Ответы на частые вопросы:
Борьба с троянцами семейства WinLock и MbrLock
Троянцы, блокирующие работу Windows, с сентября 2009 года — одни из самых распространенных по частоте проявления. Например, за декабрь 2010 года более 40% обнаруженных вирусов — блокировщики Windows. Общее название подобных вредоносных программ — Trojan.Winlock.XXX, где XXX — номер, присвоенный сигнатуре, которая позволяет определить несколько (зачастую несколько сотен) схожих вирусов. Также подобные программы могут относиться к типам Trojan.Inject или Trojan.Siggen, но такое случается значительно реже.
Внешне троянец может быть двух принципиальных видов. Первый: заставка на весь экран, из-за которой не видно рабочий стол, второй: небольшое окно в центре. Второй вариант не закрывает экран полностью, но баннер все равно делает невозможной полезную работу с ПК, поскольку всегда держится поверх любых других окон.
Вот классический пример внешнего вида программы Trojan.Winlock:
![]()
Цель троянца проста: добыть для вирусописателей побольше денег с жертв вирусной атаки.
Наша задача — научиться быстро и без потерь устранять любые баннеры, ничего не платя злоумышленникам. После устранения проблемы необходимо написать заявление в полицию и предоставить сотрудникам правоохранительных органов всю известную вам информацию.
Алгоритм действий по борьбе с Trojan.Winlock
Модификаций блокировщиков существует великое множество, но и число известных экземпляров очень велико. В связи с этим лечение зараженного ПК может занять несколько минут в легком случае и несколько часов, если модификация еще не известна. Но в любой ситуации следует придерживаться приведенного ниже алгоритма:
1. Подбор кода разблокировки.
Прежде всего, попробуйте получить код разблокировки, воспользовавшись формой, позволяющей ввести текст сообщения и номер, на который его нужно отправить. Обратите внимание на следующие правила:
Если требуется перевести деньги на счет или телефонный номер, в поле Номер необходимо указать номер счета или телефона, в поле Текст ничего писать не нужно.
Если требуется перевести деньги на телефонный номер, в поле Номер необходимо указать номер телефона в формате 8хххххххххх, даже если в баннере указан номер без цифры 8.
Если требуется отправить сообщение на короткий номер, в поле Номер укажите номер,
в поле Текст — текст сообщения.
Если сгенерированные коды не подошли — попробуйте вычислить название вируса с помощью представленных картинок. Под каждым изображением блокировщика указано его название. Найдя нужный баннер, запомните название вируса и выберите его в списке известных блокировщиков. Укажите в выпадающем списке имя вируса, поразившего ваш ПК, и скопируйте полученный код в строку баннера.
Обратите внимание, что, кроме кода, может быть выдана другая информация:
Win+D to unlock — нажмите комбинацию клавиш Windows+D для разблокировки.
any 7 symbols — введите любые 7 символов.
Воспользуйтесь генератором выше или use generator above — используйте для получения кода разблокировки форму Номер-Текст в правой части окна.
Используйте форму или Пожалуйста, воспользуйтесь формой — используйте для получения кода разблокировки форму Номер-Текст в правой части окна.
Если подобрать ничего чего не удалось
Пользуясь остатками свободного пространства на экране, сделайте следующее:
4. Ручной поиск вируса. Если вы дошли до этого пункта, значит поразивший систему троянец — новинка, и искать его придется вручную.
Для удаления блокировщика вручную необходимо получить доступ к реестру Windows, загрузившись с внешнего носителя.
Обычно блокировщик запускается одним из двух известных способов.
Через автозагрузку в ветках реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Путем подмены системных файлов(одного или нескольких) запускаемых в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
или, например, файла taskmgr.exe.
Для работы нам понадобится Dr.Web LiveCD/USB(или другие средства работы с внешним реестром).
Для работы с Dr.Web LiveCD/USB загрузите ПК с компакт-диска или флешки, после чего скопируйте на флеш- карту следующие файлы:
C:\Windows\System32\config\software *файл не имеет расширения*
C:\Document and Settings\Ваше_имя_пользователя\ntuser.dat
В этих файлах содержится системный реестр зараженной машины. Обработав их в программе Regedit, мы сможем очистить реестр от последствий вирусной активности и одновременно найти подозрительные файлы.
