Содержание:
- Блокировка Windows XP троянами-вымогателями
- Виды блокировки системы
- Что делать если Windows XP заблокирован?
- Как избежать блокировки Windows?
Блокировка Windows XP троянами-вымогателями
Если запустив однажды неизвестную программу, ваш компьютер перестает реагировать на команды, а рабочий стол принимает характерный вид:
или
а может
значит, вы стали очередной жертвой Trojan.WinLock или попросту — трояна-вымогателя, вынуждающего вас заплатить злоумышленнику определенную денежную сумму за возможность пользоваться своим ПК. Ситуация нередкая, хотя пик эпидемии блокировщиков Windows уже прошел. За время существования этого способа вымогательства накоплен немалый опыт выявления и «лечения» заражений такого рода, но, тем не менее, методы блокировки Виндовс злоумышленники совершенствуют до сих пор.
Надо сказать, что несмотря на угрозы уничтожения данных на ПК в случае неуплаты «штрафа», ничего подобного никогда не происходит. И при умелом подходе любую блокировку можно довольно быстро снять, не прибегая к переустановке системы. Поэтому, увидев на экране грозный баннер «Компьютер заблокирован», не спешите переводить кибер преступнику деньги — никакого кода для разблокировки вы не получите.
Чтобы вы не чувствовали себя беспомощными в подобной ситуации, мы подготовили для вас описание методов работы троянов-вымогателей и несколько способов борьбы с ними.
Виды блокировки системы
Перечислим методы, с помощью которых обычно осуществляется блокировка компьютера под управлением Windows XP.
- Модификация главной загрузочной записи (MBR), которая, если вы помните, занимает первый сектор жесткого диска. При этом загрузочный код перезаписывается или перемещается в другое место, а вместо него, практически сразу после включения ПК, управление получает вредоносная программа. Эта разновидность вымогателей получила название Trojan.MBRlock.
- Блокировка рабочего стола путем модификации системного реестра, а точнее, его областей, ответственных за запуск Windows и автоматический старт приложений. При этом либо вместо системных файлов, либо вместе с ними запускается троянская программа.
- Перезапись (патчинг) файлов, критически важных для загрузки Windows. При таком методе блокировки нет даже необходимости модифицировать реестр, ведь вредоносный код, записанный в системные файлы, получит управление в любом случае, а обнаружить блокировщик будет гораздо сложнее. Обычно «под раздачу» попадают Userinit.exe, Explorer.exe, LogonUI.exe, Taskmgr.exe, а иногда и некоторые другие.
- Существует и такой способ блокировки Windows, как запрет на запуск любой программы и выполнение любых действий на компьютере, кроме прочтения сообщения с требованиями вымогателя. Сообщение при этом можно свободно закрыть, но работать на ПК все равно нельзя — попытки что-либо делать будут «запрещены администратором». Виндовс оказывается заблокирован через групповые политики. По таком принципу работает вымогатель Trojan-Ransom.Win32.Krotten (по классификации Лаборатории Касперского).
Кроме перечисленных «чистых» видов блокировки, встречаются и более изощренные, сочетающие в себе сразу несколько способов автозапуска троянского кода. Например, изменения в реестре и патчинг системных файлов, а также — размещение на жестком диске нескольких копий трояна, способных восстанавливать друг друга.
Излюбленными местами расположения троянских файлов в Windows XP являются эти директории:
C:\Documents and Settings\Текущий пользователь\Local Settings\Application Data
C:\Documents and Settings\All Users\Local Settings\Application Data
C:\Documents and Settings\Текущий пользователь\Local Settings\Temporary Internet Files
C:\Documents and Settings\All Users\Local Settings\Temporary Internet Files
C:\Documents and Settings\Текущий пользователь\Local Settings\Temp
C:\Documents and Settings\All Users\Local Settings\Temp
C:\Windows
C:\Windows\Temp
C:\Windows\System32
C:\Documents and Settings\Текущий пользователь\Главное меню\Программы\Автозагрузка
C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка
А автозапуск обычно осуществляется с помощью записей в следующие разделы реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Параметры: Userinit, UIHost, Shell.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
Параметр Debugger
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Параметр AppInit_DLLs
Что делать если Windows XP заблокирован?
