Наверх
Логотип кафедры РКС УИПА
05:47
19.03.2024
Вторник
Доброй ночи, Гость

Вход
Регистрация
   

Разблокировка компьютера от смс-вируса. Winlock. FAQ и устрание

В данной статье речь пойдет о симействе вирусов типа winlock и о том как с ними бороться. Для тех кто еще с ним не сталкивался, признаком этого вируса являются возгласы  «Ой, все пропало, что же теперь делать, где искать деньги?!» и картинка представленная ниже.

Удаляем Winlock. РКС УИПА

Что же делать, если Вы увидели такую или примерно такую картинку на своем компьютере или компьютере знакомых. Переустанавливать виндовс! - скажете Вы, или заплатить указанную сумму и получить код. Ни то ни то не является приемлемым решением данной проблемы.

Есть еще вариант поискать код разблокировки в интернете на сайтах популярных антивирусов, но в последнее время подобные вирусы грешат тем, что вовсе не имеют кодов разблокировки. Как же с ними бороться?!

Стоит заметить, что большинство людей и, каюсь,  я когда-то, переустанавливают систему, или еще хуже отправляют sms, что сейчас уже не нужно и иногда даже вызывает смех и разочарование, что еще остались такие люди, но это другая тема, давайте вернемся к нашей.

Trojan.Winlock (Винлокер) (а так же: Trojan-Ransom – по классификации компании Лаборатория Касперского и Trojan-Lock-Screen – по классификации компании ESET Co.LTD.) — семейство вредоносных программ, блокирующих или затрудняющих работу с операционной системой, и требующих перечисление денег злоумышленникам за восстановление работоспособности компьютера.

Давайте вспомним, с чего же все начиналось. Первые винлоки, кстати сказать, вообще имели функцию самоудаления. Достаточно было оставить компьютер включенным, и спустя некоторое время винлок исчезал. Стоит отметить, что они блокировали не весь рабочий стол, а лишь его часть. Работать при этом было невозможно. Некоторые "убивались" даже из диспетчера задач.

Первая программа-вымогатель появилась в декабре 1989 года. Пользователи получили по почте дискетки с программой, предоставляющей информацию о СПИДе. После установки система приводилась в неработоспособное состояние, и за её восстановление с пользователей требовали денег но это была, так сказать, бета-версия. Программа более похожа на нашу была впервые зарегистрирована 25 октября 2007. Вымогатель инсценировал сбой системы (синий экран смерти). Практически полностью блокировал управление системой.

Удаляем Winlock, РКС УИПА

Широкое распространение вирусы-вымогатели получили зимой 2009—2010 годов, по некоторым данным оказались заражены миллионы компьютеров, преимущественно среди пользователей русскоязычного Интернета (как утверждает википедия, и почему-то я ей верю). Второй всплеск активности такого вредоносного ПО пришёлся на май 2010 года.

Поймать же такой вирус можно на  банках рефератов, порно-сайтах, все возможных рекламах и т. п., то-есть  практически где угодно в интернете.

В основе работы любой версии Trojan.Winlock используются штатные средства операционной системы, которыми и организовывается "блокировка Windows".

Фактически алгоритм действия примерно такой:

Скрипт Trojan.Winlock попадает на ваш компьютер при отключенном брандмауэре Windows 7. Способы попадания используются различные, начиная от клика по "лжебаннеру" и заканчивая установкой вируса самим пользователем, который может находится в "крякнутом" платном ПО. В основном Trojan.Winlock находится во временных директориях используемого браузера.

Скрипт при активации подменят значения системного реестра. Чаще всего подменяется Shell-оболочка, по-умолчанию которой в Windows выступает Explorer. То есть вместо загрузки Explorer`а прописывается загрузка окошка с просьбой-вымогательством. При успешной "активации" это значение заменяется обратно на стандартный Explorer (но не всегда).

После перезагрузки ОС Вы получаете окно с вымогательствами (Ваш компьютер заблокирован за просмотр, копирование и тиражирование видеоматериалов, содержащих элементы педофилии и насилия над детьми. Для снятия блокировки Вам необходимо оплатить штраф...).

Удаляем Winlock, РКС УИПА

Теперь давайте поговорим о том как себя вести при заражении  компьютера  вирусом и о методах борьбы с ним. Итак, займите удобное положение в кресле, и внимательно прочтите то, что ниже написано.