Теперь перенесите указанные файлы на функционирующий ПК под управлением Windows и сделайте следующее:
Запустите Regedit, откройте куст HKEY_LOCAL_MACHINE и выполните Файл –> Загрузить куст.
В открывшемся окне укажите путь к файлу software, задайте имя (например, текущую дату) для раздела и нажмите ОK.
В этом кусте необходимо проверить следующие ветки:
Microsoft\Windows NT\CurrentVersion\Winlogon:
Параметр Shell должен быть равен Explorer.exe. Если перечислены любые другие файлы — необходимо записать их названия и полный путь к ним. Затем удалить все лишнее и задать значение Explorer.exe.
Параметр userinit должен быть равен C:\Windows\system32\userinit.exe, (именно так, с запятой на конце, где C — имя системного диска). Если указаны файлы после запятой — нужно записать их названия и удалить все, что указано после первой запятой.
Встречаются ситуации, когда присутствует схожая ветвь с названием Microsoft\WindowsNT\CurrentVersion\winlogon. Если эта ветвь есть, ее необходимо удалить.
Microsoft\Windows\CurrentVersion\Run — ветвь содержит настройки объектов автозапуска.
Особенно внимательно следует отнестись к наличию здесь объектов, отвечающих следующим критериям:
Имена напоминают системные процессы, но программы запускаются из других папок
(например, C:\Documents and Settings\Dima\svchost.exe).
Имена вроде vip-porno-1923.avi.exe.
Приложения, запускающиеся из временных папок.
Неизвестные приложения, запускающиеся из системных папок (например, С:\Windows\system32\install.exe).
Имена состоят из случайных комбинаций букв и цифр
(например, C:\Documents and Settings\Dima\094238387764\094238387764.exe).
Если подозрительные объекты присутствуют — их имена и пути необходимо записать, а соответствующие им записи удалить из автозагрузки.
Microsoft\Windows\CurrentVersion\RunOnce — тоже ветвь автозагрузки, ее необходимо проанализировать аналогичным образом.
Завершив анализ, нажмите на имя загруженного раздела (в нашем случае он называется по дате) и выполните Файл –> Выгрузить куст.
Теперь необходимо проанализировать второй файл — NTUSER.DAT. Запустите Regedit, откройте куст HKEY_LOCAL_MACHINE и выполните Файл –> Загрузить куст. В открывшемся окне укажите путь к файлу NTUSER.DAT, задайте имя для раздела и нажмите ОK.
Здесь интерес представляют ветки Software\Microsoft\Windows\CurrentVersion\Run и Software\Microsoft\Windows\CurrentVersion\RunOnce, задающие объекты автозагрузки.
Необходимо проанализировать их на наличие подозрительных объектов, как указано выше.
Также обратите внимание на параметр Shell в ветке Software\Microsoft\Windows NT\CurrentVesion\Winlogon. Он должен иметь значение Explorer.exe. В то же время, если такой ветки нет вообще — все в порядке.
Завершив анализ, нажмите на имя загруженного раздела (в нашем случае он называется по дате) и выполните Файл –> Выгрузить куст.
Получив исправленный реестр и список подозрительный файлов, необходимо сделать следующее:
Сохраните реестр пораженного ПК на случай, если что-то было сделано неправильно.
Попробуйте загрузить инфицированную машину с жесткого диска. Если загрузка прошла
успешно и баннера нет — проблема решена. Если троянец по-прежнему функционирует,
повторите весь пункт 4 этого раздела, но с более тщательным анализом всех уязвимых и часто используемых вирусами мест системы.
Внимание! Если после лечения с помощью Dr.Web LiveCD/USB компьютер не загружается
(начинает циклически перезагружаться, возникает BSOD), нужно сделать следующее:
Убедитесь, что в папке config находится один файл software. Проблема может возникать, потому что в Unix-системах регистр в имени файлов имеет значение (т. е. Software и software — разные имена, и эти файлы могут находиться в одной папке), и исправленный файл software может добавиться в папку без перезаписи старого. При загрузке Windows, в которой регистр букв роли не играет, происходит конфликт и ОС не загружается. Если файлов два — удалите более старый.
На каком бы из этапов ни кончилась битва с троянцем, необходимо обезопасить себя от
подобных неприятностей в будущем. Установите антивирусный пакет Dr.Web и регулярно
обновляйте вирусные базы.
Удаление навязчивых программ и вирусов. Видео и текстовые инструкции.
Страницы
понедельник, 15 октября 2012 г.
