Баннеры «Windows заблокирован - для разблокировки отправьте СМС» и их многочисленные вариации безмерно любят ограничивать права доступа вольных пользователей ОС Windows. При этом зачастую стандартные способы выхода из неприятной ситуации – корректировка проблемы из Безопасного режима, коды разблокировки на сайтах ESET и DR Web, как и перенос времени на часах BIOS в будущее далеко не всегда срабатывают.
Неужели придется переустанавливать систему или платить вымогателям? Конечно, можно пойти и простейшим путем, но не лучше ли нам попробовать справиться с навязчивым монстром по имени Trojan.WinLock собственными силами и имеющимися средствами, тем более что проблему можно попытаться решить достаточно быстро и совершенно бесплатно.
С кем боремся?
Первые программы-вымогатели активизировались в декабре 1989 года. Многие пользователи получили тогда по почте дискетки, предоставляющие информацию о вирусе СПИДа. После установки небольшой программы система приходила в неработоспособное состояние. За её реанимацию пользователям предлагали раскошелиться. Вредоносная деятельность первого SMS-блокера, познакомившего пользователей с понятием “синий экран смерти” была отмечена в октябре 2007 года.Trojan.Winlock (Винлокер) - представитель обширного семейства вредоносных программ, установка которых приводит к полной блокировке или существенному затруднению работы с операционной системой. Используя успешный опыт предшественников и передовые технологии разработчики винлокеров стремительно перевернули новую страницу в истории интернет-мошенничества. Больше всего модификаций вируса пользователи получили зимой 2009-2010 гг, когда по данным статистики был заражен ни один миллион персональных компьютеров и ноутбуков. Второй пик активности пришелся на май 2010 года. Несмотря на то, что число жертв целого поколения троянцев Trojan.Winlock в последнее время значительно сократилось, а отцы идеи заключены под стражу, проблема по-прежнему актуальна.
Число различных версий винлокеров превысило тысячи. В ранних версиях (Trojan.Winlock 19 и др.) злоумышленники требовали за разблокировку доступа 10 рублей. Отсутствие любой активности пользователя спустя 2 часа приводило к самоудалению программы, которая оставляла после себя лишь неприятные воспоминания. С годами аппетиты росли, и для разблокировки возможностей Windows в более поздних версиях требовалось уже 300 – 1000 рублей и выше, о самоудалении программы разработчики скромно забыли.
В качестве вариантов оплаты пользователю предлагается СМС – платеж на короткий номер или же электронный кошелек в системах WebMoney, Яндекс Деньги. Фактором, “стимулирующим” неискушенного пользователя совершить платеж становится вероятный просмотр порносайтов, использование нелицензионного ПО… А для повышения эффективности текст-обращение вымогателя содержит угрозы уничтожить данные на компьютере пользователя при попытке обмануть систему.
Пути распространения Trojan.Winlock
В большинстве случаев заражение происходит в связи с уязвимостью браузера. Зона риска – все те же “взрослые” ресурсы. Классический вариант заражения – юбилейный посетитель с ценным призом. Еще один традиционный путь инфицирования – программы, маскирующиеся под авторитетные инсталляторы, самораспаковывающиеся архивы, обновления – Adobe Flash и пр. Интерфейс троянов красочен и разнообразен, традиционно используется техника маскировки под окна антивирусной программы, реже - анимация и др.Среди общего многообразия встречающихся модификаций, Trojan.Winlock можно разделить на 3 типа:
- Порноиформеры или баннеры, заставляющиеся только при открывании окна браузера.
- Баннеры, остающиеся на рабочем столе после закрытия браузера.
- Баннеры, появляющиеся после загрузки рабочего стола Windows и блокирующие запуск диспетчера задач, доступ к редактору реестра, загрузку в безопасном режиме, а в отдельных случаях – и клавиатуру.
