Android "FBI Lock" malware - как избежать выкупа

cybercop

Постоянный участник
Сообщения
285
Реакции
258
Опубликовано на портале КОМПЬЮТЕРНЫЕ ВЕСТИ (http://www.kv.by)
Недавно специалистами SophosLabs был обнаружен еще один образец Android ransomware. Ransomware – вредоносное ПО, которое блокирует ваш компьютер или телефон с помощью раскрывающегося окна, которое скрывает окна всех других ваших приложений и иногда даже шифрует ваши файлы с данными. Для разблокирования (расшифровки) необходимо заплатить вымогателю определенную сумму. Фактически это вымогательство или требование денег с угрозами.
Итак, вам нужен секретный код, который может разблокировать ваш телефон, или дешифровать ваши файлы, но он есть только у злоумышленников (или они говорят, что он есть). Вполне возможно, что вы заплатите деньги, но код так и не получите.
Если вы хотите копию кода восстановления, вы должны заплатить. При этом сумма "взноса" меняется: от десятков до сотен, иногда даже тысяч (http://nakedsecurity.sophos.com/2013/11/04/cryptolocker-ransomeware-crooks-offer-late-payment-penalty-option/ [4]) долларов.
При этом, оплата должна осуществляться с помощью анонимных и необратимых механизмов, таким как Bitcoin или ваучер Moneypak.
Ransomware является постоянной угрозой на настольных компьютерах и ноутбуках в течение нескольких лет.
Самый известный пример вредоносного программного обеспечения - Reveton http://nakedsecurity.sophos.com/2012/08/29/reveton-ransomware-exposed-explained-and-eliminated/ [5], который блокирует все другие программы на Windows, включая Диспетчер задач, необоснованно обвиняя вас в преступлении (обычно это касается пиратства или порнографии). Далее вас приглашают заплатить приблизительно 300$, чтобы разблокировать ваш ПК.
Пожалуй, одним из лучших решений шифрующего злонамеренного ПО является CryptoLocker [6]. Он шифрует все ваши файлы с сильным криптографическим алгоритмом до того, как попросит у вас 300$ для получения ключа расшифровки.
В последнее время вирусы-вымогатели все чаще встречаются на смартфонах и планшетах под управлением Android.
Это последний образец Android ransomware найден специалистами SophosLabs. Он следует по знакомому пути, открытому вредоносным программным обеспечением Kolerhttp://nakedsecurity.sophos.com/2014/05/19/android-police-warning-ransomware-how-to-avoid-it-and-what-to-do-if-you-get-caught/ [7], о котором писали в мае 2014.
Но у нового вредоносного программного обеспечения есть небольшое отличие, делая его более сложным для удаления.
В данной заметке мы расскажем о том, как вручную удалить данное вредоносное ПО.
Описание
Вредоносное программное обеспечение, идентифицированное Sophos как Andr/FBILock-A, подменяет приложение Flash Player:
1_3.webp
Так как Android не поддерживает Flash и приложение Adobe Flash Player http://helpx.adobe.com/flash-player/kb/installing-flash-player-android-devices.html отсутствует в Google Play Store, то загрузка данного вредоносного ПО является хорошим поводом для включения разрешения на загрузку приложений из сторонних источников.
При открытии этого приложения раскрывается запрос на то, чтобы дать данному приложению привилегии Администратора Устройства:
2_5.webp
Это официальная функция в Android, которая предназначена для того, чтобы сделать платформу более управляемой.
После того, как приложение запущено, независимо от того, позволяете ли вы приложению принимать свои требуемые полномочия Device Administrator или нет, Andr/FBILock-A блокирует ваше устройство:
3_4.webp
Как только вы касаетесь вашего устройства, появляется вымогательство:
4_5.webp
Теперь очень трудно сделать что-либо с вашим телефоном, потому что экран угроз блокирует экраны любых приложений, включая Настройки, которые вы обычно использовали бы, чтобы остановиться и избавиться от неправильно себя ведущих приложений.
Для самостоятельного удаления вредоносного приложения вам необходимо войти в режиме Safe Mode (в Безопасном режиме). Увы, но в Android нет однозначного входа в данный режим и вам придется использовать несколько вариантов до того момента, пока вы найдете походящий.
Используйте Безопасный Режим
Вот метод, который может помочь решить вашу проблему.
Увы, он тоже не всегда сможет помочь, но все же это лучше, чем ничего. Верно?
Вместе с тем стоит отметить, что данный метод:
  • не требует никаких специальных технических навыков.
  • не требует, чтобы вы установили какое-то специальное программное обеспечение до того, как у вас произошла проблема.
  • если это не работает, вы можете возвратиться туда, где вы были.
В теории, если ваш телефон не рутован, то никакие сторонние приложения, которые вы установили, не могут обмануть систему и быть загружены в Безопасном Режиме.
Начальная загрузка в Безопасном Режиме означает, что вы должны всегда быть в состоянии войти в список загруженных приложений, вредоносного программного обеспечения и удалить нежелательное ПО.
Начальная загрузка в Безопасном Режиме
Жизнь была бы намного легче, если все поставщики договорились о стандартном запуске в Безопасном Режиме после выключения питания.
Но увы, стандартного запуска не существует. Таким образом, вы должны будете выбрать тот метод, который подойдет для вашего устройства.
Метод 1
(Данный метод работает с устройствами Google и различными AndroidOpenSourceProject, или AOSP (известными как CyanogenMod)).
  • Нажмите и удерживайте кнопку "Питание", как вы были делали для выключения или перезагрузки.
  • Меню раскроется.
  • Коснитесь и удерживайте опцию "Power off".
  • Если ничто не происходит, пробуют то же самое с "Перезагрузкой".
  • Должно появиться диалоговое окно предлагающее вам перезагрузиться в Безопасном Режиме.
5_1.webp
Метод 2
(Поддерживается SamsungGalaxyS4.)
  • Выключить.
  • Включите и неоднократно нажать кнопку "Меню".
Метод 3
(Поддерживается SamsungGalaxyS3 и другими)
Выключить.
Включите, затем нажмите и удержите Volume Down (Galaxy S3 и другие), Volume Up (HTC One Volume Down и Volume Up (различные устройства Motorola), в момент появления логотипа поставщика.
Если вы выбрали Безопасный Режим, то будете видеть текст "Безопасный Режим" в нижнем левом углу экрана.
6_2.webp
Когда вы загрузитесь в Безопасном Режиме, увидите в нижнем левом из Вашего экрана приложения, которые добавили к своему телефону. Они не должны работать. Таким образом FBILock не может раскрыться, чтобы защитить себя от удаления.
Когда вы войдете в Настройки | Приложения и коснетесь поддельного значка Flash Player, увидете, что опция Uninstall отображена серым:
7_1.webp
Сначала нужно войти в Настройки | Безопасность - администраторы Устройства:
8_2.webp
Выбрать приложение FBILock и деактивировать его административные привилегии:
9_1.webp
Затем вы должны возвратиться в меню Настройки-Приложения и выбрать Uninstall
10_2.webp
Считайте, что вы сохранили себе $300 и множество нервов.
Владимир Безмалый
 
Назад
Сверху Снизу