Большинство блокировщиков Windows используют названия каких-нибудь правительственных организаций, чтобы выглядеть более убедительно, обвиняя пользователя в том, чего он не делал. Сохраняйте терпение при виде подобных сообщений, никакая организация не вправе блокировать компьютер простого пользователя и тем более требовать от него оплаты штрафа через терминал. Данные вирусы лишь являются средством вымогания денег, и платить штрафы придется через некоторое время их создателям, хотя расплата за вымогание денег, возможно, не ограничится только штрафами.
Итак, чтобы удалить вирус блокировщик Windows Вы можете использовать следующие инструкции (Вам придется выполнять их другого компьютера):
Если данный метод не помог Вам решить проблему, или кода для такого вида вируса нет в базе Касперского, тогда Вам можно попробовать использовать такую же базу кодов разблокировки для вирусов блокировщиков Windows от DrWeb или любого другого производителя антивирусного программного обеспечения.Так же есть возможность использовать некоторые утилиты для удаления вирусов, например Dr.Web CureIt!
Если что-то не получилось, тогда попробуйте загрузить компьютер в безопасный режим:
- Перезагрузите компьютер и перехватите загрузку кнопкой F8. Жмите эту кнопку до тех пор, пока вы не увидите черный экран с меню.
- Выберите Безопасный режим в меню с помощью стрелок на клавиатуре и нажмите кнопку Enter.
- Далее вы можете запустить любую антивирусную утилиту или антивирусную программу, позволяющую использовать ее в безопасном режиме.
Программы которые могут помочь справиться с этой проблемой:
SpyHunter - сканер вредоносного ПО от американской компании Enigma Software Group. Удаление в автоматическом режиме, очень качественная полуавтоматическая система тех. поддержки (на английском). Находит и вычищает много дополнительных угроз которые не обнаруживаются классическими антивирусами.
Malwarebytes Anti-Malware - это относительно молодой проект, завоевавший огромную популярность на западе ставший практически лидером антирекламного и антишпионского ПО для домашних пользователей. Секрет успеха прост - простой и понятный интерфейс, обширная база данных, скорость, и конечно же эффективность в борьбе с современной заразой. А самое главное программа бесплатна, за деньги продаётся только активный модуль защиты и тех. поддержка. Абсолютный "must have" для каждого юзера.
Stronghold AntiMalware - сканер вредоносного ПО от российской компании Security Stronghold. Удаление в автоматическом режиме, качественная система тех. поддержки (на русском и английском). Имеет удобные дополнительные инструменты для сброса настроек браузеров выборочного удаления дополнений к браузерам и так далее.
Если же безопасный режим блокирован и не загружается, тогда Вам нужно использовать следующие инструкции.
- Итак, перезагрузите компьютер, как написано выше, перехватите загрузку Windows с помощью клавиши F8.
- Вы увидите меню, вместо безопасного режима, выберите старт с командной строкой и нажмите клавишу Enter.
- Введите команду msconfig и нажмите Enter.
- Вы увидите StartUp вкладку, в которой Вам следует выключить автозагрузку вируса. Вы сможете узнать его по названию, которое представлено Вам на сообщении, которое Вы видите при нормальной загрузке Windows, или же Вы сможете узнать его по рандомному имени, состоящему из множества выбранных случайным образом цифр и букв.
- Обязательно после этого Вам необходимо загрузить компьютер в нормальный режим (перезагрузить компьютер) и просканировать компьютер на вирусы. Для сканирования Вы можете использовать любую антивирусную программу, доступную Вам. Если Вы собрались использовать антивирусную программу, которая уже установлена на Вашем компьютере, тогда Вам придется переустановить ее и обновить.
Так же существует еще один очень эффективный метод, который Вы можете использовать. Бывают такие случаи, когда нажатие клавиш, которые обычно вызывают диспетчер задач (ctrl+shift+del и ctrl+shift+esc), приводит к появлению калькулятора. В таком случае Вам необходимо использовать вот эти волшебные инструкции:
- Скачайте специальный анлокер от любого производителя антивирусного программного обеспечения и утилиту avz на другом компьютере и скиньте их на флешку.
- Затем попытайтесь открыть диспетчер задач, как обычно ctrl+shift+del или ctrl+shift+esc, в Вашей ситуации Вы увидите калькулятор – не пугайтесь.
