У даній статті мова піде про сімействі вірусів типу winlock і про те як з ними боротися. Для тих хто ще з ним не стикався, ознакою цього вірусу є вигуки «Ой, все пропало, що ж тепер робити, де шукати гроші ?!» і картинка представлена нижче.
Що ж робити, якщо Ви побачили таку або приблизно таку картинку на своєму комп'ютері або комп'ютері знайомих. Перевстановлювати віндовс! - скажете Ви, або заплатити вказану суму і отримати код. Ні те ні то не є прийнятним вирішенням даної проблеми.
Є ще варіант пошукати код розблокування в інтернеті на сайтах популярних антивірусів, але останнім часом подібні віруси грішать тим, що зовсім не мають кодів розблокування. Як же з ними боротися ?!
Варто зауважити, що більшість людей і, каюсь, я колись, перевстановлюють систему, або ще гірше відправляють sms, що зараз вже не потрібно і іноді навіть викликає сміх і розчарування, що ще залишилися такі люди, але це інша тема, давайте повернемося до нашої.
Trojan.Winlock (Вінлокер) (а так же: Trojan-Ransom - за класифікацією компанії Лабораторія Касперського і Trojan-Lock-Screen - за класифікацією компанії ESET Co.LTD.) - сімейство шкідливих програм, які блокують або ускладнюють роботу з операційною системою, і вимагають перерахування грошей зловмисникам за відновлення працездатності комп'ютера.
Давайте згадаємо, з чого ж все починалося. Перші вінлокі, до речі сказати, взагалі мали функцію самоудаленіе. Досить було залишити комп'ютер включеним, і через деякий час вінлок зникав. Варто відзначити, що вони блокували не весь робочий стіл, а лише його частина. Працювати при цьому було неможливо. Деякі "вбивалися" навіть з диспетчера задач.
В основі роботи будь-якої версії Trojan.Winlock використовуються штатні засоби операційної системи, якими і організовується "блокування Windows".
Фактично алгоритм дії приблизно такий:
Скрипт Trojan.Winlock потрапляє на ваш комп'ютер при відключеному брандмауері Windows 7. Способи попадання використовуються різні, починаючи від кліка по "лжебаннеру" і закінчуючи установкою вірусу самим користувачем, який може знаходиться в "крякнутий" платному ПО. В основному Trojan.Winlock знаходиться в тимчасових директоріях використовуваного браузера.
Скрипт при активації підмінять значення системного реєстру. Найчастіше підміняється Shell-оболонка. по-замовчуванню якої в Windows виступає Explorer. Тобто замість завантаження Explorer `прописується завантаження віконця з проханням-вимаганням. При успішній "активації" це значення замінюється назад на стандартний Explorer (але не завжди).
Тепер давайте поговоримо про те як себе вести при зараженні комп'ютера вірусом і про методи боротьби з ним. Отже, займіть зручне положення в кріслі, і уважно прочитайте те, що нижче написано.
1. Ніколи не виконуйте вимоги зловмисників, так як це нерозумно, плюс в більшості випадків ви не отримаєте код і витратите немислимі для sms-повідомлення гроші.
2. При можливості скористатися онлайн-сервісами підбору коду розблокування на сайтах виробників антивірусного ПЗ (про це нижче).
3. Якщо не отримати другий, видалити вірус з допомогою спеціальних програм.
2. У відомих антивірусних компаній, існують спеціальні банки кодів для розблокування комп'ютера. який заблокований подібним вірусом, найзручніша і на мій погляд найкраща на сайті Dr.Web.
