Содержание:
Вымогательство денег у пользователей путем блокировки запуска Windows постепенно выходит «из моды», но полностью пока себя не изжило. Пик заражений винлокерами пришелся на 2010 — 2011 годы — в то время то там, то здесь вспыхивали эпидемии, приносившие убытки предприятиям, немалый вред домашним пользователям и баснословные прибыли злоумышленникам. Но сколько веревочке не виться… К сегодняшнему дню компании-разработчики антивирусов и отдельные программисты-энтузиасты выпустили немало средств борьбы с блокировщиками, которые любой пострадавший может использовать совершенно бесплатно. Благодаря им «заработки» киберпреступников на обманутых пользователях заметно пошли на убыль.
Попробуем разобраться, что представляет собой trojan.winlock — троян винлокер, какие виды их больше распространены, а также как с ними бороться.
Способы блокировки, используемые винлокерами
- Блокировка рабочего стола путем запуска троянца на раннем этапе загрузки Виндовс. Троян может запускаться вместо стандартной графической оболочки (explorer.exe) или в ходе выполнения программы входа в систему. На скриншоте ниже показан пример баннера вымогателя на рабочем столе.
- Интеграция троянского кода в критически важные системные файлы — explorer.exe, userinit.exe, taskmgr.exe и другие, в случае такого заражения наряду со стандартным кодом Виндовс выполняется и троянский код.
- Отладка системных процессов — создание в реестре Windows особых записей, которые заставляют систему запускать вирус вместо нормального файла.
- Модификация главной загрузочной записи винчестера (MBR) или загрузочных данных отдельных разделов диска (VBR). На скриншоте показан внешний вид MBR-блокиратора.
- Создание групповых политик, максимально ограничивающих права учетной записи. Настолько, что пользователь не может делать практически ничего.
Как разблокировать Windows 7?
Windows 7, в отличие от XP и Висты, имеет особый служебный раздел — среду восстановления (Windows RE), которая вместе с системой устанавливается на жесткий диск. Она имеет собственный загрузчик, поэтому может запускаться независимо от того, в каком состоянии пребывает основная система. Если для того, чтобы разблокировать Виндовс XP, приходилось искать другой загрузочный носитель, то в большинстве случаев блокировки Windows 7 это делать не обязательно — все операции по разблокировке можно проделать из среды восстановления. Исключение составляет заражение MBR-локерами.
Сегодня практически каждый антивирусный продукт имеет в базе сигнатуры всех известных винлокеров. В среде восстановления Windows 7 можно запускать следующие из них:
- — универсальную антивирусную утилиту для лечения активного заражения от Dr.Web;
- — утилиту для ручного лечения любых вирусов автора Д. Кузнецова.
Далее мы разберемся, как с ними работать. Но сначала загрузим среду восстановления.
Запуск Windows RE
- Перезагрузите компьютер. До начала старта системы несколько раз быстро нажмите клавишу F8. Когда на экране появится следующее меню
переведите курсор на «Устранение неполадок компьютера» и щелкните Enter.
- Выберите язык, удобный вам для работы в среде восстановления.
- Выберите учетку пользователя, имеющую в системе административные права. Введите пароль.
- Далее из открывшегося перед вами окна параметров восстановления выберите командную строку. С ее помощью вы запустите проводник Виндовс и через него откроете нужные файлы.
- Чтобы попасть в папки, введите в командной строке слово notepad и нажмите Enter. Запустится программа «Блокнот». Войдите в меню «Файл» и щелкните «Открыть».
- Команда «Открыть» развернет окно проводника. Чтобы вы смогли видеть разные типы файлов, а не только текстовые, в поле «Тип файлов» поставьте значение «Все файлы».
- Перейдите в папку (это может быть жесткий диск или флешка), где у вас сохранена утилита лечения.
Запуск CureIt в среде восстановления Windows 7
Чтобы разблокировать Виндовс с помощью утилиты от Dr. Web, скачайте ее предварительно на другом компьютере и запустите обычным способом.
После того, как утилита будет готова к сканированию, найдите папку C:\Users\имя_учетки\AppData\Local\Temp\FF02DAD8-C26C14C8-8A90FEE8-618206C0 (имя конечной папки меняется), переименуйте ее и скопируйте на флешку, DVD или другой носитель, который можно будет подключить к заблокированному компьютеру. В этой папке будут находиться распакованные файлы CureIt.