1. Никогда не выполняйте требования злоумышленников, так как это глупо, плюс в большинстве случаев вы не получите код и потратите немыслимые для sms-сообщения деньги.

2. При возможности воспользоваться онлайн-сервисами подбора кода разблокировки на сайтах производителей антивирусного ПО (об этом ниже).

3. Если не получилось второе, удалить вирус с помощью специальных программ.

Давайте подробнее остановимся на пункте 2 и 3.

2. У известных антивирусных компаний, существуют специальные банки кодов для разблокировки компьютера, который заблокирован подобным вирусом, самая удобная и на мой взгляд лучшая на сайте Dr.Web.

Все что вам нужно, это ввести номер кошелька/телефона в пустое поле ввода и нажать кнопку «Искать коды», или можно воспользоваться поиском кода по изображению. После этого ввесли код в поле предлагаемое винлокером  и ВУАЛЯ! - винлока как не бывало.

База данных сервиса обновляется ежедневно и потому содержит самую актуальную информацию о троянах Trojan.Winlock. Каждая добавленная в базу модификация сопровождается технической справкой и описанием модели поведения: подобная информация также может быть полезна в процессе разблокировки системы. Кроме того, сервис содержит отдельный информационный раздел, имеет форму обратной связи и располагает мобильной версией. Подобная программа так же есть у :
- Касперский
- VirusInfo
- ESET

Так же на сайте Dr.Web присутствует такая полезная вещь как аптечка сисадмина, которая включает в себя такие утилиты как:

1. Dr.Web LiveCD поможет, если действия вредоносных программ сделали невозможной загрузку компьютера под управлением Windows или Unix, восстановит работоспособность пораженной системы бесплатно с помощью Dr.Web LiveCD!

2. Dr.Web LiveUSB -  продукт, позволяющий произвести аварийное восстановление операционной системы с помощью загрузочного USB-накопителя.

3. Утилита удаления Dr.Web. Эта утилита – аварийное средство, предназначенное для удаления «остатков» от некорректных/поврежденных инсталляций ПО Dr.Web .

4. Утилиты от троянских программ:

- Форма дешифровки от Trojan.Encoder.68
- Утилита разблокирования файлов после Trojan.Locker.8
- Разблокировка Windows от Trojan.Winlock
- Утилита от Trojan. Plastix

5. Онлайн-проверка файла на предмет вирусов. Теперь давайте остановимся подробнее на пункте 3. (Если не получилось второе, удалить вирус с помощью специальных программ.) Этот пункт мы рассмотрим на примере программы ANTIWINLOCKER LIVECD (virus-free.ru), во-первых, потому что бесплатно, во-вторых - эффективно. И так начнем.

Допустим что  наш вирус выглядит так (Ваш компьютер заблокирован за просмотр запрещенного видео порнографического содержания с участием несовершеннолетних и т.д.):

Удаляем Winlock, РКС УИПА

Для того, чтобы начать его удаление нужно записать программу (предварительно скачав ее с сайта указанного выше) на флешку на другом компьютере, или заготовить предварительно. Для того, чтобы это сделать нужно скачать программу  UltraISO либо подобную, и проследовать ниже приведенным инструкциям:

После запуска программы выбрать «Самозагрузка» -> «Записать образ Жесткого диска…» или «Bootable»-> «Write disc image»,

Удаляем Winlock, РКС УИПА

Удаляем Winlock, РКС УИПА

выбрать файл и диск (флешку) потом нажать  «Записать» или «Write».

Удаляем Winlock, РКС УИПА

Удаляем Winlock, РКС УИПА

Далее мы переходим непосредственно к использованию программы:

Перезапускаем компьютер и заходим в BIOS, где выбираем загрузку с USB-flash drive,  выходим из BIOS и во время загрузки нажимаем любую клавишу когда появится сообщение «Press any key to boot from CD»;

Дальше инструкция будет расписана по шагам, так как она очень проста и не требует описания:

Шаг1:

Удаляем Winlock, РКС УИПА

Шаг 2:

