Поговоримо про сімейство вірусів типу winlock і про те як з ними боротися. Зазвичай явними ознаками даного вірусу, є фрази «Ой, все пропало, що ж тепер робити, де шукати гроші ?!» і картинка представлена ​​нижче, розміром в +/- 75% робочої області екрану.

Зазвичай в таких випадках діють радикально, перевстановлюють Windows і справа з кінцями, або нерозумно, відправляють СМС і витрачають гроші, не отримуючи при цьому коду. Але це не всі варіанти!

Є ще варіант пошукати код розблокування в інтернеті на сайтах популярних антивірусів, але останнім часом подібні віруси грішать тим, що зовсім не мають кодів розблокування. Як же з ними боротися ?!

Нагадаємо, ні в якому разі не відправляйте sms! Це дорого і безглуздо. А так же ні до чого не призводить, крім втрати грошей!

Trojan.Winlock (Вінлокер) (а так же: Trojan-Ransom - за класифікацією компанії Лабораторія Касперського іTrojan-Lock-Screen - за класифікацією компанії ESET Co.LTD.) - сімейство шкідливих програм, які блокують або ускладнюють роботу з операційною системою, і вимагають перерахування грошей зловмисникам за відновлення працездатності комп'ютера.

Давайте згадаємо, з чого ж все починалося. Перші вінлокі, до речі сказати, взагалі мали функцію самоудаленіе. Досить було залишити комп'ютер включеним, і через деякий час вінлок зникав. Варто відзначити, що вони блокували не весь робочий стіл, а лише його частина. Працювати при цьому було неможливо. Деякі "вбивалися" навіть з диспетчера задач.

Перша програма-вимагач з'явилася в грудні 1989 року. Користувачі отримали поштою дискетки з програмою, що надає інформацію про СНІД. Після установки система приводилася в неробочий стан, і за її відновлення з користувачів вимагали грошей але це була, так би мовити, бета-версія. Йшов час, прогрес не стояв на позначці, якщо злодіяння можна назвати прогресом. Програма більше схожа на нашу була вперше зареєстрована 25 жовтня 2007 року Здирник інсценував збій системи (синій екран смерті). Практично повністю блокував управління системою.

Широке поширення віруси-вимагачі отримали взимку 2009-2010 років, за деякими даними виявилися заражені мільйони комп'ютерів, переважно серед користувачів російськомовного Інтернету (як стверджує вікіпедія, і чомусь цими даними хочеться вірити). Другий сплеск активності такого шкідливого ПО припав на травень 2010 року.

Спіймати ж такий вірус можна на банках рефератів, порно-сайтах, все можливих рекламах і т. П., Тобто практично де завгодно в інтернеті. До речі дуже непогано рятують від вірусу утиліти Add Block і подібні, при їх використанні ймовірність зловити такий вірус зводиться до мінімуму.

В основі роботи будь-якої версії Trojan.Winlock використовуються штатні засоби операційної системи, якими і організовується "блокування Windows".

Фактично алгоритм дії приблизно такий:

скрипт Trojan.Winlock потрапляє на ваш комп'ютер при відключеному брандмауері Windows 7. Способи попадання використовуються різні, починаючи від кліка по "лжебаннеру" і закінчуючи установкою вірусу самим користувачем, який може знаходиться в "крякнутий" платному ПО. В основному Trojan.Winlock знаходиться в тимчасових директоріях використовуваного браузера.

Скрипт при активації підмінять значення системного реєстру. Найчастіше підміняється Shell-оболонка, за замовчуванням якої в Windows виступає Explorer. Тобто замість завантаження Explorer `прописується завантаження віконця з проханням-вимаганням. При успішній "активації" це значення замінюється назад на стандартний Explorer (але не завжди).

Після перезавантаження ОС Ви отримуєте вікно з здирництвом (Ваш комп'ютер заблокований за перегляд, копіювання і тиражування відеоматеріалів, що містять елементи педофілії і насильства над дітьми. Для зняття блокування Вам необхідно сплатити штраф ...).

Тепер давайте поговоримо про те, як себе вести при зараженні комп'ютера вірусом і про методи боротьби з ним. Отже, займіть зручне положення в кріслі, і уважно прочитайте те, що нижче написано.

1. Ніколи не виконуйте вимоги зловмисників, так як це нерозумно, плюс в більшості випадків ви не отримаєте код і витратите немислимі для sms-повідомлення гроші.

2. При можливості скористатися онлайн-сервісами підбору коду розблокування на сайтах виробників антивірусного ПЗ (про це нижче).

3. Якщо не отримати другий, видалити вірус з допомогою спеціальних програм.

Давайте докладніше зупинимося на пункті 2 і 3.

2. У відомих антивірусних компаній, існують спеціальні банки кодів для розблокування комп'ютера, який заблокований подібним вірусом, найзручніша і на мій погляд найкраща на сайті Dr.Web .