Среди прочего в этой папке будет 3 исполняемых файла с расширением .exe с именами, состоящими из букв и цифр. Один из них и есть антивирусный сканер — он нам и нужен.
Для запуска сканера просто кликните по нему правой кнопкой мышки и выберите из контекстного меню запуск от имени администратора. Через некоторое время он обнаружит блокировщик и удалит его. Как видите, разблокировать Виндовс с помощью CureIt под силу любому пользователю.
Как разблокировать Windows 7 с помощью Kaspersky Virus Removal Tool
Скачайте утилиту на чистом компьютере. Запустите. Как можно наблюдать, после запуска программа начинает распаковывать свои файлы во временную папку C:\Users\имя_учетки\AppData\Local\Temp\RarSfx0 (в нашем примере). Отследить, куда распаковывается программа будет легче, если предварительно очистить временные папки.
Переименуйте папку с файлами Kaspersky Virus Removal Tool во что-то более понятное, к примеру, в AVPTool и перенесите ее на флешку, DVD или другой носитель. Подключите носитель к компьютеру, который нужно разблокировать.
Зайдя в среду восстановления Windows 7 и запустив проводник, перейдите в папку с Virus Removal Tool. В ней находится несколько файлов, один из которых исполняемый. Запустите его от имени администратора. Через некоторое время блокировка Виндовс автоматически будет снята.
Как разблокировать Windows 7 с помощью uVS
Этот инструмент предназначен для опытных пользователей Виндовс. С его помощью можно не только разблокировать систему, но и находить и удалять любые вирусы и трояны, в том числе неизвестные, которых нет в базах антивирусных продуктов. Использование этой программы требует предварительного обучения, впрочем, справочные материалы по ее использованию входят в дистрибутив.
Для запуска uVS в среде Windows RE предварительно нужно распаковать программу из архива в отдельную папку. Среди файлов есть файл Start.exe, который непосредственно и отвечает за запуск uVS. Его тоже нужно запустить от администратора.
- После старта uVS, в следующем окне нажмите кнопку «Выбрать каталог Виндовс».
- Выберите в проводнике папку Windows, которую требуется разблокировать.
- Щелкните «Запустить под текущим пользователем».
После того, как программа завершит сканирование заблокированной Windows 7, перед вами откроется отчет, где в списке «Подозрительные и вирусы» будет отображаться троян-блокировщик. В среде восстановления он не активен, поэтому его можно без труда удалить.
Вероятнее всего, программа сама распознает вредоносный файл. А если возникают сомнения, кликните по подозрительному файлу дважды, чтобы открылось окно с его свойствами.
Опытный юзер сможет распознать трояна по его свойствам: имени, расположению, хэш-суммам, ключам автозапуска и прочему.
- Чтобы удалить этот файл и разблокировать компьютер, свойства и перейдите в главное окно. Щелкните по файлу правой кнопкой мыши и из перечня возможных действий выберите «Удалить все ссылки вместе с файлом».
- Следом нажмите кнопку «Дополнительно» в верхнем меню окна и выберите команду «Твики».
- Из списка твиков (настроек системного реестра) выберите «Сброс ключей Winlogon в первоначальное состояние».
Эта команда восстановит необходимые для запуска Windows 7 параметры реестра и поможет полностью разблокировать компьютер. После удаления винлокера и всех его следов, закройте uVS и щелкните кнопку «Перезагрузка» в окошке параметров восстановления.
Снять блокировку Windows 7 при заражении MBRLock
Заражение главной загрузочной записи не позволит вам запустить на заблокированном ПК среду восстановления, поэтому чтобы разблокировать систему, потребуется внешний носитель — так называемый диск спасения, которые выпускают крупные антивирусные вендоры. Вот некоторые из них:
- ;
- .
Чтобы разблокировать с их помощью компьютер, достаточно записать загрузочный образ на DVD или флеш-накопитель, загрузить с него «больную» систему, запустить сканер и дождаться окончания «лечения». Проблема в 100% случаев успешно решается.
