Вымогательство денег у пользователей путем блокировки запуска Windows постепенно выходит «из моды», но полностью пока себя не изжило. Пик заражений винлокерами пришелся на 2010 — 2011 годы — в то время то там, то здесь вспыхивали эпидемии, приносившие убытки предприятиям, немалый вред домашним пользователям и баснословные прибыли злоумышленникам. Но сколько веревочке не виться… К сегодняшнему дню компании-разработчики антивирусов и отдельные программисты-энтузиасты выпустили немало средств борьбы с блокировщиками, которые любой пострадавший может использовать совершенно бесплатно. Благодаря им «заработки» киберпреступников на обманутых пользователях заметно пошли на убыль.
Попробуем разобраться, что представляет собой trojan.winlock — троян винлокер, какие виды их больше распространены, а также как с ними бороться.
Способы блокировки, используемые винлокерами
Блокировка рабочего стола путем запуска троянца на раннем этапе загрузки Виндовс. Троян может запускаться вместо стандартной графической оболочки (explorer.exe) или в ходе выполнения программы входа в систему. На скриншоте ниже показан пример баннера вымогателя на рабочем столе.
Интеграция троянского кода в критически важные системные файлы — explorer.exe, userinit.exe, taskmgr.exe и другие, в случае такого заражения наряду со стандартным кодом Виндовс выполняется и троянский код.
Отладка системных процессов — создание в реестре Windows особых записей, которые заставляют систему запускать вирус вместо нормального файла.
Модификация главной загрузочной записи винчестера (MBR) или загрузочных данных отдельных разделов диска (VBR). На скриншоте показан внешний вид MBR-блокиратора.
Создание групповых политик, максимально ограничивающих права учетной записи. Настолько, что пользователь не может делать практически ничего.
Как разблокировать Windows 7?
Windows 7, в отличие от XP и Висты, имеет особый служебный раздел — среду восстановления (Windows RE), которая вместе с системой устанавливается на жесткий диск. Она имеет собственный загрузчик, поэтому может запускаться независимо от того, в каком состоянии пребывает основная система. Если для того, чтобы разблокировать Виндовс XP, приходилось искать другой загрузочный носитель, то в большинстве случаев блокировки Windows 7 это делать не обязательно — все операции по разблокировке можно проделать из среды восстановления. Исключение составляет заражение MBR-локерами.
Сегодня практически каждый антивирусный продукт имеет в базе сигнатуры всех известных винлокеров. В среде восстановления Windows 7 можно запускать следующие из них:
Dr.Web CureIt! — универсальную антивирусную утилиту для лечения активного заражения от Dr.Web;
uVS — утилиту для ручного лечения любых вирусов автора Д. Кузнецова.
Далее мы разберемся, как с ними работать. Но сначала загрузим среду восстановления.
Запуск Windows RE
Перезагрузите компьютер. До начала старта системы несколько раз быстро нажмите клавишу F8. Когда на экране появится следующее меню
переведите курсор на «Устранение неполадок компьютера» и щелкните Enter.
Выберите язык, удобный вам для работы в среде восстановления.
Выберите учетку пользователя, имеющую в системе административные права. Введите пароль.
Далее из открывшегося перед вами окна параметров восстановления выберите командную строку. С ее помощью вы запустите проводник Виндовс и через него откроете нужные файлы.
Чтобы попасть в папки, введите в командной строке слово notepad и нажмите Enter. Запустится программа «Блокнот». Войдите в меню «Файл» и щелкните «Открыть».
Команда «Открыть» развернет окно проводника. Чтобы вы смогли видеть разные типы файлов, а не только текстовые, в поле «Тип файлов» поставьте значение «Все файлы».
Перейдите в папку (это может быть жесткий диск или флешка), где у вас сохранена утилита лечения.
Запуск CureIt в среде восстановления Windows 7
Чтобы разблокировать Виндовс с помощью утилиты от Dr. Web, скачайте ее предварительно на другом компьютере и запустите обычным способом.
