Разблокировщики Windows от ведущих антивирусных компаний. Обзор и сравнение

16.07.2015
Немного теории

Повальная эпидемия троянцев-блокировщиков (Trojan.Winlock) началась осенью 2009 года и не прекратилась до сих пор. Отличительной особенностью этого типа вредоносных программ является баннер, появляющийся на экране при старте Windows и делающий невозможной работу на ПК. В теле баннера, как правило, указывается номер телефона или электронного кошелька, который необходимо пополнить на определенную сумму (100-500 рублей), чтобы получить код разблокировки, который можно ввести в специальное поле.

winlock_1

Большая часть троянцев-блокировщиков уже известна производителям антивирусных программ и внесена в вирусные базы, что позволяет предотвратить заражение компьютера, но новые модификации появляются ежечасно, в итоге антивирус может и пропустить атаку. Если это произошло, и ОС заблокирована, для борьбы с троянцем придется использовать другой, исправный ПК.

Для разблокировки компьютеров, пораженных Trojan.Winlock, многие антивирусные вендоры также предлагают услуги по бесплатной разблокировке. Делается это с помощью специальных интернет-сервисов – Разблокировщиков (англ. Unlocker), с которыми мы в этой статье и ознакомимся. В нашем небольшом тестировании будут участвовать сервисы разблокировки от «Лаборатории Касперского» (http://sms.kaspersky.ru/), компании «Доктор Веб» (https://www.drweb.com/xperf/unlocker/) и ESET (http://www.esetnod32.ru/support/winlock/).

Суть этих сервисов проста – пользователю дается доступ к базе уже известных кодов разблокировки, введя один из них в поле баннера, можно отключить его.

Разблокировка с помощью сайта Лаборатории Касперского

На странице http://sms.kaspersky.ru/ введите номер телефона или кошелька, который указан в баннере. Телефонный номер можно указывать в любом формате, а имена кошельков требуется вводить целиком, включая буквы.

winlock_2

Если код разблокировки в базе отсутствует – вместо констатации факта вам будет предложено использовать утилиты от Лаборатории Касперского для лечения этого троянца.

winlock_3

Разблокировка с помощью сайта «Доктор Веб»

На странице https://www.drweb.com/xperf/unlocker/ используйте форму, чтобы указать номер кошелька или телефона, на который троянец требует перевести деньги. Телефонный номер можно указывать в любом формате, а имена кошельков требуется вводить целиком, включая буквы.

Введя в поле данные, нажмите Искать коды, вся найденная информация будет расположена ниже формы ввода.

winlock_4

Для облегчения восприятия можно настроить формат вывода, используя меню в левой части экрана. С его помощью можно указать число результатов на странице, включить/отключить отображение связанных с данным троянцем кошельков и телефонов, а также скрыть/отобразить данные по вирусам, информация по которым в базе разблокировщика отсутствует.

Если подходящих кодов разблокировки не найдено или сгенерированные коды не подошли — попробуйте подобрать код с помощью поиска по изображениям (https://www.drweb.com/xperf/unlocker/gallery/).

Данные в нем представлены в следующем формате.

В левой части окна расположено аналогичное описанному выше меню, с тем исключением, что присутствует пункт Показывать только без телефонов/кошельков, который показывает только троянцы, не отображающие никаких данных и не требующие денег.

Правая часть представляет собой таблицу с названиями и скриншотами троянцев, а также кодами разблокировки к ним. При включении соответствующей опции дополнительно выводится колонка с номерами связанных с троянцами кошельков и телефонов. В этой таблице можно выполнить следующие действия:

  • При нажатии на скриншот картинка увеличивается до полного размера, что позволяет сверить ее с троянцем, заблокировавшим ПК.
  • При нажатии на имя троянца открывается страница с его описанием.
  • При нажатии на код разблокировки открывается окно со связанными с ним кошельками/телефонами.
Разблокировка с помощью сайта ESET

На странице http://www.esetnod32.ru/support/winlock/ введите в форму номер телефона в формате +7ХХХХХХХХХХ и текст сообщения. Если требуется отправить sms на короткий номер – вводите номер так, как он указан в баннере. Завершив ввод данных, нажмите Подобрать код.

winlock_5

Если указать только номер телефона – будут выведены все связанные с ним коды разблокировки.

К сожалению, форма не умеет работать с номерами электронных кошельков, в то время как уже долгое время троянцы предлагают пополнить именно их.

Что выбрать?