Большинство блокировщиков работают не только в нормальном режиме, но и в безопасном, а в некоторых случаях они просто отключают возможность загрузки безопасного режима, удалив ответственные за это разделы реестра. Поэтому, если у вас заблокировался Windows XP, решать проблему придется с помощью альтернативных загрузочных носителей — так называемых «живых» дисков (Live CD) с собственной операционной системой. Загрузив компьютер с такого носителя, вы сможете получить доступ к жесткому диску, который оказался заблокирован. Далее мы разберем, как работать с Live CD, а пока испытаем более простые способы, которые хоть и не всегда, но во многих случаях выручают.
Самый простой метод снятия блокировки компьютера
Этот способ был обнаружен пользователями экспериментальным путем. В случаях сложной блокировки он вряд ли поможет, но попробовать все равно стоит, тем более, что все действия займут у вас не более 5 минут.
- Увидев на экране баннер «Windows заблокирован», перезагрузите компьютер и перед стартом системы зайдите в настройки BIOS Setup. На первой же вкладке «Main» (в Avard BIOS — пункт меню «Standart CMOS Feature») переведите системную дату на 2 — 3 года вперед или назад. Для выхода с сохранением настроек нажмите F10 и «Y».
- Загрузите Виндовс, если баннера на рабочем столе нет, скачайте бесплатную антивирусную утилиту, например, Kaspersky Virus Removal Toolили Dr.Web CureIt! и проведите сканирование. Зачем скачивать эти программы, если антивирус у вас уже есть? Затем, что из-за смены даты, он, вероятнее всего, не работает.
- После удаления трояна еще раз зайдите в настройки BIOS и верните прежнюю дату. Всё.
Онлайн-сервисы антивирусных компаний для разблокирования Виндовс
Если предыдущие действия не помогли вам справиться с баннером «Компьютер заблокирован», можно попробовать подобрать код разблокировки с помощью онлайн-сервисов антивирусных компаний. Этот вариант помогает в 50 — 70% случаев, но он будет вам полезен только тогда, когда у вас есть другой ПК (телефон, планшет и т. п.) с выходом в Интернет. Ниже приводятся ссылки и инструкции по использованию этих сервисов.
Сервис деактивации Trojan.WinLosk «Лаборатории Касперского»
- Перепишите текст сообщения вымогателя, которое вы видите на экране, и вставьте его в соответствующее поле.
- В соседнее поле впишите номер телефона, указанный в сообщении, на который с вас требуют перевести деньги.
- Нажмите кнопку «Получить код разблокировки» и попытайтесь с его помощью удалить баннер.
- После входа в Windows проведите антивирусное сканирование ПК, поскольку файл трояна-блокировщика по-прежнему находится в системе и может заблокировать ее повторно.
Сервис разблокировки ПК от Dr.Web
- Впишите номер телефона или кошелька вымогателя в соответствующее поле и нажмите кнопку «Искать коды».
- Если ничего предложено не будет, можете попробовать найти подходящий код по внешнему виду баннера.
- После разблокировки просканируйте компьютер на вирусы.
Сервис разблокировки Windows от Eset
- Впишите в соответствующие поля текст сообщения с баннера «Виндовс заблокирован» и номер указанного там телефона.
- Нажмите кнопку «Отправить» и попробуйте воспользоваться предложенными кодами.
- После того, как ваш компьютер разблокируется, просканируйте его на вирусы.
Средства автоматической разблокировки ПК
Если предыдущие меры не возымели никакого действия и ваш ПК по-прежнему заблокирован, удалить баннер можно с помощью специализированных программ на загрузочных дисках (Live CD). Ниже приведены инструменты, позволяющие автоматически снять блокировку Windows XP и ликвидировать троянскую программу.
