Оригинал в Безопасные путешествия по Интернету

Этот пост родился из сегодняшнего тройного запроса из разных источников. Во всех трех случаях на машины был подхвачен банальный-таки, но весьма противный вирус Winlock, причем на одной из машин - уже, кажись, четвертый раз. Это тот самый тип вируса, который блокирует работу Windows, требуя для разблокировки то позвонить куда-нибудь за кодом, то деньги прислать, то, говорят, даже за ЕР проголосовать.
Деньги, кстати, никуда слать не надо и звонить тоже. Злоумышленник поразится вашей наивности, но деньги точно не вернет.
Делая вполне разумное (имхо) допущение о том, где именно некоторые наши товарищи, которые нам совсем не товарищи, подхватили оный вирус, я решила прочитать коллегам маленькую лекцию на тему

Ну, и по итогам этой лекции я решила создать этот пост.
Я сразу скажу, что я выношу моральную сторону этого вопроса за скобки. Все взрослые люди, сами решаем, куда ходим и зачем. Особливо щепетильным могу сказать, что есть целый ряд случаев, когда приходится посещать подозрительные сайты совсем даже не порнографического содержания. Считайте, что я о них.

Я начну с психологии отношений админ-пользователь.
Сначала самое общее. Лет 20 назад порносайты однозначно лидировали по посещаемости сайтов в сети. Ситуация уверенно держалась до создания социальных сетей, которые их благополучно вытеснили даже из первой полусотни сайтов. Правда, в скобках надо-то отметить, что в социальных сетях посещаются "те самые" группы, так что нагрузка просто перераспределилась на другие источники, и только. (Кстати, топ-100 можно тут посмотреть: www.nometa.ru/news/2009-01-27-22)
Однако известно, что больше всего времени люди проводят именно там. Ну, во всяком случае почти по всем развитым Интернет-странам, где такая статистика собирается, порносайты продолжают болтаться на 1-5 местах по объему проведенного времени.
Так вот – ваш админ это знает. Он знает, что в среднем раз в месяц каждый пользователь Интернета сидит там около часа. И создает ему дополнительные сложности в работе. Он – админ – давно уже ничему не удивляется и не требует от вас немедленно каяться в совершенных грехах. Его интересует только одно – чистота вашей машины, ибо это залог чистоты сетки, за которой он должен следить. Возможно, его еще интересует трафик, однако он сам знает, как вам перекрыть доступ к подобным ресурсам, и если он еще это не сделал, значит, вы ему еще не сильно мешаете работать.
Поверьте, в подавляющем большинстве случаев админу абсолютно неинтересно, зачем и почему вы это делаете, ибо ничего интересного тут нет, и не было никогда.
Скажу уж совсем крамольную вещь – скорее всего, он намного лучше вас знает, где находятся подобные сайты, хотя бы потому, что к нему стекаются все данные от пользователей.
Это я к чему?
К тому, что не пытайтесь вести себя, как школьник, пойманный родителями не скажу за чем. Вас же даже чаще всего не спрашивают, где, как и когда это произошло. Так и не надо настаивать на том, что вы невинны аки ангел с крыльями. Лучше помолчите в сторонке. А еще лучше – поинтересуйтесь, как больше не попадаться.
(ЗЫ – и не пытайтесь закрывать монитор руками – смешно выглядит)

1. Итак, совет нумбер раз.
читать дальше
Не раздражайте своего админа утверждением, что "ничего такого вы не делали". 99% Winlock-ов ловится на порносайтах и любой админ легко скажет, на каком именно вы его и поймали. Поэтому не делайте вид, что вас там никогда не было. Лучше вообще не делайте никакого вида, и админ тихо убьет вам вирус. Возможно, прочитав заодно короткую лекцию о мерах безопасности, на которой все и закончится.
Если вы будете упрямиться и кляться-божиться в своей невинности, не исключено, что он сделает то, чего не собирался делать изначально – извлечет логи хождения в сети и докажет вам присутствие на порносайтах. Не исключено, что публично докажет. Так что не хотите неприятностей – не раздражайте админа враньем.

2. Если админ ехидно спрашивает что-нибудь типа: "Что, порнушку скачивал?" – учтите, что это риторический вопрос. Он и так это знает. Поэтому лучше признавайтесь в скачивании или молчите, а админ расскажет вам, чего не делать в сети. И только. Иначе – читай п.1
И не тратьте время на ерунду - лучше слушайте внимательно.

3. Не пытайтесь доказать админу, что вы совершенно случайно попали на этот сайт, вас "выкинуло" и тому подобное. Все это жалкий лепет по той простой причине, что Winlock просто так на машину "не садится". Вы должны были РАЗРЕШИТЬ ему запуск на машине, что означает, что-таки да, вы это скачивали… или хотели посмотреть и нажали кнопочку.

