Не так давно стався дивний збіг. Тільки но я прочитав статтю про те, що велика кількість користувачів стикається з “трояном”, який блокує браузер тепер уже мобільних пристроїв, як зловив цей “подаруночок” на своїй великій машині.

Звісно, я одразу ж знешкодив поганця і сьогодні хочу розповісти вам як саме я це зробив.

Розповів би й раніше, але був дуже зайнятий підготовкою, а потім і святкуванням свого 40-річного юбілею (до речі, було дуже приємно побачити тортик замість дудла на стартовій сторінці Google з привітанням з Днем народження в альтернативному тексті картинки). Проте, краше пізніше, аніж ніколи.

Що це за звір?

Поясню чому я назвав цю статтю саме так. Справа в тому, що подорожуючи “пристойними” сайтами ви, скоріш за все, нічого подібного підхопити не зможете. Подібні речі, перш за все, загрожують любителям “халяви”. Каюсь, я теж не безгрішний, тож вловив цю гидоту в процесі пошуку однієї книги, прочитати яку мені дуже хотілось,  платити за неї – не дуже, а на відомих мені ресурсах я її не знайшов. Так, це погана поведінка, проте…

Що ж воно за звір такий? Працює ця гидота дуже просто – замість сторінки, куди ви планували потрапити, виводить повідомлення про те, що вашу IP-адресу зафіксовано у правоохоронних органах, на вас накладено штраф, який ви можете сплатити, поповнивши певний телефонний номер. У відповідь на поповнення ви отримаєте PIN, який треба ввести на сторінці. А до тих пір закрити її ви не зможете, до того ж, виводиться повідомлення, що разом з блокуванням вашого браузера, було також зашифровано файли на вашому диску.

Люди, які вже ловили цю штуку, писали, що сторінка може мати логотипи FBI, CIA, Білого дому, Інтерполу тощо. А штраф може бути величиною до $300. У мене ж сторінка була російською, з посиланням на МВС РФ та розміром “штрафу” в 1000 руб. Коли ж я спробував закрити вкладинку браузера, з’явилось JavaScript-віконце з типовим текстом англійською “YOUR BROWSER HAS BEEN BLOCKED UP FOR SAFETY REASONS. ALL PC DATA WILL BE DETAINED. ALL YOUR FILES ARE ENCRYPTED”:

Саме за цим текстом я й шукав в Інтернет рецепти зцілення.

Лікування

Перше, що я зробив – це натиснув F12 аби викликати інструменти розробника і подивитись як саме цю штуку влаштовано. Звичайно ж, я видалив усі скрипти, проте й тоді сторінка не закривалась, аж поки я не побачив, що там задіяно серверний код. 

Оскільки я використовую Chrome, я просто перейшов до іншої вкладинки і набрав у пошуку згадуваний вище типовий текст “YOUR BROWSER HAS BEEN BLOCKED UP…”. Першим же посиланням, яке мені запропонував Google, була стаття на тему видалення цього “зловреда” на malwaretips.com. Саме так, як там було написано, я й вчинив.

Все досить просто:

1. Відкриваємо “Диспетчер завдань” (CTRL+SHIFT+Esc, або CTRL+ALT+DEL і потім обрати пункт “Start Task Manager”, або просто клацаємо ПРАВОЮ кнопкою миші на панелі завдань і обираємо “Task Manager”). У вікні, яке з’явиться, на вкладинці “Процеси” знаходимо chrome.exe (якщо ви користуєтесь Chrome) або процес, який відповідає вашому браузеру, і завершуємо його (клацаємо правою кнопкою миші і потім обираємо “End Process Tree”):

   

2. Завантажуємо Malwarebytes Anti-malware Free, встановлюємо його і скануємо нашу машину. Дозволяємо програмі видалити всю ту гидоту, яку вона знайшла:

   

3. Про всяк випадок завантажуємо ще й HitmanPro, запускаємо його, скануємо нашу машину й теж дозволяємо йому видалити всі ті речі, які здались йому підозрілими:

   

4. На цьому етапі нарешті “прокинувся” вбудований у Windows 8.1 антивірус Windows Defender, проте знайшов і видалив він не “зловреда”, а корисну системну утиліту WirelessKeyWiew.
5. На цьому все. HitmanPro, скоріш за все, забажає перезавантажитись аби продовжити видалення знайдених паскудників. Після перезавантаження він зробить свою справу і дозволить системі продовжити завантаження. Все! Ваша машина вільна від загроз!

Як бачите, все просто! Нагадую, що детальніше ви можете прочитати про весь процес тут. На цьому я з вами прощаюсь.

До зустрічі за тиждень!
Хай вам щастить і не ходіть підозрілими торрент-порталами!