- Кликните Справка, затем О программе и выберите Лицензионное соглашение.
- Затем, снова не пугайтесь, Вы увидите… Блокнот! Выберите Файл, затем Открыть.
- Вставьте флешку, затем в окне блокнота кликните Файл, затем Открыть, и этими действиями Вы откроете Вашу флешку.
- Вам остается только запустить Ваши утилиты с флешки и удалить ими блокировщик.
Появление трояна в системе обычно происходит быстро и незаметно для пользователя. Человек выполняет привычный набор действий, просматривает веб-страницы и не делает чего-то особенного. В какой-то момент просто появляется полноэкранный баннер, который не удаётся убрать обычным способом.
Картинка может быть откровенно порнографической, или наоборот – оформлена максимально строго и грозно. Итог один: в сообщении, расположенном поверх других окон, требуется перечислить указанную сумму на такой-то номер или отправить платное SMS-сообщение. Часто оно дополняется угрозами уголовного преследования или уничтожения всех данных, если пользователь не поторопится с оплатой.
Разумеется, платить вымогателям не стоит. Вместо этого можно выяснить, какому оператору сотовой связи принадлежит указанный номер, и сообщить его службе безопасности. В отдельных случаях вам даже могут сказать код разблокировки по телефону, но очень рассчитывать на это не приходится.
Методики лечения основаны на понимании тех изменений, которые троян вносит в систему. Остаётся выявить их и отменить любым удобным способом.
Голыми руками
Для некоторых троянов действительно существует код разблокировки. В редких случаях они даже честно удаляют себя полностью после ввода верного кода. Узнать его можно на соответствующих разделах сайтов антивирусных компаний – смотрите примеры ниже.
После разблокировки не радуйтесь преждевременно и не выключайте компьютер. Скачайте любой бесплатный антивирус и выполните полную проверку системы. Для этого воспользуйтесь, например, утилитой Dr.Web CureIt! или Kaspersky Virus Removal Tool.
Простым коням — простые меры
Прежде чем использовать сложные методы и спецсофт, попробуйте обойтись имеющимися средствами. Вызовите диспетчер задач комбинацией клавиш ++ или ++. Если получилось, то мы имеем дело с примитивным трояном, борьба с которым не доставит проблем. Найдите его в списке процессов и принудительно завершите.
Посторонний процесс выдаёт невнятное имя и отсутствие описания. Если сомневаетесь, просто поочерёдно выгружайте все подозрительные до исчезновения баннера.
Когда троян деактивирован на время сеанса, осталось найти его файлы и удалить их. Это можно сделать вручную или воспользоваться бесплатным антивирусом.
Типичное место локализации трояна – каталоги временных файлов пользователя, системы и браузера. Целесообразно всё же выполнять полную проверку, так как копии могут находиться где угодно, а беда не приходит одна. Посмотреть полный список объектов автозапуска поможет бесплатная утилита Autoruns.
Военная хитрость
Старая школа
Более продвинутые версии троянов имеют средства противодействия попыткам избавиться от них. Они блокируют запуск диспетчера задач, подменяют другие системные компоненты.
Чаще всего вы увидите полные пути к файлам трояна в ключах Shell и Userinit в ветке
Затем выполняем в реестре поиск по имени файла трояна, внимательно просматриваем все найденные записи и удаляем подозрительные. Очищаем все временные папки и корзину. Даже если всё прошло идеально, не поленитесь затем выполнить полную проверку любым антивирусом.
Если из-за трояна перестали работать сетевые подключения, попробуйте восстановить настройки Windows Sockets API утилитой AVZ.
Операция под наркозом
Со случаями серьёзного заражения бесполезно бороться из-под инфицированной системы. Логичнее загрузиться с заведомо чистой и спокойно вылечить основную. Существуют десятки способов сделать это, но один из самых простых – воспользоваться бесплатной утилитой Kaspersky WindowsUnlocker, входящей в состав Kaspersky Rescue Disk. Как и DrWeb LiveCD, он основан на Gentoo Linux. Файл-образ можно записать на болванку или сделать из него загрузочную флэшку утилитой Kaspersky USB Rescue Disk Maker.
Предусмотрительные пользователи делают это заблаговременно, а остальные обращаются к друзьям или идут в ближайшее интернет-кафе уже во время заражения.
