В конфиге сервера (/etc/openvpn/server/server.conf) удаляете строку tls-auth ta.key 0. И вообще все, что связано с tls. Предположим, купили Вы облачный VPS или дедик у вас, не важно, и вот решили Вы, что хватит с вас роскомпозора и прочих ФСБ и неплохо бы через VPN сидеть, но дополнительно покупать что-то не хочется. Вариант «самому настроить OpenVPN-сервер» Вы уже испытали и у Вас нихрена не вышло. На помощь приходит отличный скрипт автоустановки OpenVPN-сервера с гитхаба от юзера Nyr под названием «warrior openvpn»: https://github.com/Nyr/openvpn-install. Покажу на примере своей CentOS. Сегодня какое-то нашествие блокера под именем 22CC6C32.exe — попались три заблокированных компьютера, причем на всех из них стоял лицензионный Касперский Интернет Секьюрити 2010/2011. Сегодняшний троян оказался размером 26 624 байт. Как раз размером с оригинальный userinit.exe. На этот троян вообще не существует кодов разблокировки (т.е. из вообще не может быть, так задумано :)), поэтому, не пытайтесь отправлять деньги мошенникам! Вычищать 22CC6C32 придется вручную. Для этого запаситесь LiveCD (типа ERDCommander) и дистрибутивом винды… Зачем? Расскажу далее. 🙂
Грузимся с ERDCommander
Подключаемся к реестру найденной винды
Удаляем записи автозагрузки в ветках реестра (с помощью встроенного утиля autoruns и вручную с помощью regedt32)
Удаляем зараженные userinit, taskmgr и другие тела 22CC6C32 (можно найти по размеру файла) в system32 и Documents and Settings/%username%(или All Users)/Application Data/
Чистим Documents and Settings/%username%/Local Settings/Temp/ и /WINDOWS/dllcache
Удаляем с дисков все Recycler и System Volume Information
Восстанавливаем в system32 оригинальные userinit.exe и taskmgr.exe переписав их с флешки/диска
Не исключено, что могут быть заменены и другие файлы, их также можно найти с помощью поиска по размеру/дате
В логах Касперского последней записью проходит открытие некоего дднс-домена типа urjt.ddns.org, точно не вспомню. Все сегодняшние зараженные пользовались Оперой 11.11 — видимо, через какие-то дыры в ней/плагинах (акробат/флэш?) 22CC6C32 и попадает в систему.
С этим видом трояна-винлокера я встречался несколько раз с января, и каждый последующий раз он заменяет собой все большее количество системных файлов. Сегодняшний экземпляр вируса 22CC6C32 заменил собой userinit.exe, taskmgr.exe. Также имелось 2 тела под именами файлов 22CC6C32.exe и рандомным RGVVVVVVVV.exe в папке пользователя Documents and Settings/%username%(или All Users)/Application Data/, причем каким образом в автозагрузку был записан второй экземпляр мне найти так и не удалось, просто снес его. И так, как же удалить этот 22cc6c32.exe?! Процедура лечения этой заразы следующая:
Загружаемся с LiveCD с WinPE (например, ERDCommander)
При загрузке подключаем реестр найденной Windows XP системы
Запускаем из меню утилиту autoruns и смотрим где блокер прописался в пользователях System и своем собственном
У блокера as.exe может быть несколько тел, поэтому внимательно изучаем содержимое /Windows/Temp, /Documents and Settings/*/ApplicationData, и прочие директории на предмет наличия файлов (можно искать по размеру в том же Total Commander). Удаляем все эти файлы, заодно чистим темпы, дллкэш
Запускаем утилиту regedit: ищем по названию файла ветки, где он может быть. Как правило это замена Shell, в разделе HKLM/Software/Microsoft/WindowsNT/CurrentVersion/Winlogon, добавление своего тела as.exe в отладчики к исполняемому системному фалу userinit.exe в разделе HKLM/Software/Microsoft/WindowsNT/CurrentVersion/Image File Execution/userinit.exe (если не удалить этот раздел, то вход в систему пользователя будет невозможен и будет выкидывать обратно на окно логона)
Стоит добавить, что все зараженные as.exe пользователи, которые мне попадались (9 человек), были рьяными сторонниками браузера Mozzilla Firefox (последней версии, кстати). 🙂 Делайте выводы.
Загружаемся с LiveCD с WinPE (например, ERDCommander)
При загрузке подключаем реестр найденной Windows XP системы
Запускаем из меню утилиту autoruns и смотрим где блокер прописался в пользователях System и своем собственном
У блокера as.exe может быть несколько тел, поэтому внимательно изучаем содержимое /Windows/Temp, /Documents and Settings/*/ApplicationData, и прочие директории на предмет наличия файлов (можно искать по размеру в том же Total Commander). Удаляем все эти файлы, заодно чистим темпы, дллкэш
Запускаем утилиту regedit: ищем по названию файла ветки, где он может быть. Как правило это замена Shell, в разделе HKLM/Software/Microsoft/WindowsNT/CurrentVersion/Winlogon, добавление своего тела as.exe в отладчики к исполняемому системному фалу userinit.exe в разделе HKLM/Software/Microsoft/WindowsNT/CurrentVersion/Image File Execution/userinit.exe (если не удалить этот раздел, то вход в систему пользователя будет невозможен и будет выкидывать обратно на окно логона)
Стоит добавить, что все зараженные as.exe пользователи, которые мне попадались (9 человек), были рьяными сторонниками браузера Mozzilla Firefox (последней версии, кстати). 🙂 Делайте выводы.
Так как в Windows 11 совместили и интегрировали «Регулятор громкости» в новую (весьма сомнительную по юзибилити), «Панель уведомлений» в трее (он же «Угол», :фейспалм:), то теперь за всю эту котовасию отвечает родимый explorer.exe — он же «Проводник».