Целью действий программ-вымогателей класса Trojan-Ransom является блокирование доступа пользователя к данным на компьютере или ограничение возможностей работы на компьютере и требование выкупа за возврат к исходному состоянию системы. Отличие вредоносных программ класса Trojan-Ransom заключается в их изначальной коммерческой направленности. Каждая программа этого поведения является инструментом для получения денег киберпреступниками.

Разблокировка зараженного компьютера

В случае если ваш компьютер уже заражен программой-вымогателем класса Trojan-Ransom, обратитесь в сервис деактивации вымогателей-блокеров.

Рекомендации по предотвращению заражения компьютера

Очень важно предупредить заражение от вредоносных программ-вымогателей класса Trojan-Ransom. Для этого пользователи Kaspersky Internet Security 2010 могут использовать компонент Контроль программ. Компонент Контроль программ регистрирует действия программ, запущенных в системе, и регулирует их деятельность на основе правил. Эти правила регламентируют доступ программ к различным ресурсам системы.

Для предупреждения заражения создайте правило, контролирующее активность программ при обращении к следующим ключам реестра:

• *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
• *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
• *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
• *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*
• *\SOFTWARE\Policies\*
• *\SOFTWARE\Policies\*\
• *\SOFTWARE\Policies\*\*
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\*
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\*\
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\*\*

Для создания правил проделайте следующие действия:

• в правой нижней части экрана дважды нажмите на иконку Kaspersky Internet Security 2010
• в левой части главного окна программы перейдите на закладку Контроль программ
• в разделе Защита персональных данных нажмите на ссылку Настройка

• в окне Защита персональных данных на вкладке Персональные данные выберите в списке меню категорию Все ресурсы

• на вкладке Персональные данные создайте новую категорию с названием "AntiWinLock". Для этого проделайте следующие действия:
• в окне Защита персональных данных выберите ресурс Персональные данные. Для этого нажмите левой кнопкой мыши на ресурс Персональные данные
• в нижней части окна Защита персональных данных нажмите на ссылку Добавить категорию
• в окне Название группы ресурсов введите в пустое поле название категории "AntiWinLock"
• нажмите кнопку Ок

• для удобства сверните другие категории. Для этого нажмите левой кнопкой мыши на знак "-" возле каждой категории
• выберите категорию AntiWinLock. Для этого нажмите левой кнопкой мыши на категорию AntiWinLock

• добавьте в категорию AntiWinLock ресурсы, которые необходимо контролировать. Для этого проделайте следующие действия:
• в левой нижней части окна Защита персональных данных нажмите на ссылку Добавить
• выберите в списке меню категорию "Ключ реестра"

• в окне Пользовательский ресурс введите название правила (название правила вводить не обязательно, так как при указании пути, который должен контролироваться компонентом Контроль программ, название правила поставится автоматически)
• введите путь, который должен контролироваться компонентом Контроль программ, нажав в окне Пользовательский ресурс кнопку Обзор

• далее выполните следующие действия:
• в нижней части окна Выбор объекта в реестре введите следующее:
• в поле ключ: *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
• в поле значение: Shell

• нажмите кнопку Ок
• в окне Пользовательский ресурс нажмите кнопку Ок

• выполните те же действия со следующими девятью ресурсами:

1. в поле ключ введите: *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, в поле значение: AppInit_DLLs
2. в поле ключ введите: *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, в поле значение: Userinit
3. в поле ключ введите: *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\* (для этого ключа в поле значение вводить ничего не нужно. По умолчанию будет установлено значение: *)
4. в поле ключ введите: *\SOFTWARE\Policies, в поле значение: *, в окне Пользовательский ресурс в поле Название введите: Winlock.Policies.Values
5. в поле ключ введите: *\SOFTWARE\Policies\*, в окне Пользовательский ресурс в поле Название введите: Winlock.Policies.Keys
6. в поле ключ введите: *\SOFTWARE\Policies\*, в поле значение: *, в окне Пользовательский ресурс в поле Название введите: Winlock.Policies.Values.Sub
7. в поле ключ введите: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot, в поле значение: *, в окне Пользовательский ресурс в поле Название введите: SafeBoot.Values
8. в поле ключ введите: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\*, в окне Пользовательский ресурс в поле Название введите: SafeBoot.Keys
9. в поле ключ введите: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\*, в поле значение: *, в окне Пользовательский ресурс в поле Название введите: SafeBoot.Values.Sub

• в результате выполненных действий в категории AntiWinLock будут добавлены и будут контролироваться компонентом Контроль программ в Kaspersky Internet Security 2010 десять ресурсов

• нажмите кнопку Ок

• в правой верхней части главного окна программы нажмите ссылку Настройка

• в левой части окна Настройка в разделе Защита выберите подраздел Контроль программ
• в правой части окна Настройка в разделе "Правила для статусов программ" нажмите кнопку Настройка правил

• в окне Настройка правил контроля активности выполните следующие действия:
• выберите папку Слабые ограничения. Для этого нажмите левой кнопкой мыши на папку Слабые ограничения
• в левой нижней части окна Настройка правил контроля активности нажмите ссылку Изменить

• в окне Правила для группы программ перейдите на вкладку Правила
• выберите в списке меню категорию "Файлы, системный реестр"
• в конце списка ресурсов находится группа правил AntiWinLock
• для ресурса AntiWinLock заданы параметры настройки "Запросить действие" для операций "Удаление", "Чтение", "Запись", "Создание"

• поменяйте для операций "Удаление", "Чтение", "Запись", "Создание" параметр настройки "Запросить действие" на параметр "Запретить". Для этого проделайте следующие действия:
• правой кнопкой мыши нажмите на значок действия для операций
• в списке меню выберите свойство "Запретить". Для этого нажмите левой кнопкой мыши на свойство "Запретить"
• нажмите кнопку Ок

• выполните вышеперечисленные действия с папкой Сильные ограничения

В папках Доверенные и Недоверенные параметры настроек для категории AntiWinLock менять не нужно.

• запретите программам, не входящих в группу Доверенных, изменять параметры безопасности браузера Internet Explorer, зоны браузера Internet Explorer, параметры встроенного сетевого экрана и т.д. Для этого проделайте следующие действия:
• в левой части окна Настройка в разделе Защита выберите подраздел Контроль программ
• в правой части окна Настройка в разделе "Правила для статусов программ" нажмите кнопку Настройка правил

• в окне Настройка правил контроля активности выполните следующие действия:
• выберите папку Слабые ограничения. Для этого нажмите левой кнопкой мыши на папку Слабые ограничения
• в левой нижней части окна Настройка правил контроля активности нажмите ссылку Изменить



• в окне Правила для группы программ перейдите на вкладку Правила
• выберите в списке категорию "Файлы, системный реестр"
• для ресурса Параметры безопасности заданы параметры настройки "Разрешить" для операции "Чтение", для операций "Запись", "Удаление", "Создание" заданы параметры настройки "Запросить действие"
• для операций "Чтение", "Запись", "Удаление", "Создание" задайте параметр настройки "Запретить". Для этого проделайте следующие действия:
• правой кнопкой мыши нажмите на значок действия для операций
• в списке меню выберите свойство "Запретить". Для этого нажмите левой кнопкой мыши на свойство "Запретить"
• нажмите кнопку Ок

В результате выполненных действий будет установлен запрет на обращения к этим ключам реестра для программ, которые не входят в группу Доверенные. В случае возникновения какой-либо угрозы Kaspersky Internet Security 2010 заблокирует опасное действие и занесет это действие в отчет.