Выше мы рассмотрели непосредственно варианты разблокировки, а теперь оценим, какой из трех представленных антивирусных вендоров подошел к решению проблемы пользователей наиболее ответственно. Исходя из аудитории, на которую рассчитаны эти сервисы, были выделены следующие критерии, по которым и проводилась оценка:

  • Внешнее оформление сайта в целом и сервиса разблокировки в частности. Говоря проще – чем красивее и аккуратнее сделан сайт, тем лучше
  • Удобство использования. Присутствует ли реклама, как быстро загружается страница, присутствуют ли посторонние элементы
  • Актуальность базы данных. Реакция на наиболее новые модификации Trojan.Winlock
  • Удобство ввода данных. В каких форматах можно указать телефон, обрабатываются ли электронные кошельки различных e-валют
  • Доступ к службе технической поддержки. Иными словами, помогут ли специалисты компании всем обратившимся, или только своим клиентам
  • Дополнительные инструменты. Предоставляет ли производитель какие-либо программы или утилиты для борьбы с Trojan.Winlock для случаев, если код разблокировки подобрать не удалось.

Исследование проводилось на двух независимых ПК с помощью браузеров Internet Explorer 10, Opera 12.16 и FireFox 23. Итак, приступим:

Разблокировщик «Лаборатории Касперского».

Пожалуй, самый простой дешифровщик – весь укладывается в одну строку и кнопку. Вводить телефонные номера можно в любом формате, сюда же можно писать номера кошельков и даже расширения зашифрованных файлов, если ПК подвергся атаке вируса-шифровальщика. База обновляется непрерывно, вероятность отыскать нужный код достаточно высока. Выборка из 20 номеров телефонов и 10 кошельков обработана полностью, все данные есть в базе.

Немного разочаровал тот факт, что если телефона в базе нет, об этом не будет сказано напрямую – будет выдано предложение просканировать ПК с помощью лечащих утилит. Проверено на двух частных телефонных номерах.

Компания предлагает несколько утилит, таких как: лечащая утилита Virus Removal Tool, утилиты для дешифровки от троянцев шифровальщиков и диск аварийного восстановления, содержащий утилиту WindowsUnlocker – единственный в своем роде и весьма эффективный инструмент для борьбы с блокировщиками Windows.

Результат обращения в техническую поддержку: попросили серийный номер. Бесплатной помощи не оказывается. В то же время, на сайте выложены достаточно подробные инструкции, чтобы с помощью указанных утилит справиться с вирусом. А вот если они не помогают – все, приплыли.

Разблокировщик «Доктор Веб».

Страница разблокировщика с виду кажется немного запутанной, но основной элемент видно сразу. В то же время лишней информации здесь нет, просто есть несколько вариантов вывода данных (например, отображать/не отображать все связанные с троянцем телефоны), которые и можно настроить, выставив соответствующие флажки. Не меньше радует простота ввода – телефон можно писать как угодно, кошельки всех видов тоже обрабатываются корректно. Судя по результатам тестирования 20 телефонных номеров и 10 кошельков, база обновляется непрерывно – все они уже есть в ней и коды к соответствующим троянцам имеются.

Еще одна приятная возможность – поиск кода разблокировки по изображению баннера, поскольку встречаются троянцы, не выдающие вообще никаких требований.

Из дополнительных инструментов можно выделить: диск аварийного восстановления, известную лечащую утилиту CureIt!, набор утилит для борьбы с троянцами-щифровальщиками и полезную утилиту восстановления системы после атаки троянцев – Plastfix.

Результат обращения в службу технической поддержки: помогли! Вернее, попытались помочь – запрос все же фиктивный. Из трех исследованных сервисов, ТП «вступилась» за обратившегося только здесь.

Разблокировщик ESET.

Оформление страницы разблокировщика достаточно простое, при этом страница периодически зависала или открывалась в весьма странном виде. Вводить номер телефона в поля формы можно только в формате +7XXXXXXXXXX или XXXX для короткого номера, иначе нет гарантии, что он будет воспринят верно. Номера кошельков не обрабатываются вообще.

Увы, после проведения ряда проверок возник всего один вопрос: а зачем этот разблокировщик нужен? Проверив выборку из 20 телефонных номеров (10 кошельков можно было не проверять), был найден всего 1(!) код разблокировки! Это говорит лишь о том, что база была создана однажды и с тех пор не актуализировалась, что уже через месяц сделало ее абсолютно бесполезной. Не самый хороший подход для производителей антивируса.

Никаких дополнительных утилит нет.

Результат обращения в техническую поддержку: попросили серийный номер. Бесплатной помощи не оказывается.

По сумме параметров, оптимальным разблокировщиком можно считать сервис от компании «Доктор Веб». При этом стоит отметить, что если с его помощью решить проблему не удалось, имеет смысл попытать счастья с разблокировщиком Касперского, прежде чем браться за борьбу с вирусом вручную: поскольку службы вирусного мониторинга двух компаний не связаны – то, что прозевала одна, может найти другая.