Поговорим о семействе вирусов типа winlock и о том как с ними бороться. Обычно явными признаками данного вируса, есть фразы «Ой, все пропало, что же теперь делать, где искать деньги?!» и картинка представленная ниже, размером в +/- 75% рабочей области экрана.
Обычно в таких случаях действуют радикально, переустанавливают Windows и дело с концами, или глупо, отправляют СМС и тратят деньги, не получая при этом кода. Но это не все варианты!
Есть еще вариант поискать код разблокировки в интернете на сайтах популярных антивирусов, но в последнее время подобные вирусы грешат тем, что вовсе не имеют кодов разблокировки. Как же с ними бороться?!
Напомним, ни в коем случае не отправляйте sms! Это дорого и глупо. А так же ни к чему не приводит, кроме потери денег!
Trojan.Winlock (Винлокер) (а так же: Trojan-Ransom – по классификации компании Лаборатория Касперского и Trojan-Lock-Screen – по классификации компании ESET Co.LTD.) — семейство вредоносных программ, блокирующих или затрудняющих работу с операционной системой, и требующих перечисление денег злоумышленникам за восстановление работоспособности компьютера.
Давайте вспомним, с чего же все начиналось. Первые винлоки, кстати сказать, вообще имели функцию самоудаления. Достаточно было оставить компьютер включенным, и спустя некоторое время винлок исчезал. Стоит отметить, что они блокировали не весь рабочий стол, а лишь его часть. Работать при этом было невозможно. Некоторые "убивались" даже из диспетчера задач.
Первая программа-вымогатель появилась в декабре 1989 года. Пользователи получили по почте дискетки с программой, предоставляющей информацию о СПИДе. После установки система приводилась в неработоспособное состояние, и за её восстановление с пользователей требовали денег но это была, так сказать, бета-версия. Шло время, прогресс не стоял на мете, если злодеяния можно назвать прогрессом. Программа более похожа на нашу была впервые зарегистрирована 25 октября 2007. Вымогатель инсценировал сбой системы (синий экран смерти). Практически полностью блокировал управление системой.
Широкое распространение вирусы-вымогатели получили зимой 2009—2010 годов, по некоторым данным оказались заражены миллионы компьютеров, преимущественно среди пользователей русскоязычного Интернета (как утверждает википедия, и почему-то этим данным хочется верить). Второй всплеск активности такого вредоносного ПО пришёлся на май 2010 года.
Поймать же такой вирус можно на банках рефератов, порно-сайтах, все возможных рекламах и т. п., то-есть практически где угодно в интернете. Кстати очень неплохо спасают от вируса утилиты Add Block и подобные, при их использовании вероятность поймать такой вирус сводится к минимуму.
В основе работы любой версии Trojan.Winlock используются штатные средства операционной системы, которыми и организовывается "блокировка Windows".
Фактически алгоритм действия примерно такой:
Скрипт Trojan.Winlock попадает на ваш компьютер при отключенном брандмауэре Windows 7. Способы попадания используются различные, начиная от клика по "лжебаннеру" и заканчивая установкой вируса самим пользователем, который может находится в "крякнутом" платном ПО. В основном Trojan.Winlock находится во временных директориях используемого браузера.
Скрипт при активации подменят значения системного реестра. Чаще всего подменяется Shell-оболочка, по-умолчанию которой в Windows выступает Explorer. То есть вместо загрузки Explorer`а прописывается загрузка окошка с просьбой-вымогательством. При успешной "активации" это значение заменяется обратно на стандартный Explorer (но не всегда).
После перезагрузки ОС Вы получаете окно с вымогательствами (Ваш компьютер заблокирован за просмотр, копирование и тиражирование видеоматериалов, содержащих элементы педофилии и насилия над детьми. Для снятия блокировки Вам необходимо оплатить штраф...).
Теперь давайте поговорим о том, как себя вести при заражении компьютера вирусом и о методах борьбы с ним. Итак, займите удобное положение в кресле, и внимательно прочтите то, что ниже написано.
1. Никогда не выполняйте требования злоумышленников, так как это глупо, плюс в большинстве случаев вы не получите код и потратите немыслимые для sms-сообщения деньги.
2. При возможности воспользоваться онлайн-сервисами подбора кода разблокировки на сайтах производителей антивирусного ПО (об этом ниже).
3. Если не получилось второе, удалить вирус с помощью специальных программ.
Давайте подробнее остановимся на пункте 2 и 3.
2. У известных антивирусных компаний, существуют специальные банки кодов для разблокировки компьютера, который заблокирован подобным вирусом, самая удобная и на мой взгляд лучшая на сайте Dr.Web.