При включении заражённого компьютера удерживайте клавишу для входа в BIOS. Обычно это или , а соответствующее приглашение отображается внизу экрана. Вставьте Kaspersky Rescue Disk или загрузочную флэшку. В настройках загрузки (Boot options) выберите первым загрузочным устройством привод оптических дисков или флэшку (иногда она может отображаться в раскрываемом списке HDD). Сохраните изменения и выйдите из BIOS.
Современные версии BIOS позволяют выбирать загрузочное устройство на лету, без входа в основные настройки. Для этого требуется нажать , либо сочетание клавиш – подробнее смотрите в сообщении на экране, в инструкции к материнской плате или ноутбуку. После перезагрузки начнётся запуск Kaspersky Rescue Disk.
Борьба на раннем этапе
Отдельный подкласс составляют трояны, поражающие главную загрузочную запись (MBR). Они появляются до загрузки Windows, и в секциях автозапуска вы их не найдёте.
Первый этап борьбы с ними заключается в восстановлении исходного кода MBR. В случае XP для этого загружаемся с установочного диска Windows, нажатием клавиши вызываем консоль восстановления и пишем в ней команду fixmbr. Подтверждаем её клавишей и выполняем перезагрузку. Для Windows 7 аналогичная утилита называется BOOTREC.EXE, а команда fixmbr передаётся в виде параметра:
После этих манипуляций система вновь загружается. Можно приступать к поиску копий трояна и средств его доставки любым антивирусом.
В крестовый поход с крестовой отвёрткой
На маломощных компьютерах и особенно ноутбуках борьба с троянами может затянуться, так как загрузка с внешних устройств затруднена, а проверка выполняется очень долго. В таких случаях просто извлеките заражённый винчестер и подключите его для лечения к другому компьютеру. Для этого удобнее воспользоваться боксами с интерфейсом eSATA или USB 3.0/2.0.
Также перед подключением заражённого винчестера стоит убедиться, что на компьютере запущен резидентный антивирусный мониторинг с адекватными настройками и есть свежие базы.
Для предотвращения повторного заражения следует установить любой антивирус с компонентом мониторинга в режиме реального времени и придерживаться общих правил безопасности:
В статье приведены лишь основные методы и общие сведения. Если вас заинтересовала тема, посетите сайт проекта GreenFlash. На страницах форума вы найдёте множество интересных решений и советы по созданию мультизагрузочной флэшки на все случаи жизни.
Наверняка, каждый четвертый пользователь персонального компьютера сталкивался с различным мошенничеством в интернете. Один из видов обмана – это баннер, который блокирует работу Windows и требует отправить СМС на платный номер или требует криптовалюту. По сути это просто вирус.
Чтобы бороться с баннером-вымогателем, нужно понять, что он собой представляет и как проникает в компьютер. Обычно баннер выглядит так:
Но могут быть и другие всевозможные вариации, но суть одна – жулики хотят заработать на вас.
Пути попадания вируса в компьютер
Как разблокировать Windows 7/8/10
После лечения и успешного запуска системы без баннера вымогателя нужно провести дополнительные действия, иначе вирус может снова всплыть, или просто будут некоторые проблемы в работе системы. Всё это есть в конце статьи. Вся информация проверена лично мной! Итак, начнем!
Будем использовать специально разработанную операционную систему. Вся сложность в том, что на рабочем компьютере нужно скачать образ и записать его на флешку или на компакт-диск (пролистайте статьи, там есть).
![]()
Откроется чёрное окошко, куда пишем команду:
Откроется небольшое меню:
![]()
Ждём окончания проверки (может быть долго) и, наконец, перезагружаемся.
Сегодня вирусы типа Winlocker поумнели и блокируют загрузку Windows в безопасном режиме, поэтому скорей всего у вас ничего не получится, но если образа нет, то пробуйте. Вирусы бывают разные и у всех могут сработать разные способы, но принцип один.
Вот сюда мы должны попасть и выбрать нужную строку:
![]()
Далее, если всё пойдёт хорошо, то компьютер загрузится, и мы увидим рабочий стол. Отлично! Но это не значит что теперь всё работает. Если не удалить вирус и просто перезагрузиться в нормальном режиме, то банер снова всплывёт!
Нужно восстановить систему до ближайшей точки восстановления, когда баннера блокировщика ещё не было. Внимательно прочитайте статью и сделайте всё что там написано. Под статьёй есть видео.
Теперь по порядку проверяем такие значения:
Здесь вообще не должно быть ключей Shell и Userinit, если есть – удаляем их.
