Разблокировка компьютера от смс-вируса. Winlock. FAQ и устрание
В данной статье речь пойдет о симействе вирусов типа winlock и о том как с ними бороться. Для тех кто еще с ним не сталкивался, признаком этого вируса являются возгласы «Ой, все пропало, что же теперь делать, где искать деньги?!» и картинка представленная ниже.
Что же делать, если Вы увидели такую или примерно такую картинку на своем компьютере или компьютере знакомых. Переустанавливать виндовс! - скажете Вы, или заплатить указанную сумму и получить код. Ни то ни то не является приемлемым решением данной проблемы.
Есть еще вариант поискать код разблокировки в интернете на сайтах популярных антивирусов, но в последнее время подобные вирусы грешат тем, что вовсе не имеют кодов разблокировки. Как же с ними бороться?!
Стоит заметить, что большинство людей и, каюсь, я когда-то, переустанавливают систему, или еще хуже отправляют sms, что сейчас уже не нужно и иногда даже вызывает смех и разочарование, что еще остались такие люди, но это другая тема, давайте вернемся к нашей.
Trojan.Winlock (Винлокер) (а так же: Trojan-Ransom – по классификации компании Лаборатория Касперского и Trojan-Lock-Screen – по классификации компании ESET Co.LTD.) — семейство вредоносных программ, блокирующих или затрудняющих работу с операционной системой, и требующих перечисление денег злоумышленникам за восстановление работоспособности компьютера.
Давайте вспомним, с чего же все начиналось. Первые винлоки, кстати сказать, вообще имели функцию самоудаления. Достаточно было оставить компьютер включенным, и спустя некоторое время винлок исчезал. Стоит отметить, что они блокировали не весь рабочий стол, а лишь его часть. Работать при этом было невозможно. Некоторые "убивались" даже из диспетчера задач.
Первая программа-вымогатель появилась в декабре 1989 года. Пользователи получили по почте дискетки с программой, предоставляющей информацию о СПИДе. После установки система приводилась в неработоспособное состояние, и за её восстановление с пользователей требовали денег но это была, так сказать, бета-версия. Программа более похожа на нашу была впервые зарегистрирована 25 октября 2007. Вымогатель инсценировал сбой системы (синий экран смерти). Практически полностью блокировал управление системой.
Широкое распространение вирусы-вымогатели получили зимой 2009—2010 годов, по некоторым данным оказались заражены миллионы компьютеров, преимущественно среди пользователей русскоязычного Интернета (как утверждает википедия, и почему-то я ей верю). Второй всплеск активности такого вредоносного ПО пришёлся на май 2010 года.
Поймать же такой вирус можно на банках рефератов, порно-сайтах, все возможных рекламах и т. п., то-есть практически где угодно в интернете.
В основе работы любой версии Trojan.Winlock используются штатные средства операционной системы, которыми и организовывается "блокировка Windows".
Фактически алгоритм действия примерно такой:
Скрипт Trojan.Winlock попадает на ваш компьютер при отключенном брандмауэре Windows 7. Способы попадания используются различные, начиная от клика по "лжебаннеру" и заканчивая установкой вируса самим пользователем, который может находится в "крякнутом" платном ПО. В основном Trojan.Winlock находится во временных директориях используемого браузера.
Скрипт при активации подменят значения системного реестра. Чаще всего подменяется Shell-оболочка, по-умолчанию которой в Windows выступает Explorer. То есть вместо загрузки Explorer`а прописывается загрузка окошка с просьбой-вымогательством. При успешной "активации" это значение заменяется обратно на стандартный Explorer (но не всегда).
После перезагрузки ОС Вы получаете окно с вымогательствами (Ваш компьютер заблокирован за просмотр, копирование и тиражирование видеоматериалов, содержащих элементы педофилии и насилия над детьми. Для снятия блокировки Вам необходимо оплатить штраф...).
Теперь давайте поговорим о том как себя вести при заражении компьютера вирусом и о методах борьбы с ним. Итак, займите удобное положение в кресле, и внимательно прочтите то, что ниже написано.
1. Никогда не выполняйте требования злоумышленников, так как это глупо, плюс в большинстве случаев вы не получите код и потратите немыслимые для sms-сообщения деньги.
2. При возможности воспользоваться онлайн-сервисами подбора кода разблокировки на сайтах производителей антивирусного ПО (об этом ниже).
3. Если не получилось второе, удалить вирус с помощью специальных программ.
Давайте подробнее остановимся на пункте 2 и 3.
2. У известных антивирусных компаний, существуют специальные банки кодов для разблокировки компьютера, который заблокирован подобным вирусом, самая удобная и на мой взгляд лучшая на сайте Dr.Web.
