Недавно специалистами SophosLabs был обнаружен еще один образец Android ransomware. Ransomware – вредоносное ПО, которое блокирует ваш компьютер или телефон с помощью раскрывающегося окна, которое скрывает окна всех других ваших приложений и иногда даже шифрует ваши файлы с данными. Для разблокирования (расшифровки) необходимо заплатить вымогателю определенную сумму. Фактически это вымогательство или требование денег с угрозами.

Итак, вам нужен секретный код, который может разблокировать ваш телефон, или дешифровать ваши файлы, но он есть только у злоумышленников (или они говорят, что он есть). Вполне возможно, что вы заплатите деньги, но код так и не получите.

Если вы хотите копию кода восстановления, вы должны заплатить. При этом сумма "взноса" меняется: от десятков до сотен, иногда даже тысяч (http://nakedsecurity.sophos.com/2013/11/04/cryptolocker-ransomeware-crooks-offer-late-payment-penalty-option/) долларов.

При этом, оплата должна осуществляться с помощью анонимных и необратимых механизмов, таким как Bitcoin или ваучер Moneypak.

Ransomware является постоянной угрозой на настольных компьютерах и ноутбуках в течение нескольких лет.

Самый известный пример вредоносного программного обеспечения - Reveton http://nakedsecurity.sophos.com/2012/08/29/reveton-ransomware-exposed-explained-and-eliminated/, который блокирует все другие программы на Windows, включая Диспетчер задач, необоснованно обвиняя вас в преступлении (обычно это касается пиратства или порнографии). Далее вас приглашают заплатить приблизительно 300$, чтобы разблокировать ваш ПК.

Пожалуй, одним из лучших решений шифрующего злонамеренного ПО является CryptoLocker. Он шифрует все ваши файлы с сильным криптографическим алгоритмом до того, как попросит у вас 300$ для получения ключа расшифровки.

В последнее время вирусы-вымогатели все чаще встречаются на смартфонах и планшетах под управлением Android.

Это последний образец Android ransomware найден специалистами SophosLabs. Он следует по знакомому пути, открытому вредоносным программным обеспечением Koler http://nakedsecurity.sophos.com/2014/05/19/android-police-warning-ransomware-how-to-avoid-it-and-what-to-do-if-you-get-caught/, о котором писали в мае 2014.

Но у нового вредоносного программного обеспечения есть небольшое отличие, делая его более сложным для удаления.

В данной заметке мы расскажем о том, как вручную удалить данное вредоносное ПО.

Описание

Вредоносное программное обеспечение, идентифицированное Sophos как Andr/FBILock-A, подменяет приложение Flash Player:

Так как Android не поддерживает Flash и приложение Adobe Flash Player http://helpx.adobe.com/flash-player/kb/installing-flash-player-android-devices.html отсутствует в Google Play Store, то загрузка данного вредоносного ПО является хорошим поводом для включения разрешения на загрузку приложений из сторонних источников.

При открытии этого приложения раскрывается запрос на то, чтобы дать данному приложению привилегии Администратора Устройства:

Это официальная функция в Android, которая предназначена для того, чтобы сделать платформу более управляемой.

После того, как приложение запущено, независимо от того, позволяете ли вы приложению принимать свои требуемые полномочия Device Administrator  или нет, Andr/FBILock-A блокирует ваше устройство:

Как только вы касаетесь вашего устройства, появляется вымогательство:

Теперь очень трудно сделать что-либо с вашим телефоном, потому что экран угроз блокирует экраны любых приложений, включая Настройки, которые вы обычно использовали бы, чтобы остановиться и избавиться от неправильно себя ведущих приложений.

Для самостоятельного удаления вредоносного приложения вам необходимо войти в режиме Safe Mode (в Безопасном режиме). Увы, но в Android нет однозначного входа в данный режим и вам придется использовать несколько вариантов до того момента, пока вы найдете походящий.

Используйте Безопасный Режим

Вот метод, который может помочь решить вашу проблему.

Увы, он тоже не всегда сможет помочь, но все же это лучше, чем ничего. Верно?

Вместе с тем стоит отметить, что данный метод:

• не требует никаких специальных технических навыков.
• не требует, чтобы вы установили какое-то специальное программное обеспечение до того, как у вас произошла проблема.
• если это не работает, вы можете возвратиться туда, где вы были.

В теории, если ваш телефон не рутован, то никакие сторонние приложения, которые вы установили, не могут обмануть систему и быть загружены в Безопасном Режиме.

Начальная загрузка в Безопасном Режиме означает, что вы должны всегда быть в состоянии войти в список загруженных приложений, вредоносного программного обеспечения и удалить нежелательное ПО.

Начальная загрузка в Безопасном Режиме

Жизнь была бы намного легче, если все поставщики договорились о стандартном запуске в Безопасном Режиме после выключения питания.

Но увы, стандартного запуска не существует. Таким образом, вы должны будете выбрать тот метод, который подойдет для вашего устройства.

Метод 1

(Данный метод работает с устройствами Google и различными Android Open Source Project, или AOSP (известными как CyanogenMod)).

• Нажмите и удерживайте кнопку "Питание", как вы были делали для выключения или перезагрузки.
• Меню раскроется.
• Коснитесь и удерживайте опцию "Power off".
• Если ничто не происходит, пробуют то же самое с "Перезагрузкой".
• Должно появиться диалоговое окно предлагающее вам перезагрузиться в Безопасном Режиме.

Метод 2

(Поддерживается Samsung Galaxy S4.)

• Выключить.
• Включите и неоднократно нажать кнопку "Меню".

Метод 3

(Поддерживается Samsung Galaxy S3 и другими)

   Выключить.

    Включите, затем нажмите и удержите Volume Down (Galaxy S3 и другие), Volume Up (HTC One Volume Down и Volume Up (различные устройства Motorola), в момент появления логотипа поставщика.

Если вы выбрали Безопасный Режим, то будете видеть текст "Безопасный Режим" в нижнем левом углу экрана.

Когда вы загрузитесь в Безопасном Режиме, увидите в нижнем левом из Вашего экрана приложения, которые добавили к своему телефону. Они не должны работать. Таким образом FBILock не может раскрыться, чтобы защитить себя от удаления.

Когда вы войдете в Настройки | Приложения и коснетесь поддельного значка Flash Player, увидете, что опция Uninstall отображена серым:

Сначала нужно войти в Настройки | Безопасность - администраторы Устройства:

Выбрать приложение FBILock и деактивировать его административные привилегии:

Затем вы должны возвратиться в меню Настройки-Приложения и выбрать Uninstall

Считайте, что вы сохранили себе $300 и множество нервов.

Владимир Безмалый