И ещё обязательно:
![]()
Заключается в том, что в безопасном режиме мы запустим известную антивирусную утилиту AVZ. Кроме поиска вирусов программа имеет просто массу функций исправления системных проблем. Этот способ повторяет действия по заделыванию дыр в системе после работы вируса, т.ч. для ознакомления с ним переходим к следующему пункту.
Поздравляю! Если вы это читаете, значит система запустилась без баннера. Теперь нужно скачать антивирусный сканер и проверить им всю систему. Если вы пользовались спасительным диском Касперского и провели проверку там, то этот пункт можно пропустить.
Ещё может быть одна неприятность, связанная с деятельностью злодея – вирус может зашифровать ваши файлы. И даже после полного его удаления вы просто не сможете воспользоваться своими файлами. Для их дешифрации нужно использовать программы с сайта Касперского: XoristDecryptor и RectorDecryptor. Там же есть и инструкция по использованию.
Но и это ещё не всё, т.к. винлокер скорей всего напакостил в системе, и будут наблюдаться различные глюки и проблемы. Например, не будет запускаться редактор реестра и диспетчер задач. Чтобы полечить систему воспользуемся программой AVZ.
![]()
![]()
![]()
Если оно у вас установлено, то будет отображаться на самом верху меню. Если там нет, то попробуйте запустить Виндовс до момента появления баннера и выключить компьютер из розетки. Затем включите – возможно будет предложен новый режим запуска.
Относится к случаям, когда вы, по каким-то причинам, не можете загрузиться с флешки с записанным образом Касперского или программой AVZ. Вам остаётся только достать из компьютера жёсткий диск и подключить его вторым диском к рабочему компьютеру. Затем загрузиться с НЕЗАРАЖЁННОГО жёсткого диска и просканировать СВОЙ диск сканером Касперского.
Никогда не отправляйте СМС-сообщения, которые требуют мошенники. Каким бы ни был текст, не отправляйте сообщения! Старайтесь избегать подозрительных сайтов и файлов, а вообще почитайте об основах безопасности в интернете. Следуйте инструкции, и тогда ваш компьютер будет в безопасности. И не забывайте про антивирус и регулярное обновление операционной системы!
Вот видео, где всё видно на примере. Плейлист состоит из трёх уроков:
PS: какой способ помог Вам? Напишите об этом в комментариях ниже.
![]()
Казалось бы, решение лежит на поверхности, но по каким-то причинам, популярных программ-блокировщиков среди мастодонтов практически нет, поэтому для обзора были выбраны приложения, которые малоизвестны в настоящее время широкой публике, но несмотря на это, прекрасно справляются с этой задачей.
VoodooShield – утилита, осуществляющая блокировку запуска новых приложений и неизвестных объектов, которые могут содержать в вредоносное ПО. Перед проведением установки важно убедиться в том, что на компьютере отсутствуют вредоносные объекты, в противном случае, они могут быть добавлены в число доверенных и будут функционировать совершенно официально.
Сам процесс установки антивируса носит вполне привычный характер, после появления окна приветствия и до завершения инсталляции, пользователю никаких действий делать не приходится.
![]()
![]()
Первый запуск программы сопровождается небольшим ликбезом по ее использованию, разъясняя как именно будет осуществляться защита.
![]()
Возле системного лотка отображается управляющий виджет, с помощью которого можно включать и выключать защиту, а также пользоваться контекстным меню для изменения оперативных настроек.
![]()
Базовые и расширенные настройки обеспечивают тюнинг приложения под себя, чтобы сделать функционирование приложение наиболее комфортным.
![]()
![]()
Предопределенные Интернет-приложения, работа с которыми переводит защиту в нужный режим.
![]()
![]()
Для того, чтобы пользователю не пришлось мучиться первое время, добавляя в белый список все свои установленные приложение, разработчики предусмотрели режим Training, который добавляет все выполняемые процессы в белый список. Поработав в этом режиме несколько дней, вы получите настройку, в которую будут включены все ежедневно используемые приложения.
Давайте теперь посмотрим, как программа функционирует и выполняет свои прямые обязанности. Для этой цели скачаем браузер Яндекс и попробуем его установить на тестовый компьютер.
Скачивание файла никаких проблем не вызвало, а вот запуск нового приложения сопровождается уведомлением о блокировке.