Лирика на этом заканчивается, поскольку реальность такова, что вы туда ходили, ходите и будете ходить.
А поэтому короткая лекция на тему -

как повысить безопасность путешествия по сети.

Запомните простую вещь. Сеть безопасной не бывает. Ни-ког-да. Никакие пароли, защиты, антивирусники и прочая чушь вас не спасут. На любую защиту придумывается новый взлом, на антивирус – вирус. Не хотите, чтобы ваша переписка попалась в чужие руки? Не храните почту в сети. Это же касается любых видов информации – от гос.тайн до тривиальных жалоб на начальника, свою жену и детей. Сеть прозрачна и вас спасает только одно – ваша информация никому не нужна и не интересна. В мире миллионы таких, как вы, поэтому вас и не замечают. Как только это станет не так, ваша информация будет доступна.
Так что абсолютно защититься в сети нельзя. Но ПОВЫСИТЬ безопасность – можно и нужно.

Итак, что делаем при посещении подозрительного сайта?
Первое – наденьте презерватив включите онлайновые антивирусные защиты. Лучше перед тем обновив базу данных. Да, они имеют не слишком хорошее свойство пожирать ресурсы. Но зато вам не придеться потом искать способы вытащить информацию с диска перед форматированием.

Второе – ПОСЛЕ посещения подозрительного сайта – СРАЗУ удалите временные Интернет-файлы, сохраненные на вашем компьютере. Вирусы чаще всего "сидят" там (или в реестре после запуска или перезагрузки, отсюда требование делать такие вещи сразу.)
Если вы умеете это делать "руками", т.е. знаете, где их найти и уничтожить – сделайте это "руками". Уничтожение через опции браузера часто оставляют "живыми" именно скачанные вирусы. Но если вы не умеете удалять эти файлы сами – делайте хотя бы браузером. Кэш тоже можно удалить. Заодно. Хуже не будет.
А можно и вообще поставить галку "не сохранять временные файлы". Потом снимете, если мешает.
Что делать, если файл не удаляется? Считайте это самым тревожным симптомом. Неважно, что антивирусная защита молчит. Файл должен быть удален – во временных файлах нет ничего такого, что не поддается удалению.
Попробуйте зайти в режиме Save Mode и удалить так. Если не выходит – зайдите под админом и попробуйте сменить права доступа.
Если не выйдет так, попробуйте сменить владельца файла на самого себя. Как ни странно, для удаления файла владелец файла имеет приоритет высший, чем администратор – след авторских прав в американском понимании. После этого файл удалится.
Если этого не произойдет – это повод поднять тревогу и искать более опытного юзера или админа. Считайте, что вирус уже на машине. Неважно, что ВЫ думаете по этому поводу и на что вы там надеетесь – вирус у вас на машине.

Третье – будьте осторожны при посещении подозрительных сайтов. Для начала отключите гормональную систему и включите мозги. С гормонами еще успеется. Все картинки, надписи, всплывающие окна, стрелочки, запускающие видео и т.п. – ВСЕ ЭТО может запускать вирус на исполнение.
Типичный пример – человек заходит на сайт, а ему сверху высвечивается реклама или предложение обновить скрипт, скачать кино, ЗАКРЫТЬ ЭТУ РЕКЛАМУ.
Этого нельзя делать. Совсем. Лучшее, что можно – немедленно покинуть сайт и выполнить п.2.
НИКОГДА НЕ НАЖИМАЙТЕ НИКАКИХ КНОПОК НА ТАКОМ САЙТЕ.
Откажитесь от загрузки кодеков, драйверов, плееров, даже кнопку "НЕТ" или "Отказаться" НАЖИМАТЬ НЕЛЬЗЯ.
Кстати, и рекламу нажимать тоже нельзя, даже если оно сообщает вам, что вы прямо ща выиграли миллион рублей, надо только карман пошире открыть.

Если вам приспичило получить информацию с сайта – читайте ее (смотрите) неудобным способом, скажем сместив информационную строчку в конец экрана. Да, это ОЧЕНЬ неудобно. Но любые попытки очистить экран могут стать фатальными.
Кстати, подождите отключать мозги. Если вы правда решили посмотреть порнофильм или почитать соответствующую литературу, то осознайте простую вещь – если она того достойна, она уже выложена на десятке подобных же сайтов. Смотрите там, где это проще и безопаснее. Если ее нет, то скорее всего вам оно тоже не понравится, так что не стоит рисковать. Да, бывают новинки, то-се, однако это уже эксклюзив, за которым можно подумать сто раз, прежде чем начать гоняться.
В любом случае, будьте подозрительны. И не поддавайтесь на подозрительные предложения.
Я про мозги не зря говорю. Если вы явились на порносайт, то страстно орущая парочка в анимационной заставке подозрительной НЕ является. А вот предложение включить антивирус – подозрительно. Ну, сами подумайте, с чего владельцу сайта беспокоиться о вашей безопасности? С какой такой радости? Я еще понимаю, вы деньги платите за просмотр. Тогда вы клиент со всеми вытекающими и будете смотреть через защищенный доступ. А так-то, на халяву? Ну?
Это же относится к ЛЮБЫМ ДРУГИМ ПРЕДЛОЖЕНИЯМ. Абсолютно любым другим.
Не дети, чай, должны понимать, куда пришли и что тут может быть?