AntiSMS
Полностью автоматическая утилита, излечивающая все известные модификации троянов-вымогателей и восстанавливающая стандартные настройки загрузки системы. Рекомендуется для начинающих пользователей, неискушенных в администрировании ПК. Всю работу программа выполняет скрыто, а запускается двойным кликом по ярлыку на рабочем столе загрузочного носителя.
Еще один загрузочный диск, способный помочь, если ваш Windows XP вдруг заблокировался. Утилита в автоматическом режиме найдет и удалит троянскую программу, а также восстановит поврежденные файлы и системный реестр. На коммерческой основе AntiWinLocker можно использовать и для защиты Виндовс от блокировщиков, установив на компьютер.
Для удаления баннера с помощью этой программы потребуется минимум действий:
- загрузитесь с AntiWinLockerLiveCD, примите лицензионное соглашение и нажмите кнопку «Старт»;
- выберите из меню пункт «Автоматический запуск»;
- согласитесь на предложение замены файлов (если будет), отметив их в списке и нажав «Выполнить»;
- после завершения работы программы запустите компьютер с жесткого диска — блокировка будет снята.
WindowsUnlocker от «Лаборатории Касперского» (Kaspersky Rescue Disk 10)
Мощное средство лечения любых вирусов от Лаборатории Касперского. Простой в использовании загрузочный диск просканирует вашу систему и устранит любые препятствия для ее загрузки.
Управление диском интуитивно понятно даже новичку.
- Запустите Kaspersky Rescue Disk, отметьте области сканирования как на картинке и нажмите «Выполнить проверку объектов».
- После лечения перезагрузите компьютер — от блокировщика не останется и следа.
Еще один универсальный инструмент, способный помочь не только в случаях, когда компьютер заблокирован, но и при любых вирусных заражениях. Оснащен функцией обновления вирусных баз через Интернет.
Для использования достаточно запустить с рабочего стола сканер, выбрать области сканирования и нажать «Начать проверку».
Не менее простой в использовании инструмент, чем предыдущие. Также позволяет с легкостью решать различные вирусные проблемы на ПК, в том числе и тогда, когда вход в Windows XP оказался заблокирован. Обладает возможностью «интеллектуального сканирования», полезного для поиска неизвестных вредоносных объектов.
Ручное снятие блокировки Windows XP при загрузке с Live CD
Теперь рассмотрим ручные способы удаления вредоносного кода, мешающего загрузке Windows XP. Для того, чтобы их использовать, необходимо быть по меньшей мере опытным пользователем ПК, иначе проблем после попыток удаления баннера может быть больше, чем было изначально. Для первого способа лечения компьютера с помощью профессиональной утилиты Universal Virus Sniffer (uVS) нам понадобится любой загрузочный диск на базе OS Windows. Мы воспользуемся Alkid Live CD.
Alkid Live CD и uVS
Этот способ, можно сказать, наиболее трудоемок, поскольку все операции придется выполнять вручную. Однако в экстремальных ситуациях, когда родной Windows XP заблокировался, выбирать не приходится, и мы будем использовать то, что есть под рукой. Итак, приступим.
- Скачайте на другом компьютере и распакуйте на флешку программу uVS (если нет другого ПК, это можно сделать и на Alkid Live CD после настройки подключения к Интернету).
- Подключите флешку к заблокированному компьютеру.
- Загрузите Alkid Live CD.
- Запустите файл start.exe из каталога uVS (который в нашем случае находится по адресу F:uvs).
- в окне «Режим запуска» нажмите кнопку «Выбрать каталог Windows» и перейдите в проводнике к папке Windows вашей заблокированной системы. Кликните «ОК».
- Кликните «Запустить под текущим пользователем».
- После сканирования перед вами откроется список подозрительных файлов, и вот он на видном месте — наш троян-вымогатель.
- Чтобы изучить подробные сведенья об этом файле, кликните по нему дважды — откроется окно, где кроме прочего будет указан способ его автозапуска. В нашем случае это ключ реестра, запускающий проводник Windows (explorer.exe).