Все что вам нужно, это ввести номер кошелька/телефона в пустое поле ввода и нажать кнопку «Искать коды», или можно воспользоваться поиском кода по изображению. После этого ввести код в поле предлагаемое винлокером и ВУАЛЯ! - винлока как не бывало.
База данных сервиса обновляется ежедневно и потому содержит самую актуальную информацию о троянах Trojan.Winlock. Каждая добавленная в базу модификация сопровождается технической справкой и описанием модели поведения: подобная информация также может быть полезна в процессе разблокировки системы. Кроме того, сервис содержит отдельный информационный раздел, имеет форму обратной связи и располагает мобильной версией. Подобная программа так же есть у :
Так же на сайте Dr.Web присутствует такая полезная вещь как аптечка сисадмина, которая включает в себя такие утилиты как:
1. Dr.Web LiveCD поможет, если действия вредоносных программ сделали невозможной загрузку компьютера под управлением Windows или Unix, восстановит работоспособность пораженной системы бесплатно с помощью Dr.Web LiveCD!
2. Dr.Web LiveUSB - продукт, позволяющий произвести аварийное восстановление операционной системы с помощью загрузочного USB-накопителя.
3. Утилита удаления Dr.Web. Эта утилита – аварийное средство, предназначенное для удаления «остатков» от некорректных/поврежденных инсталляций ПО Dr.Web .
4. Утилиты от троянских программ:
- Форма дешифровки от Trojan.Encoder.68
- Утилита разблокирования файлов после Trojan.Locker.8
- Разблокировка Windows от Trojan.Winlock
- Утилита от Trojan. Plastix
5. Онлайн-проверка файла на предмет вирусов. Теперь давайте остановимся подробнее на пункте 3. (Если не получилось второе, удалить вирус с помощью специальных программ.) Этот пункт мы рассмотрим на примере программы ANTIWINLOCKER LIVECD (virus-free.ru), во-первых, потому что бесплатно, во-вторых - эффективно. И так начнем.
Допустим что наш вирус выглядит так (Ваш компьютер заблокирован за просмотр запрещенного видео порнографического содержания с участием несовершеннолетних и т.д.):
Для того, чтобы начать его удаление нужно записать программу (предварительно скачав ее с сайта указанного выше) на флешку на другом компьютере, или заготовить предварительно. Для того, чтобы это сделать нужно скачать программу UltraISO либо подобную, и проследовать ниже приведенным инструкциям:
После запуска программы выберете «Самозагрузка» -> «Записать образ Жесткого диска…» или «Bootable»-> «Write disc image»,
выберите файл и диск (флешку) потом нажмите «Записать» или «Write».
Далее мы переходим непосредственно к использованию программы:
Перезапустите компьютер и зайдите в BIOS, где выберите загрузку с USB-flash drive, выйдите из BIOS и во время загрузки нажмите любую клавишу когда появится сообщение «Press any key to boot from CD»;
Дальше инструкция будет расписана по шагам, так как она очень проста и не требует описания:
Шаг 1:
Шаг 2:
Шаг 3: После завершения сканирования системных файлов, в случае если файлы заражены смс-вирусом, появится окно для их замены. В окне «Проверка файлов…» проставьте галочки напротив записей выделенных красным шрифтом и нажмите кнопку «Восстановить»:
Шаг 4:
Шаг 5: «Ручной режим» -> вкладка «Подключение к системе» -> в группе «выбор системы», в выпадающем меню выберите диск на который у Вас установлена операционная и нажимаем кнопку «Загрузить»:
Шаг 6: Если ниже, в текстовых окнах появился красный текст необходимо исправить измененные вирусом параметры реестра. Для этого нажмите сначала кнопку «По умолчанию», потом «Сохранить»:
Все, для выхода кликаем надпись «Для выхода выгрузите все кусты реестра…Нажмите здесь…»;
Также желательно восстановить загрузочный сектор для установленной у Вас операционной системы (Windows XP либо Windows 7), так как вирус может загружаться еще до загрузки операционной системы.
В окне «Ручной режим» внизу формы кликните надпись «Для выхода нажмите здесь…» -> кнопка «Выход» -> кнопка «Закрыть» и ВУАЛЯ!, после загрузки компьютера в нормальном режиме вируса на экране быть не должно, но на всякий случай лучше проверить компьютер каким нибудь мощным антивирусом.
Спасибо за внимание, уделенное этой статье, надеюсь она вам помогла, "Ни винлока Вам, ни трояна"!