![]()
Нажатие на уведомление открывает панель выбора действия – заблокировать либо запустить в локальной или интернет-песочнице Cuckoo.
![]()
Блокировка запрещает выполнение запускаемого приложения, а запуск в локальной песочнице, к сожалению, приводит к краху приложения.
![]()
Запускаем защиту еще раз и пробуем установить браузер. При выборе действия выбираем запуск в песочнице Cuckoo.
![]()
Загрузка файла и его анализ занимают довольно продолжительное время, порядка нескольких минут, после чего кукушка оглашает свой вердикт – 7.9 баллов по десятибалльной шкале опасности, приложение вредоносно.
![]()
Все действия фиксируются в логе.
![]()
Отдельный раздел хранит выполняемую командную строку, с помощью которой осуществлялся запуск объектов, что удобно для анализа переданных приложению параметров.
![]()
VoodooShield является достаточно простым в использовании, но при этом весьма эффективным инструментом в борьбе с различными угрозами. В работе приложения есть некоторые шероховатости, но учитывая что программу можно использовать совершенно бесплатно, это вполне достойный вариант, который позволит обеспечить контроль над любыми вредоносными объектами, пытающимися проникнуть на компьютер.
SecureAPlus продвинутый антивирус от компании SecureAge. Приложение сочетает в себе инструменты для мониторинга и обнаружения угроз в режиме реального времени с функциями анализа подозрительных объектов и использованием аж 12 антивирусных движков сторонних разработчиков.
![]()
Сразу после установки пользователю предлагается выполнить сканирование системы, на основании результатов которого будет создан список доверенных приложений, а также выдается информация об объектах с не очень хорошей репутацией (если таковые будут обнаружены).
В системном лотке отображается иконка программы, через контекстное меню можно выполнить типовые операции – открыть настройку, выбрать текущий режим работы.
![]()
![]()
Включение последнего режима можно осуществить на определенное время, что удобно для установки новых приложений и выполнения операций, не требующих постоянного мониторинга процессов.
![]()
Настройка белого списка осуществляется очень гибко, и даже чрезмерно гибко, так что неподготовленного пользователя такие анатомические подробности могут запросто запутать.
Приложение позволяет самостоятельно добавить доверенные приложения, сертификаты и скрипты.
![]()
![]()
Программа интегрируется в оболочку операционной системы, благодаря чему быстрое сканирование любого файла доступно при нажатии на нем правой кнопки мыши. Следует отметить, что сканирование может занять некоторое время, так как файл необходимо сначала загрузить на сервер.
В зависимости от потребностей можно настроить антивирусный механизм – включить или выключить рабочие движки для проверки подозрительных объектов, которые будут отправлены на проверку через Интернет в режиме реального времени.
В случае ограничения связи существует возможность установки ежедневного лимита загружаемых файлов.
![]()
Для проверки работы SecureAPlus я попытался загрузить и запустить установку браузера Яндекс. Во время запуска появилось симпатичное окно с информацией об объекте и выбором нужного действия. Если пользователь не знает можно ли доверять запускаемому файлу, он может осуществить его проверку с помощью облачного антивируса, либо сразу блокировать вредоносное приложение.
![]()
В ходе работы программа так же осуществляет в фоновом процессе сканирование файлов и если находит угрозы, то незамедлительно о них информирует вот таким мультяшным окном.
![]()
Просмотр сведений позволяет получить исчерпывающую информацию об угрозе.
![]()
SecureAPlus производит очень хорошее впечатление, инструмент способен защитить компьютер перед установкой и в процессе эксплуатации подозрительных приложений. Антивирус является простым в использовании и характеризуется четким, красивым, хотя и немного несерьёзным интерфейсом. Из недостатков можно выделить некоторую избыточность в функционале и слишком подробную настройку, которая не всегда может оказаться по плечу обычному пользователю.
Defendset — проактивное решение блокировки несанкционированных операций над файлами, работающее в операционных системах Windows 7/8/10 и Windows Server 2008/2012/2016.
При первой установке предоставляется пробная 30-дневная лицензия, без каких-либо ограничений в функционале, что позволяет оценить полезность инструмента и принять взвешенное решение о приобретении.
В процессе установки пользователю предлагается выбрать начальный уровень безопасности.
![]()
Все управление осуществляется с помощью окна настроек, которое появляется после клика по иконке программы. Слева – включение/выключение защиты, вверху список всех правил, внизу – детальная информация по выбранному элементу, она меняется в зависимости от активной позиции списка.