База даних сервісу оновлюється щодня і тому містить найактуальнішу інформацію про троянах Trojan.Winlock. Кожна додана в базу модифікація супроводжується технічної довідкою і описом моделі поведінки: подібна інформація також може бути корисна в процесі розблокування системи. Крім того, сервіс містить окремий інформаційний розділ, має форму зворотного зв'язку і має в своєму розпорядженні мобільною версією. Подібна програма так само є у:
- Касперський
- VirusInfo
- ESET
Так само на сайті Dr.Web присутня така корисна річ як аптечка сисадміна. яка включає в себе такі утиліти як:
1. Dr.Web LiveCD допоможе, якщо дії шкідливих програм унеможливили завантаження комп'ютера під управлінням Windows або Unix, відновить працездатність ураженої системи безкоштовно за допомогою Dr.Web LiveCD!
2. Dr.Web LiveUSB - продукт, що дозволяє провести аварійне відновлення операційної системи за допомогою завантажувального USB-накопичувача.
3. Утиліта видалення Dr.Web. Ця утиліта - аварійний засіб, призначене для видалення «залишків» від некоректних / пошкоджених інсталяцій ПЗ Dr.Web.
4. Програми від троянських програм:
- Форма дешифрування від Trojan.Encoder.68
- Утиліта розблокування файлів після Trojan.Locker.8
- Розблокування Windows від Trojan.Winlock
- Утиліта від Trojan. Plastix
5. Онлайн-перевірка файлу на предмет вірусів. Тепер давайте зупинимося докладніше на пункті 3. (Якщо не отримати другий, видалити вірус з допомогою спеціальних програм.) Цей пункт ми розглянемо на прикладі програми ANTIWINLOCKER LIVECD (virus-free.ru), по-перше, тому що безкоштовно, по-друге - ефективно. Тож почнемо.
Для того, щоб почати його видалення потрібно записати програму (попередньо скачавши її з сайту зазначеного вище) на флешку на іншому комп'ютері, або заготовити заздалегідь. Для того, щоб це зробити потрібно завантажити програму UltraISO або подібну, і пройти нижче наведених інструкцій:
Після запуску програми вибрати «Самозавантаження» -> «Записати образ Жорсткого диска ...» або «Bootable» -> «Write disc image»,
вибрати файл і диск (флешку) потім натиснути «Зберегти» або «Write».
Далі ми переходимо безпосередньо до використанню програми:
Перезапускаємо комп'ютер і заходимо в BIOS. де вибираємо завантаження з USB-flash drive. виходимо з BIOS і під час завантаження натискаємо будь-яку клавішу коли з'явиться повідомлення «Press any key to boot from CD»;
Далі інструкція буде розписана по кроках, так як вона дуже проста і не вимагає опису:
Крок 3: Після завершення сканування системних файлів, в разі якщо файли заражені смс-вірусом, з'явиться вікно для їх заміни. У вікні «Провекрка файлів ...» проставте галочки навпроти записів виділених червоним шрифтом і натисніть кнопку «Відновити»:
Крок 5: «Ручний режим» -> вкладка «Підключення до системи" -> в групі «вибір системи», в випадаючому меню вибираємо диск на який у Вас встановлена операційна і натискаємо кнопку «Завантажити»:
Крок 6: Якщо нижче, в текстових вікнах з'явився червоний текст необхідно виправити ізменненія вірусом параметри реєстру. Для цього натискаємо спочатку кнопку «За замовчуванням», потім «Зберегти»:
Все, для виходу натискаємо напис «Для виходу вивантажите все кущі реєстру ... Натисніть тут ...»;
Також бажано відновити завантажувальний сектор для встановленої у Вас операційної ситеми (Windows XP або Windows 7), так як вірус може завантажуватися ще до завантаження операційної системи.
У вікні «Ручний режим» внизу форми клікніть напис «Для виходу натисніть тут ...» -> кнопка «Вихід» -> кнопка «Закрити» і ВУАЛЯ. після завантаження комп'ютера в нормальному режимі віріса на екрані бути не повинно, але про всяк випадок краще перевірити комп'ютер яким небудь потужним антивірусом.
Дякую за увагу, приділену моєї статті, сподіваюся вона вам допомогла, "Ні вінлока Вам, ні трояна"!
Н р а в і т ь с я. Р а з з до а ж і Д р у з ь я м.