим винятком, що є присутнім пункт Показувати тільки без телефонів / гаманців, який показує тільки троянці, що не відображають ніяких даних і не потребують грошей.
Права частина представляє собою таблицю з назвами і скріншотами троянців, а також кодами розблокування до них. При включенні відповідної опції додатково виводиться колонка з номерами пов'язаних з троянцями гаманців і телефонів. У цій таблиці можна виконати наступні дії:
- При натисканні на скріншот картинка збільшується до повного розміру, що дозволяє звірити її з троянцем, які заблокували ПК.
- При натисканні на ім'я троянця відкривається сторінка з його описом.
- При натисканні на код розблокування відкривається вікно з пов'язаними з ним гаманцями / телефонами.
Розблокування за допомогою сайту ESET
На сторінці http://www.esetnod32.ru/support/winlock/ введіть в форму номер телефону в форматі + 7ХХХХХХХХХХ і текст повідомлення. Якщо потрібно відправити sms на короткий номер - вводите номер так, як він вказаний у банері. Завершивши введення даних, натисніть Підібрати код.
Якщо вказати тільки номер телефону - будуть виведені всі пов'язані з ним коди розблокування.
На жаль, форма не вміє працювати з номерами електронних гаманців, в той час як вже довгий час троянці пропонують поповнити саме їх.
Що вибрати?
Вище ми розглянули безпосередньо варіанти розблокування, а тепер оцінимо, який із трьох представлених антивірусних вендорів підійшов до вирішення проблеми користувачів найбільш відповідально. Виходячи з аудиторії, на яку розраховані ці сервіси, були виділені наступні критерії, за якими і проводилася оцінка:
- Зовнішнє оформлення сайту в цілому і сервісу розблокування зокрема. Говорячи простіше - чим красивіше і акуратніше зроблений сайт, тим краще
- Зручність використання. Чи присутній реклама, як швидко завантажується сторінка, чи присутні сторонні елементи
- Актуальність бази даних. Реакція на найбільш нові модифікації Trojan.Winlock
- Зручність введення даних. В яких форматах можна вказати телефон, обробляються чи електронні гаманці різних e-валют
- Доступ до служби технічної підтримки. Іншими словами, чи допоможуть фахівці компанії всім хто звернувся, або тільки своїм клієнтам
- Додаткові інструменти. Чи надає виробник будь-які програми або утиліти для боротьби з Trojan.Winlock для випадків, якщо код розблокування підібрати не вдалося.
Дослідження проводилося на двох незалежних ПК за допомогою браузерів Internet Explorer 10, Opera 12.16 і FireFox 23. Отже, приступимо:
Разблокировщик «Лабораторії Касперського».
Мабуть, найпростіший дешифровщик - весь вкладається в один рядок і кнопку. Вводити телефонні номери можна в будь-якому форматі, сюди ж можна писати номери гаманців і навіть розширення зашифрованих файлів, якщо ПК піддався атаці вірусу-шифрувальника. База оновлюється безперервно, ймовірність відшукати потрібний код досить висока. Вибірка з 20 номерів телефонів і 10 гаманців оброблена повністю, всі дані є в базі.
Трохи розчарував той факт, що якщо телефону в базі немає, про це не буде сказано прямо - чи буде видано пропозицію просканувати ПК за допомогою лікуючих утиліт. Перевірено на двох приватних телефонних номерах.
Компанія пропонує декілька утиліт, таких як: лікує утиліта Virus Removal Tool, утиліти для дешифрування від троянців шифрувальників і диск аварійного відновлення, що містить утиліту WindowsUnlocker - єдиний в своєму роді і вельми ефективний інструмент для боротьби з блокувальниками Windows.
Результат звернення в технічну підтримку: попросили серійний номер. Безкоштовної допомоги не виявляється. У той же час, на сайті викладені досить докладні інструкції, щоб за допомогою зазначених утиліт впоратися з вірусом. А ось якщо вони не допомагають - все, припливли.
Разблокировщик «Доктор Веб».
Сторінка розблокувальників на вигляд здається трохи заплутаною, але основний елемент видно відразу. У той же час зайвої інформації тут немає, просто є кілька варіантів виведення даних (наприклад, відображати / не відображати всі пов'язані з троянцем телефони), які і можна налаштувати, виставивши відповідні прапорці. Чи не менше радує простота введення - телефон можна писати як завгодно, гаманці всіх видів теж обробляються коректно. Судячи з результатів тестування 20 телефонних номерів і 10 гаманців, база оновлюється безперервно - все вони вже є в ній і коди до відповідних троянцам є.
Ще одна приємна можливість - пошук коду розблокування по зображенню банера, оскільки зустрічаються троянці, які не видають взагалі ніяких вимог.
З додаткових інструментів можна виділити: диск аварійного відновлення, відому лікує утиліту CureIt !, набір утиліт для боротьби з троянцями-щіфровальщікамі і корисну утиліту відновлення системи після атаки троянців - Plastfix.
Результат звернення до служби технічної підтримки: допомогли! Вірніше, спробували допомогти - запит все ж фіктивний. З трьох досліджених сервісів, ТП «заступилася» за звернувся тільки тут.
Разблокировщик ESET.
Оформлення сторінки розблокувальників досить просте, при цьому сторінка періодично зависала або відкривалася в досить дивному вигляді. Вводити номер телефону в поля форми можна тільки в форматі + 7XXXXXXXXXX або XXXX для короткого номера, інакше немає гарантії, що він буде сприйнятий правильно. Номери гаманців не обробляються взагалі.
На жаль, після проведення ряду перевірок виник лише одне питання: а навіщо цей разблокировщик потрібен? Перевіривши вибірку з 20 телефонних номерів (10 гаманців можна було не перевіряти), був знайдений всього 1 (!) Код розблокування! Це говорить лише про те, що база була створена один раз і з тих пір не актуалізувалася, що вже через місяць зробило її абсолютно марною. Не самий хороший підхід для виробників антивіруса.
Ніяких додаткових утиліт немає.
Результат звернення в технічну підтримку: попросили серійний номер. Безкоштовної допомоги не виявляється.
За сумою параметрів, оптимальним розблокувальників можна вважати сервіс від компанії «Доктор Веб». При цьому варто відзначити, що якщо з його допомогою вирішити проблему не вдалося, має сенс спробувати щастя з розблокувальників Касперського, перш ніж братися за боротьбу з вірусом вручну: оскільки служби вірусного моніторингу двох компаній не пов'язані - то, що прогавила одна, може знайти інша .
Що вибрати?На жаль, після проведення ряду перевірок виник лише одне питання: а навіщо цей разблокировщик потрібен?
