Целью действий программ-вымогателей класса Trojan-Ransom является блокирование доступа пользователя к данным на компьютере или ограничение возможностей работы на компьютере и требование выкупа за возврат к исходному состоянию системы.

Рассмотрим виды вредоносных программ класса Trojan-Ransom в порядке сложности борьбы с ними вручную, без антивируса. Избавиться от последствий запуска первых двух видов достаточно просто, третьего и четвертого – немного сложней, а устранение последствий работы программ, отнесенных к пятому виду, не всегда возможно.

Программы:

• ограничивающие доступ к веб-сайтам
• ограничивающие работу с обозревателем
• блокирующие доступ к ресурсам операционной системы
• ограничивающие действия пользователя в операционной системе
• шифрующие файлы пользователя

Программы,ограничивающие доступ к веб-сайтам

Примером программ такого вида может быть вредоносная программа Trojan-Ransom.BAT.Agent.c , которая представляет собой BAT-файл размером 13 Кб. После запуска этого вредоносного ПО блокируется доступ пользователя ко многим веб-сайтам, в том числе, сайтам Лаборатории Касперского, поисковых средствGoogle, Яндекс, социальной сети «Одноклассники» и других (всего около 200 доменных имен). Введя адрес веб-сайта вместо ожидаемой начальной страницы, пользователь видит окно с требованием выкупа.

Для блокирования доступа к сайтам, троянская программа изменяет файл HOSTS:

В данном случае вымогательства, стоимость отправки SMS, как правило, указывается явно и составляет небольшую сумму, чтобы мотивировать пользователя заплатить. В ответ авторы обещают прислать код для разблокировки.

Если по каким-либо причинам антивирусное ПО не было установлено или вредоносное ПО этого типа не было удалено, то в качестве альтернативного способа лечения специалисты Лаборатории Касперскогорекомендуют проделать следующие действия:

• откройте файл HOSTS  с помощью любого текстового редактора, например Notepad. В зависимости от используемой вами операционной системы этот файл располагается:
  • для Windows-95/98/ME: в корневом каталоге диска, на котором установлена операционная система
  • для Windows NT/2000/XP/Vista: в папке Windows\System32\drivers\etc.
• самостоятельно исправьте данный файл, удалив все строчки кроме: 127.0.0.1 localhost
• установите антивирусное ПО, если оно не было установлено ранее
• обновите антивирусные базы
• запустите проверку на вирусы 

Если описанные выше действия не помогли, то обратитесь в Службу технической поддержки Лаборатории Касперского, отправив запрос через веб-форму Helpdesk.

Программы, ограничивающие работу с обозревателем

В результате действий таких программ-вымогателей в браузере создается всплывающее окно без возможности закрытия, мешающее или полностью препятствующее работе в Интернете. Например:

Наиболее характерные представители этого подвида вымогателей – вредоносные программы семействTrojan-Ransom.Win32.Hexzone и Trojan-Ransom.Win32.BHO.

Если по каким-либо причинам антивирусное ПО не было установлено или вредоносное ПО этого типа не было удалено, то в качестве альтернативного способа лечения специалисты Лаборатории Касперскогорекомендуют проделать следующие действия:

• в меню обозревателя Internet Explorer откройте окно Управление надстройками из меню обозревателя «Сервис→ Надстройки→ Включение и отключение надстроек» 
• в окне Управление надстройками перечислены все установленные и активные надстройки, среди которых следует выявить вредоносную. Для этого обратите внимание на все надстройки, у которых в графеИздатель либо ничего не указано, либо есть строка (Не проверено) – их следует проверить в первую очередь. 
• в графе Файл проверьте расширения файлов таких подозрительных надстроек. Отключите подозрительные расширения, нажав кнопку Отключить.
• перезапустите Internet Explorer и убедитесь, что всплывающее окно исчезло.

Если описанная процедура не помогла, то возможно, причина в другом расширении, и чтобы его выявить, последовательно отключите все расширения, проверяя результат.

Программы, блокирующие доступ к ресурсам операционной системы

Этот вид вредоносной программы класса Trojan-Ransom основан на блокировке доступа пользователя к ресурсам операционной системы. В этом случае пользователь не может завершить работу вредоносной программы или запустить любую другую программу, в том числе Диспетчер задач. Запустив такую троянскую программу, пользователь увидит на экране сообщение с требованием выкупа. Клавиатура и мышка будут продолжать работать, но на экране появится окно, которое невозможно свернуть, с которого невозможно переключиться (например, с помощью сочетания клавиш «Alt-Tab»). Остается только окно, расположенное поверх остальных, в котором сформулированы условия получения пароля для восстановления работоспособности системы.

Способ лечения №1. Для решения проблемы необходимо завершить вредоносный процесс, блокирующий экран. Если компьютер находится в сети, то можно подключиться к компьютеру с помощью средств удаленного администрирования. Приведем пример с использованием стандартного средства WMIC(Windows Management Instrumentation Command-line).

• на удаленной машине запустите командную оболочку cmd.exe
• выполните следующие команды:

wmic /NODE:<имя компьютера или сетевой адрес> (например «/NODE:192.168.10.128») /USER:<имя пользователя на зараженной машине> (например «/USER:Analyst»)

• появится предложение ввести пароль пользователя на компьютере, заблокированном программой-вымогателем, который также надо ввести
• далее выполните команду process
• после этого будет выведен список запущенных процессов на удаленной машине
• найдите в списке подозрительный процесс, который не относится к ОС и пользовательским приложениям, например, aers0997.exe

• выполните следующую команду:

process where name=”<имя зловредного процесса>” delete (например, process where name=”aers0997.exe” delete)

• после завершения вредоносного процесса, на зараженной машине исчезнет окно с требованием выкупа
• установите антивирусное ПО и проведите проверку на вирусы.

Способ лечения №2. Другим вариантом функционирования вредоносных программ семейств Blockerявляется блокирование работы не сразу после запуска вредоносного ПО, а после перезагрузки компьютера. Если способ лечения №1 не помог, можно воспользоваться встроенной возможностью восстановления ОС Windows. Рассмотрим последовательность шагов на примере ОС Windows 7 с использованием установочного DVD-диска. Инсталляционный диск понадобится Windows в процессе работы.

• загрузите компьютер в Безопасном режиме
• в меню на экране выберите пункт «Repair Your Computer». 
• в процессе запуска вам будет предложено выбрать раскладку клавиатуры и ввести пароль пользователяWindows
• в появившемся далее диалоговом окне выберите пункт «System Restore» («Восстановление системы»)
• мастер восстановления предложит вам откатить систему к одной из точек восстановления. Выберите последнюю точку восстановления и дождитесь окончания работы мастера
• по завершении вам будет предложено перегрузиться, после чего скорее всего ограничения будут сняты.

Следует отметить улучшенную защиту ОС Windows 7, в которой некоторые из вредоносных программ семейства Blocker можно обезвредить средствами «Диспетчера Задач Windows»,