- Теперь переходим к удалению трояна и восстановлению нормального запуска Windows. Закройте окно свойств и кликните по файлу правой кнопкой мыши. Выберите в контекстном меню команду «Удалить все ссылки вместе с файлом».
- Следом, чтобы восстановить измененный ключ реестра, из верхнего меню «Дополнительно» выберите команду «Твики».
- Нажмите «Сброс ключей Winlogon в начальное состояние».
- Закройте программу и загрузите компьютер с жесткого диска. Баннера вы больше не увидите.
Важно! Если в список подозрительных попал системный файл, особенно Userinit.exe, LogonUI.exe, Explorer.exe или Taskmgr.exe, вероятно, он изменен и содержит код блокировщика. Такие файлы нужно заменять на их чистые копии, которые хранятся в папке C:WindowsSystem32dllcache.
ERD Commander 5.0
Если у вас под рукой оказался этот замечательный инструмент восстановления Windows XP, избавиться от баннера «Компьютер заблокирован» можно гораздо проще, например, воспользовавшись функцией восстановления системы. Чтобы получить к ней доступ, загрузите ПК с диска ERD Commander версии 5.0 и переходите к следующим действиям.
- Нажмите кнопку «Start» (аналог пуска), выберите из меню пункт «System Tools», а следом — «System Restore».
- Запустится знакомая программа восстановления системы. Выберите подходящую контрольную точку и кликните «Далее». После процедуры отката загрузитесь с жесткого диска. Баннер «Windows заблокирован» больше не будет вам досаждать.
Удаление вредоносного кода из MBR
Если сразу после включения ПК, еще до начала загрузки Windows XP, вашему взору открылась такая картина:
значит, вы пострадали от трояна-вымогателя, прописавшегося в MBR. Удалить оттуда вредоносный код может не каждое из перечисленных здесь средств — для этого необходимы полноценные антивирусные продукты, которые мы назовем ниже. А сейчас уделим пару минут тому, чего в этом случае делать не стоит.
Верный способ сделать Windows XP незагружаемой
Многие пользователи знают назначение консольной команды fixmbr — она предназначена для перезаписи первого сектора жесткого диска. И, по-хорошему, должна восстанавливать загрузочный код, одновременно удаляя сидящего там трояна. Но не тут-то было. В процессе перезаписи нестандартной MBR (а в случае заражения трояном она и будет нестандартной) часто повреждается таблица разделов, которая находится на жестком диске сразу же после загрузочного кода MBR и является ее частью.
Если мы проигнорируем предупреждение консоли восстановления и выполним fixmbr, вместо сообщения о том, что компьютер заблокирован, увидим следующее:
что означает повреждение таблицы разделов. А значит, больше загрузить систему мы не сможем.
Лечение MBR с помощью антивирусных утилит
Для корректного и безопасного восстановления главной загрузочной записи можно использовать:
- AntiSMS;
- Kaspersky Rescue Disk;
- Dr.Web Live CD;
- LiveCD ESET NOD32.
Этих инструментов более чем достаточно, чтобы снять любую блокировку Windows XP, в том числе и такую.
Как избежать блокировки Виндовс?
Вряд ли кто поспорит, что предотвратить заражение компьютера троянами-вымогателями гораздо легче, чем потом с ними бороться. И чтобы ваш ПК однажды «случайно» не заблокировался, придерживайтесь этих несложных правил:
- установите надежный антивирус и не забывайте своевременно обновлять его базы;
- перед запуском неизвестного файла не поленитесь просканировать его на безопасность;
- не переходите по неизвестным ссылкам, присланным вам по почте и через мессенджеры, даже от ваших занкомых;
- своевременно устанавливайте обновления Windows XP — это закрывает многие лазейки, через которые в систему проникают вредоносные программы. И тогда, надеемся, вам больше никогда не придется лицезреть сообщения «Windows заблокирован», по крайней мере, на вашем собственном компьютере.