После того, как утилита будет готова к сканированию, найдите папку C:\Users\имя_учетки\AppData\Local\Temp\FF02DAD8-C26C14C8-8A90FEE8-618206C0 (имя конечной папки меняется), переименуйте ее и скопируйте на флешку, DVD или другой носитель, который можно будет подключить к заблокированному компьютеру. В этой папке будут находиться распакованные файлы CureIt.
Среди прочего в этой папке будет 3 исполняемых файла с расширением .exe с именами, состоящими из букв и цифр. Один из них и есть антивирусный сканер — он нам и нужен.
Для запуска сканера просто кликните по нему правой кнопкой мышки и выберите из контекстного меню запуск от имени администратора. Через некоторое время он обнаружит блокировщик и удалит его. Как видите, разблокировать Виндовс с помощью CureIt под силу любому пользователю.
Как разблокировать Windows 7 с помощью Kaspersky Virus Removal Tool
Скачайте утилиту на чистом компьютере. Запустите. Как можно наблюдать, после запуска программа начинает распаковывать свои файлы во временную папку C:\Users\имя_учетки\AppData\Local\Temp\RarSfx0 (в нашем примере). Отследить, куда распаковывается программа будет легче, если предварительно очистить временные папки.
Переименуйте папку с файлами Kaspersky Virus Removal Tool во что-то более понятное, к примеру, в AVPTool и перенесите ее на флешку, DVD или другой носитель. Подключите носитель к компьютеру, который нужно разблокировать.
Зайдя в среду восстановления Windows 7 и запустив проводник, перейдите в папку с Virus Removal Tool. В ней находится несколько файлов, один из которых исполняемый. Запустите его от имени администратора. Через некоторое время блокировка Виндовс автоматически будет снята.
Как разблокировать Windows 7 с помощью uVS
Этот инструмент предназначен для опытных пользователей Виндовс. С его помощью можно не только разблокировать систему, но и находить и удалять любые вирусы и трояны, в том числе неизвестные, которых нет в базах антивирусных продуктов. Использование этой программы требует предварительного обучения, впрочем, справочные материалы по ее использованию входят в дистрибутив.
Для запуска uVS в среде Windows RE предварительно нужно распаковать программу из архива в отдельную папку. Среди файлов есть файл Start.exe, который непосредственно и отвечает за запуск uVS. Его тоже нужно запустить от администратора.
После старта uVS, в следующем окне нажмите кнопку «Выбрать каталог Виндовс».
Выберите в проводнике папку Windows, которую требуется разблокировать.
Щелкните «Запустить под текущим пользователем».
После того, как программа завершит сканирование заблокированной Windows 7, перед вами откроется отчет, где в списке «Подозрительные и вирусы» будет отображаться троян-блокировщик. В среде восстановления он не активен, поэтому его можно без труда удалить.
Вероятнее всего, программа сама распознает вредоносный файл. А если возникают сомнения, кликните по подозрительному файлу дважды, чтобы открылось окно с его свойствами.
Опытный юзер сможет распознать трояна по его свойствам: имени, расположению, хэш-суммам, ключам автозапуска и прочему.
Чтобы удалить этот файл и разблокировать компьютер, свойства и перейдите в главное окно. Щелкните по файлу правой кнопкой мыши и из перечня возможных действий выберите «Удалить все ссылки вместе с файлом».
Следом нажмите кнопку «Дополнительно» в верхнем меню окна и выберите команду «Твики».
Из списка твиков (настроек системного реестра) выберите «Сброс ключей Winlogon в первоначальное состояние».
Эта команда восстановит необходимые для запуска Windows 7 параметры реестра и поможет полностью разблокировать компьютер. После удаления винлокера и всех его следов, закройте uVS и щелкните кнопку «Перезагрузка» в окошке параметров восстановления.
Снять блокировку Windows 7 при заражении MBRLock
Заражение главной загрузочной записи не позволит вам запустить на заблокированном ПК среду восстановления, поэтому чтобы разблокировать систему, потребуется внешний носитель — так называемый диск спасения, которые выпускают крупные антивирусные вендоры. Вот некоторые из них:
Чтобы разблокировать с их помощью компьютер, достаточно записать загрузочный образ на DVD или флеш-накопитель, загрузить с него «больную» систему, запустить сканер и дождаться окончания «лечения». Проблема в 100% случаев успешно решается.