Удаляем Winlock, РКС УИПА

Шаг 3: После завершения сканирования системных файлов, в случае если файлы заражены смс-вирусом, появится окно для их замены. В окне «Провекрка файлов…» проставьте галочки напротив записей выделенных красным шрифтом и нажмите кнопку «Восстановить»:

Удаляем Winlock, РКС УИПА

Шаг 4:

Удаляем Winlock, РКС УИПА

Шаг 5: «Ручной режим» -> вкладка «Подключение к системе» -> в группе «выбор системы», в выпадающем меню выбираем диск на который у Вас установлена операционная и нажимаем кнопку «Загрузить»:

Удаляем Winlock, РКС УИПА

Шаг 6: Если ниже, в текстовых окнах появился красный текст необходимо исправить изменненые вирусом параметры реестра. Для этого нажимаем сначала кнопку «По умолчанию», потом «Сохранить»:

Удаляем Winlock, РКС УИПА

Все, для выхода кликаем надпись «Для выхода выгрузите все кусты реестра…Нажмите здесь…»;

Также желательно восстановить загрузочный сектор для установленной у Вас операционной ситемы (Windows XP либо Windows 7), так как вирус может загружаться еще до загрузки операционной системы.

В окне «Ручной режим» внизу формы кликните надпись «Для выхода нажмите здесь…» -> кнопка «Выход» -> кнопка «Закрыть» и ВУАЛЯ!, после загрузки компьютера в нормальном режиме вириса на экране быть не должно, но на всякий случай лучше проверить компьютер каким нибудь мощным антивирусом.

Спасибо за внимание, уделенное моей статье, надеюсь она вам помогла, "Ни винлока Вам, ни трояна"!


Рубрика: Свободный софт

Авторы: Супрун О. В. (ДРЕ-КС9-1)
Опубликовано: 28.09.12 12:48

Н р а в и т с я ?    Р а с с к а ж и    Д р у з ь я м !

Сдесь должны появиться кнопки социальных сетей

Комментарии могут оставлять только зарегистрированные пользователи.
Войдите под своим логином, чтобы оставить комментарий.


kosmos
Студент
Нет фото


>vasutin. Мы по одним форумам лазим, некоторую информацию я брал с переписок на этом форуме, но в полезные ссылки форум решил не включать, а видимо нужно было)
Опубликовано: 29.09.12 18:39:10

vasutin
Студент
Нет фото


Добавлю еще парочку решений в борьбе с винлоками.

Однажды попался такой винлок, который не находился в базе доктора веба и лечащие утилиты его не видели.

Мне помогли на этом форуме

Следуя хорошо описанным инструкциям я отправлял логи различных утилит, а в ответ мне говорили что делать.

Переписка эта длилась около суток, но тем не менее помогли и бесплатно. За что им спасибо.


И второй способ. На вышеуказанном форуме можно пройти бесплатное обучение методам лечения систем от вредоносных программ. А после такой учебы никакие вирусы не страшны.


Опубликовано: 29.09.12 08:49:35

   
  Случайное фото  
 
     
  Популярные статьи  
Ускоряем 3G интернет. 3G Антенна своими рукамиОпрос студентов кафедры РКС. Отзывы студентов об УИПА (Видео)Поздравляем с Днем Рождения!!!Стенгазеты студентов кафедры к празднику 8 марта 2012 годаПравила поведения в общественных местах. Административные правонарушенияВыставка морских раковин "Планета Океан" в галерее "АВЭК"Светодиодная цветомузыка для компьютераБугущая строка на базе микроконтролера ATmega48. Made by Hunter & Kosmos
     
Loading
  Полезные ссылки  
  • Официальный сайт УИПА
  • Сайт Библиотеки УИПА
  • Дистанционное обучение
  • Сервисный Центр FreshIT
  • Веб-студия Around
  • СТО Новые Дома "Алекс Сервис" Харьков
  • Заправка картриджей Харьков
  • Ремонт телефонов Холодная гора
  •      
    Система Orphus



    Tips&Tricks
    Web programming
    Жизнь студентов
    Интересные факты
    Мероприятия
    Молодые ученые
    Общежитие
    Объявления
    Свободный софт
    Технический раздел
    Компьютерные системы и сети
    Телекоммуникации и связь
    Преподаватели кафедры
    Трудоустройство
    Дни открытых дверей
    Copyright © 2010 - 2024. created by nick