Ви вже напевно здогадалися, про що зараз буде мова? Так, так, так ... про тих самих здирників грошей - віруси під назвою Winlock. По правді сказати, подібні віруси нічого не блокують, просто вони працюють поверх всіх вікон. Нерозумно, але ефективно.
Ті, хто вперше стикаються з подібною писаниною малолітніх кодеров, нерідко трапляються на їх вудку, відсилаючи на вказаний номер необхідну грошову суму. Можливо, при переказі грошових коштів на номер зловмисника ви повинні отримати повідомлення з кодом розблокування. Однак школярі не завжди оснащують свою писанину функцією розблокування системи, при введенні правильного коду розблокування. Ну ви самі розумієте: у одних знань замало, іншим уроки треба вчити, третім печінку тренувати. У підсумку виходять подібні блокувальники системи.
Отже, сьогодні я розповім як видаляти «вінлокери» найдоступнішим способом.
Не поспішайте пересилати зловмисникові необхідну грошову суму, а спробуйте видалити цей блокіратор вручну. Про те, як це зробити, я розповім вам як можна детальніше.
Про вірус Winlock
Для написання подібного вірусу не потрібно глибоких знань програмування. Тому створенням подібних програм стали займатися школярі, які зуміли знайти на просторах Інтернету докладну інструкцію по написанню вірусу-здирника.
Треба віддати належне школяреві, який написав стільки багато цікавих слів, з яких в результаті вийшли пропозиції.
Однак я не зовсім зрозумів, що саме має бути надруковано на фіскальному чеку? Напевно цитата з кримінального кодексу.
Вихідні дані
File name: userinit.exe
File size: 24576 байт
Original name: Gusn.exe
Internal name: Gsn.exe
File version: 3.0.79.4
Видалення вірусу Winlock
Отже, ви отримали доступ до файлової системи свого жорсткого диска. Насамперед нам потрібно видалити або перейменувати файл userinit.exe. який знаходиться в C: \ Windows \ System32. Відразу ж можете видалити і файл taskmgr.exe в тій же папці. На малюнку нижче, показані два цих файлу. Зверніть увагу на іконку цих файлів:
Справжній файл userinit.exe має зовсім іншу іконку.
Тепер нам потрібно повернути колишнє ім'я файлу 03014DF3F.exe. який знаходиться в C: \ Windows \ System32. Колишнє ім'я цього файлу userinit.exe. Так, ви не помилилися. Саме userinit.exe.
Вся сіль в тому, що вірус перейменував оригінальний файл userinit.exe в 03014DF3F.exe. Після цього, вірус помістив свою копію в директорію C: \ Windows \ System32, присвоївши при цьому ім'я userinit.exe. Диспетчер завдань був також замінений на копію вірусу.
Тепер необхідно скопіювати оригінальний файл userinit.exe в папку C: \ Windows \ System32 \ dllcache \.
Стоп. У цій папці вже є такий файл. Так все вірно. Справа в тому, що вірус навіть в цій папці затер userinit.exe. Замінюємо старий файл оригінальним userinit.exe.
Давайте видалимо і файл taskmgr.exe. Цей файл був також перезаписан вірусом-здирником.
Після цього, перейдіть в директорію C: \ Documents and Settings \ All Users \ Application Data \. Знайдіть там файл 22CC6C32.exe і видаліть його.
Наступним кроком буде перезавантаження комп'ютера, з подальшим включенням режиму: «Безпечний режим з підтримкою командного рядка». Ви пам'ятаєте, що цей режим включається після натиснення кнопки F8?
Виберіть свій обліковий запис і замість звичного робочого столу, перед нами буде красуватися командний рядок. Саме цього ми і добивалися.
Як не сумно, але це і є той самий вірус, навіть правильніше сказати - троянець.
Давайте тепер відкриємо Провідник, набравши в командному рядку explorer. На з'явився діалог відповідаємо позитивно і, згорнувши командний рядок ми побачимо свій робочий стіл.
Трохи помилувавшись на робочий стіл без фонового малюнка, перезавантажити комп'ютер звичним способом: Пуск - Виключення - Перезавантаження.
Залишилося зробити останні штрихи: відновити Диспетчер завдань.
Попереджаю, не варто зараз намагатися його запустити. Інакше вам доведеться проробляти всі дії заново.
Нам знадобиться завантажувальний диск Windows XP. Вставте його в дисковод і знайдіть на диску директорію E: \ I386 \ SYSTEM32. Де E - буква приводу вашого дисковода. Знаходимо в цій директорії файл файл taskmgr.exe і копіюємо його в в каталог C: \ Windows \ System32. У відповідь на це з'явиться вікно «Захист файлів Windows». Закриваємо його і в відповідному вікні підтверджуємо збереження нерозпізнаних версій файлів.
Не варто хвилюватися, це типова захист Windows від перезапису файлів. Шкода, що цей захист не спрацювала, коли троянець перезаписував файли.
Тепер копіюємо цей же файл в каталог C: \ Windows \ System32 \ dllcache \.
От і все. Вірус вилучений, а гроші залишилися недоторканими.
додаткова інформація
Про що думав школяр-кодер, пишучи ці рядки: «Перезавантаження або виключення комп'ютера призведе до негайного видалення ВСІХ даних, включаючи код операційної системи і BIOS, з неможливістю подальшого відновлення»?
Напевно він подумав, що це буде круто. І написав цю маячню.
Ось ще цікавіше: «Якщо протягом 12 годин штраф не буде сплачено, всі дані на Вашому персональному комп'ютері, видаляється назавжди, а справа буде передана до суду для розгляду по статті 242 ч. 1 КК РФ».
Хочеться запитати: яке таке «справа», якщо всі дані будуть видалені, включаючи «код операційної системи і BIOS»?
І ще: ми розглядаємо вірус-шантажист, просить відправити грошову суму, в розмірі 400 рублів на наступні номери: 8-918-600-89-76, 8-988-160-94-63, 8-988-161-21- 06, 8-918-200-87-40, 8-988-161-21-08.
Можете себе привітати. Ви самостійно впоралися з вірусом Winlock і не заплатили за це ні копійки.
Я ж, в свою чергу, помістив цей вірус в свою колекцію переможених вірусів.
На цей раз не пощастило школяреві, який написав цей вірус. Чи не заздрю я йому, коли до нього в будинок постукають люди в формі. Тому що, по-перше, він отримає потиличників від матері, за те що вона на роботі підчепила цей вірус, в той момент, коли бос проходив повз і бачив все це. А по-друге, якщо цього школяреві років так 20-30, то люди в погонах супроводжуватимуть цього джентльмена до його нового місця проживання на найближчі 3-4 роки.