Все що вам потрібно, це ввести номер гаманця / телефону в порожнє поле введення і натиснути кнопку «Шукати коди», або можна скористатися пошуком коду по зображенню. Після цього ввести код в поле пропоноване вінлокером і ВУАЛЯ! - вінлока наче й не було.

База даних сервісу оновлюється щодня і тому містить найактуальнішу інформацію про троянахTrojan.Winlock. Кожна додана в базу модифікація супроводжується технічної довідкою і описом моделі поведінки: подібна інформація також може бути корисна в процесі розблокування системи. Крім того, сервіс містить окремий інформаційний розділ, має форму зворотного зв'язку і має в своєму розпорядженні мобільною версією. Подібна програма так само є у:

Так само на сайті Dr.Web присутня така корисна річ як аптечка сисадміна , Яка включає в себе такі утиліти як:

1. Dr.Web LiveCD допоможе, якщо дії шкідливих програм унеможливили завантаження комп'ютера під управлінням Windows або Unix, відновить працездатність ураженої системи безкоштовно за допомогою Dr.Web LiveCD!

2. Dr.Web LiveUSB - продукт, що дозволяє провести аварійне відновлення операційної системи за допомогою завантажувального USB-накопичувача.

3. Утиліта видалення Dr.Web. Ця утиліта - аварійний засіб, призначене для видалення «залишків» від некоректних / пошкоджених інсталяцій ПЗ Dr.Web.

4. Програми від троянських програм:

• Форма дешифрування від Trojan.Encoder.68
• Утиліта розблокування файлів після Trojan.Locker.8
• Розблокування Windows від Trojan.Winlock
• Утиліта від Trojan. Plastix

5. Онлайн-перевірка файлу на предмет вірусів. Тепер давайте зупинимося докладніше на пункті 3. (Якщо не отримати другий, видалити вірус з допомогою спеціальних програм.) Цей пункт ми розглянемо на прикладі програми ANTIWINLOCKER LIVECD ( virus-free.ru ), По-перше, тому що безкоштовно, по-друге - ефективно. Тож почнемо.

Припустимо що наш вірус виглядає так (Ваш комп'ютер заблокований за перегляд забороненого відео порнографічного змісту за участю неповнолітніх і т.д.):

Для того, щоб почати його видалення потрібно записати програму (попередньо скачавши її з сайту зазначеного вище) на флешку на іншому комп'ютері, або заготовити заздалегідь. Для того, щоб це зробити потрібно завантажити програму UltraISO або подібну, і пройти нижче наведених інструкцій:

Після запуску програми виберете «Самозавантаження» -> «Записати образ Жорсткого диска ...» або «Bootable» -> «Write disc image»,

виберіть файл і диск (флешку) потім натисніть «Записати» або «Write».

Далі ми переходимо безпосередньо до використанню програми:

Перезапустіть комп'ютер і зайдіть в BIOS, де виберіть завантаження з USB-flash drive, вийдіть з BIOS і під час завантаження натисніть будь-яку клавішу коли з'явиться повідомлення «Press any key to boot from CD»;

Далі інструкція буде розписана по кроках, так як вона дуже проста і не вимагає опису:

Крок 1:

Крок 2:

Крок 3: Після завершення сканування системних файлів, в разі якщо файли заражені смс-вірусом, з'явиться вікно для їх заміни. У вікні «Перевірка файлів ...» проставте галочки навпроти записів виділених червоним шрифтом і натисніть кнопку «Відновити»:

Крок 4:

Крок 5: «Ручний режим» -> вкладка «Підключення до системи" -> в групі «вибір системи», в випадаючому меню виберіть диск на який у Вас встановлена ​​операційна і натискаємо кнопку «Завантажити»:

Крок 6: Якщо нижче, в текстових вікнах з'явився червоний текст необхідно виправити змінені вірусом параметри реєстру. Для цього натисніть спочатку кнопку «За замовчуванням», потім «Зберегти»:

Все, для виходу натискаємо напис «Для виходу вивантажите все кущі реєстру ... Натисніть тут ...»;

Також бажано відновити завантажувальний сектор для встановленої у Вас операційної системи (Windows XP або Windows 7), так як вірус може завантажуватися ще до завантаження операційної системи.

У вікні «Ручний режим» внизу форми клікніть напис «Для виходу натисніть тут ...» -> кнопка «Вихід» -> кнопка «Закрити» і ВУАЛЯ !, після завантаження комп'ютера в нормальному режимі вірусу на екрані бути не повинно, але про всяк випадок краще перевірити комп'ютер яким небудь потужним антивірусом.

Дякую за увагу, приділену цієї статті, сподіваюся вона вам допомогла, "Ні вінлока Вам, ні трояна"!

Ваш Сервісний Центр FreshIT.