Теперь допустим, что цели у вас очень даже высокоморальные и благие. Так тоже бывает. Вы заходите на зараженный сайт потому что вам до зарезу нужна информация, на нем лежащая, другой такой в сети нет.
Кстати, не буду далеко ходить – сайт СО РАН давно и прочно заражен вирусом, который их админ почему-то не хочет удалять. Я лично туда захожу спокойно, и вирус остается там, где и был. Но иногда оттуда нужна информация.
Как ее скачать?
Мой совет – смотрите КОД страницы. Текстовая информация там обычно есть. И ссылки на видео тоже. Скорее всего в прямом доступе они будут безопасны. Скачать текстовую часть со страницы с кодом можно просто и легко. И никаких вирусов.
Если через код скачать не удается, можно попробовать взять принскрином. Картинкой.
И ни в коем случае не соглашаться (и не отказываться) ни на что на странице! Вообще не трогать никаких кнопок.
Если вы смотрите видео, а оно вдруг предлагает вам скачать себя или зачем-то уточняет "хотите ли вы открыть видеофайл" или "начать просмотр", "сохранить", "загрузить чего-то там" – все. Как бы вы не хотели именно это кино – плюньте. С огромной вероятностью это вирус. Не надейтесь на "авось" и чудеса, даже если это не вирус, то – шпионская программа. А не "случайно выскочило".

Если после посещения подобной страницы не удается ее закрыть нажатием крестика справа вверху, не поленитесь вытащить через Alt-Ctrl-Del процессы на экран и убить браузер как процесс.
Внимание! Когда вы снова его запустите, он чаще всего захочет вернуться на старые посещенные сайты. Откажитесь без всякой жалости.

Если страничка начала сама плодиться и размножаться, открываться на весь экран и т.п. – все это ПОДОЗРИТЕЛЬНЫЕ действия, убивайте ее немедленно. И опять же лучше через процессы, а не давлением на крестик, который может оказаться ложным.
Кстати, любое ПЕРЕНАПРАВЛЕНИЕ с подозрительной страницы - сигнал о вирусе, уничтожайте его и закрывайте браузер через тот же Alt-Ctr-Del. Не ждите "а что там будет"? Ничего интересного. Вирус там будет - убивайте, пока не поздно.

Какие бы подозрительные действия не произошли за время вашего посещения подозрительных сайтов – не забудьте сделать п.2 и запустить полную антивирусную проверку системы, сколько бы времени она не заняла.
Терпите, а что делать?
А еще лучше – запустите пару систем. Разных. Скажем, Dr.Web и Symantec. Можно скачать что-нибудь типа Malwarebytes Anti-Malware, только учтите, что она будет "видеть" целую кучу безвредных вещей, не торопитесь прибивать ей все подряд.
Но если нет уверенности – лучше прибить.
Есть смысл перед началом сканирования отключить Интернет.

Что делать, если таки Winlock или его аналог заблокировал вашу машину? Если вы опытный пользователь, попробуйте запустить, например, ERD Commander и очистить реестр. Если вы никогда не слышали про реестр или никогда его не чистили – даже не пробуйте начинать. Лучше зовите кого-нибудь более опытного. LiveCD штука хорошая, но не всегда работающая. Ну, а про всякие утилиты с сайтов антивирусников я вообще плохого мнения. Дело в том, что если они там есть, они уже встроены в антивирусник, а он-то вас уже не спас…
Если на ERD вас не хватает, но вы больше, чем совсем неопытный пользователь, попробуйте подключить ваш диск как slave к другому диску. И скачать информацию в папку на другом диске. (При этом не забудьте заблокировать возможность исполнения файлов из этой папки!!) После чего можно сделать дикое действие по форматированию диска и переустановке системы. Хотя – повторю, чаще всего это не требуется. Просто зовите того, кто с этим справится.
Кстати, в скачанной информации вирус может сохраниться, так что проверка обязательна и уничтожение всяких там "общих" разделов типа "мои документы" будет практически неизбежной процедурой (кстати, и не храните никогда там ничего – заводите для этого другие папки на других дисках)
Тут можно почитать про разные
нюансы удаления Винлоков

Ну, и главное – не рискуйте лишний раз, если не знаете, к чему это приведет. И не надейтесь на чудеса… но если влипли – зовите админа и начинайте краснеть – все равно вам деваться-то уже некуда.

На этом у меня все, спасибо за внимание.

P.S. Дополнения и коррекция допускается и принимается