![]()
После установки в программе уже есть набор предустановленных правил, с помощью которых осуществляется защита, кроме того они полезны тем, что в них можно зайти и поразбираться, как все устроено, тем более из названия правила понятно за что оно отвечает и каким образом должно функционировать.
На основной вкладке – название правила, его активность и выбор нужного типа защиты, вид контроля, ну и собственно сами операции, которые можно блокировать. Их не так много, но это самые основные – создание, изменение, удаление и открытие.
![]()
Следующая вкладка – пути размещения блокируемых файлов, и исключений из них. Тут задается список контролируемых каталогов. Можно указать что-то конкретное, а можно сразу всё.
![]()
Выбор типов наблюдаемых файлов, все по аналогии с каталогами.
![]()
Ну и последняя вкладка с процессами – они обрабатываются все, а здесь можно задать исключения: системные процессы для нормальной работы Windows и любые доверенные приложения, причем их можно указывать явным образом, а можно по маске. Например, в этом правиле ничего не возбраняется делать программам из стандартных программных папок, будет необходимость – можно будет добавить что-то еще.
![]()
Для тестирования попробуем скачать и установить браузер Яндекс. Скачивание проходит без каких-либо препятствий, а установка блокируется. Блокировка сопровождается информационным окном в нижнем правом углу, в котором отображаются сведения о событии.
![]()
Для дальнейших тестов я сделал новое правило – в корневой папке Test запретил все операции над любыми файлами.
![]()
Пробую создать в Test новый документ Word — действие блокируется, программа пишет, что это создание нового файла в защищаемой зоне.
![]()
Копирование скачанного ранее браузера в тестовую папку так же благополучно предотвращается.
![]()
Для проведения дальнейших экспериментов временно отключаю защиту и создаю в Test вордовский документ. Снова активизирую Defendset и пробую открыть файл.
![]()
Ворд не может открыть файл, операция блокируется. То же самое происходит и при попытке запуска установочного пакета.
![]()
Какое-либо изменение (редактирование, переименование, перемещение) и удаление файла при включенной защите так же невозможно.
![]()
Все сведения о блокировках попадают в журнал событий.
![]()
![]()
Попытка копирования Yandex.exe на рабочий стол успешна, но при этом выводится уведомление об операции, а в журнале событий появилась соответствующая запись, иконка уведомления такая же как в правиле.
![]()
Еще одна фишка программы — версионирование, это когда при записи документа его копия сохраняется в специальном каталоге. В настройках можно задать интервал сохранения — через сколько времени создавать новую версию (например, не чаще чем 1 раз в час), это удобно от замусоривания каталога при частых сохранениях. Так же регламентируется размер файла, на тот случай, чтобы копии череcчур больших файлов не занимали слишком много дискового места.
![]()
Для тестирования этой замечательной возможности я создал правило, которое бакапит файлы из папки Test в корневую папку Копии.
![]()
Создаю текстовый файлик со словом Привет внутри. Уведомление при записи говорит что копия успешно создана.
![]()
Добавляю строчку и записываю еще раз.
![]()
Теперь идем в папку Копии и видим что там появилось два файла с различным содержимым.
![]()
Эту функцию можно использовать как альтернативную защиту от изменений, копируя версии файлов в общую папку на сервере, если шифровальщик зашифрует локальный файл, то там останется рабочая копия. Так же может пригодится при редактировании файлов (статей, скриптов, html страниц и т.д.), когда надо вернуть вариант с нужным фрагментом текста или куском кода.
В журнале событий появляются записи о всех операциях, впрочем, журналирование событий можно отключить для любого из правил, просто сняв в нем галочку регистрации событий.
![]()
Defendset как с точки зрения функционала, так и с позиции удобства использования заслуживает положительной оценки. В целом программа мне понравилась.
В плюс разработчикам можно засчитать продуманный лаконичный интерфейс. Также я бы отметил крайне простую эксплуатацию – после установки программа сразу же приступает к выполнению своих функций, не требуя от пользователя никакого обучения и не задавая непонятных вопросов, но всё же не стоит полностью полагаться в защите на одно приложение, поэтому лучше будет использовать его в тандеме с антивирусом.
Читайте также:
Пожалуйста, не занимайтесь самолечением!При симпотмах заболевания - обратитесь к врачу.