Все что вам нужно, это ввести номер кошелька/телефона в пустое поле ввода и нажать кнопку «Искать коды», или можно воспользоваться поиском кода по изображению. После этого ввесли код в поле предлагаемое винлокером и ВУАЛЯ! - винлока как не бывало.
База данных сервиса обновляется ежедневно и потому содержит самую актуальную информацию о троянах Trojan.Winlock. Каждая добавленная в базу модификация сопровождается технической справкой и описанием модели поведения: подобная информация также может быть полезна в процессе разблокировки системы. Кроме того, сервис содержит отдельный информационный раздел, имеет форму обратной связи и располагает мобильной версией. Подобная программа так же есть у :
- Касперский
- VirusInfo
- ESET
Так же на сайте Dr.Web присутствует такая полезная вещь как аптечка сисадмина, которая включает в себя такие утилиты как:
1. Dr.Web LiveCD поможет, если действия вредоносных программ сделали невозможной загрузку компьютера под управлением Windows или Unix, восстановит работоспособность пораженной системы бесплатно с помощью Dr.Web LiveCD!
2. Dr.Web LiveUSB - продукт, позволяющий произвести аварийное восстановление операционной системы с помощью загрузочного USB-накопителя.
3. Утилита удаления Dr.Web. Эта утилита – аварийное средство, предназначенное для удаления «остатков» от некорректных/поврежденных инсталляций ПО Dr.Web .
4. Утилиты от троянских программ:
- Форма дешифровки от Trojan.Encoder.68
- Утилита разблокирования файлов после Trojan.Locker.8
- Разблокировка Windows от Trojan.Winlock
- Утилита от Trojan. Plastix
5. Онлайн-проверка файла на предмет вирусов. Теперь давайте остановимся подробнее на пункте 3. (Если не получилось второе, удалить вирус с помощью специальных программ.) Этот пункт мы рассмотрим на примере программы ANTIWINLOCKER LIVECD (virus-free.ru), во-первых, потому что бесплатно, во-вторых - эффективно. И так начнем.
Допустим что наш вирус выглядит так (Ваш компьютер заблокирован за просмотр запрещенного видео порнографического содержания с участием несовершеннолетних и т.д.):
Для того, чтобы начать его удаление нужно записать программу (предварительно скачав ее с сайта указанного выше) на флешку на другом компьютере, или заготовить предварительно. Для того, чтобы это сделать нужно скачать программу UltraISO либо подобную, и проследовать ниже приведенным инструкциям:
После запуска программы выбрать «Самозагрузка» -> «Записать образ Жесткого диска…» или «Bootable»-> «Write disc image»,
выбрать файл и диск (флешку) потом нажать «Записать» или «Write».
Далее мы переходим непосредственно к использованию программы:
Перезапускаем компьютер и заходим в BIOS, где выбираем загрузку с USB-flash drive, выходим из BIOS и во время загрузки нажимаем любую клавишу когда появится сообщение «Press any key to boot from CD»;
Дальше инструкция будет расписана по шагам, так как она очень проста и не требует описания:
Шаг1:
Шаг 2:
Шаг 3: После завершения сканирования системных файлов, в случае если файлы заражены смс-вирусом, появится окно для их замены. В окне «Провекрка файлов…» проставьте галочки напротив записей выделенных красным шрифтом и нажмите кнопку «Восстановить»:
Шаг 4:
Шаг 5: «Ручной режим» -> вкладка «Подключение к системе» -> в группе «выбор системы», в выпадающем меню выбираем диск на который у Вас установлена операционная и нажимаем кнопку «Загрузить»:
Шаг 6: Если ниже, в текстовых окнах появился красный текст необходимо исправить изменненые вирусом параметры реестра. Для этого нажимаем сначала кнопку «По умолчанию», потом «Сохранить»:
Все, для выхода кликаем надпись «Для выхода выгрузите все кусты реестра…Нажмите здесь…»;
Также желательно восстановить загрузочный сектор для установленной у Вас операционной ситемы (Windows XP либо Windows 7), так как вирус может загружаться еще до загрузки операционной системы.
В окне «Ручной режим» внизу формы кликните надпись «Для выхода нажмите здесь…» -> кнопка «Выход» -> кнопка «Закрыть» и ВУАЛЯ!, после загрузки компьютера в нормальном режиме вириса на экране быть не должно, но на всякий случай лучше проверить компьютер каким нибудь мощным антивирусом.
Спасибо за внимание, уделенное моей статье, надеюсь она вам помогла, "Ни винлока Вам, ни трояна"!
Рубрика: Свободный софт
Авторы: Супрун О. В. (ДРЕ-КС9-1)
Опубликовано: 28.09.12 12:48