Програми, які блокують доступ до ресурсів операційної системи
Цей вид шкідливої програми класу Trojan-Ransom заснований на блокуванні доступу користувача до ресурсів операційної системи. У цьому випадку користувач не може завершити роботу шкідливої програми або запустити будь-яку іншу програму, в тому числі Диспетчер завдань. Запустивши таку троянську програму, користувач побачить на екрані повідомлення з вимогою викупу. Клавіатура і мишка будуть продовжувати працювати, але на екрані з'явиться вікно, яке неможливо згорнути, з якого неможливо переключитися (наприклад, за допомогою поєднання клавіш «Alt-Tab»). Залишається тільки вікно, розташоване поверх інших, в якому сформульовані умови отримання пароля для відновлення працездатності системи.
Залежно від модифікації вірусу банери бувають різних видів. Ось деякі з них:
Вірус може позиціонувати себе як антивірус від Microsoft або Лабораторії Касперського. Як же прибрати цей банер, якщо заблокований диспетчер задач, заблокований доступ до реєстру, заблокований запуск програм. Алгоритм дій для «подолоння цiєї зарази» буде наступний (варіант відправки СМС, звичайно, не розглядаємо):
I. Перший і найбільш простий варіант розблокування Windows
Знайти код, що дозволяє розблокувати комп'ютер за допомогою Сервісу деактивації здирників-блокерів від Лабораторії Касперського. або Сервісу деактивації від компанії «Доктор Веб». Якщо на зазначених сервісах не виходить знайти код розблокування, то варто пошукати його за допомогою Google (або іншого пошукача) на просторах інтернету. Найчастіше, потрібний вам код уже десь написаний.
Якщо вдалося знайти потрібний код і розблокувати комп'ютер, то робота з порятунку вашої системи ще не закінчена. Для остаточного видалення вірусу з комп'ютера скористайтеся утилітами Virus Removal Tools. або ж Dr.Web Cureit.
Якщо знайти код розблокування не вдалося, то переходить до другого варіанту.
II. Другий варіант розблокування.
В цьому випадку потрібно виправити кілька параметрів в реєстрі Windows. З інструментів знадобиться диск з Windows-Based Live CD. Як приклад, Windows XPE або ERD Commander (для XP використовувати версію 5.0, для Vista 6.0, для 7-ки - 6.5).
Завантажити з LIVE CD. Зайдіть в меню «Start»? «Administrative Tools»? «Registry Editor» (скріншоти см. Під спойлером нижче).
Знайдіть ключ Userinit в гілці реєстру «HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon».
8. Видаліть шкідливий файл який був прописаний в Userinit (в даному прикладі це sdra64.exe).
9. Видаліть на всіх розділах жорсткого диска папки: RECYCLER і System Volume Information.
10. Видаліть вміст наступних каталогів:
C: \ WINDOWS \ Temp
C: \ WINDOWS \ system32 \ config \ systemprofile \ LocalSettings \ Temp Temporary Internet Files
C: \ Documents and Settings \ Ваше_імя_пользователя \ LocalSettings \ Temp Temporary Internet Files
11. Вивантажуйте ERD Commander і завантажте вашу копію Windows.
12. Тепер пора перейти до усунення наслідків дії вірусу. Необхідно завантажити утиліту AVZ.
13. У вікні утиліти виберіть пункт меню «Файл»? «Відновлення системи».
14. Відзначте всі пункти, крім пунктів "Повне пересозданіе налаштувань SPI (небезпечно)» і «Очистити ключі MountPoints MountPoints2 ». (Див. Скріншот під спойлером)
15. Натисніть кнопку Виконати зазначені операції.
16. По завершенні операції відновлення, перезавантажте комп'ютер. Всі обмеження будуть зняті.