Вредные привычки Trojan.Winlock
Для обеспечения распространения и автозапуска вирусы семейства Trojan.Winlock модифицируют ключи реестра:
-[...\Software\Microsoft\Windows\CurrentVersion\Run] "svhost" = "%APPDATA%\svhost\svhost.exe"
-[...\Software\Microsoft\Windows\CurrentVersion\Run] "winlogon.exe" = "
С целью затруднения обнаружения в системе вирус блокирует отображение срытых файлов, создает и запускает на исполнение:
- %APPDATA%\svhost\svhost.exe
\winlogon.exe - %WINDIR%\explorer.exe
\cmd.exe /c """%TEMP%\uAJZN.bat"" " \reg.exe ADD «HKCU\Software\Microsoft\Windows\CurrentVersion\Run» /v «svhost» /t REG_SZ /d "%APPDATA%\svhost\svhost.exe" /f
- %WINDIR%\Explorer.EXE
Создает следующие файлы:
- %APPDATA%\svhost\svhost.exe
- %TEMP%\uAJZN.bat
- %APPDATA%\svhost\svhost.exe
- ClassName: "Shell_TrayWnd" WindowName: ""
- ClassName: "Indicator" WindowName: ""
Лечение. Способ 1-й. Подбор кодовой комбинации по платежным реквизитам или номеру телефона
Распространенность и острота проблемы подтолкнула разработчиков антивирусных программ к поиску эффективных решений проблемы. Так на сайте Dr.Web в открытом доступе представлен интерфейс разблокировки в виде окошка, куда нужно ввести номер телефона или электронного кошелька, используемые для вымогательства. Ввод соответствующих данных в окошко (см. рис. ниже) при наличии вируса в базе позволит получить желаемый код.
Способ 2. Поиск нужного кода разблокировки по изображению в базе данных сервиса Dr.Web
На другой странице сайта авторы представили еще один вариант выбора - готовую базу кодов разблокировки для распространенных версий Trojan.Winlock, классифицируемых по изображениям .Аналогичный сервис поиска кодов представлен антивирусной студией ESET , где собрана база из почти 400 000 тысяч вариантов кодов разблокировки и лабораторией Касперского, предложившей не только доступ к базе кодов, но и собственную лечащую утилиту - Kaspersky WindowsUnlocker .
Способ 3. Утилиты – разблокировщики
Сплошь и рядом встречаются ситуации, когда из-за активности вируса или сбоя системы Безопасный режим с поддержкой командной строки, позволяющий провести необходимые оперативные манипуляции оказывается недоступным, а откат системы по каким-то причинам также оказывается невозможным. В таких случаях Устранение неполадок компьютера и Диск восстановления Windows оказываются бесполезны, и приходится задействовать возможности восстановления с Live CD.Для разрешения ситуации рекомендуется использовать специализированную лечащую утилиту, образ которой потребуется загрузить с компакт диска или USB-накопителя. Для этого соответствующая возможность загрузки должна быть предусмотрена в BIOS. После того, как загрузочному диску с образом в настройках БИОС будет задан высший приоритет, первыми смогут загрузиться CD-диск или флэшка с образом лечащей утилиты.
В общем случае зайти в БИОС на ноутбуке чаще всего удается при помощи клавиши F2, на ПК – DEL/DELETE, но клавиши и их сочетания для входа могут отличаться (F1, F8, реже F10, F12…, сочетания клавиш Ctrl+Esc, Ctrl+Ins, Ctrl+Alt, Ctrl+Alt+Esc и др.). Узнать сочетание клавиш для входа можно, отслеживая текстовую информацию в нижней левой области экрана в первые секунды входа. Подробнее о настройках и возможностях BIOS различных версий можно узнать .
Поскольку работу мышки поддерживают только поздние версии BIOS, перемещаться вверх и вниз по меню вероятнее всего придется при помощи стрелок “вверх” – “вниз”, кнопок “+” “–“, ”F5” и ”F6”.
AntiWinLockerLiveCD
Одна из самых популярных и простых утилит, эффективно справляющаяся с баннерами-вымогателями – “убийца баннеров” AntiWinLockerLiveCD вполне заслужила свою репутацию.
Основные функции программы
:
- Фиксирование изменений важнейших параметров Операционной системы;
- Фиксирование присутствия в области автозагрузки не подписанных файлов;
- Защита от замены некоторых системных файлов в WindowsXP userinit.exe, taskmgr.exe;
- Защита от отключения вирусами Диспетчера задач и редактора реестра;
- Защита загрузочного сектора от вирусов типа Trojan.MBR.lock;
- Защита области подмены образа программы на другой. Если баннер не даёт загрузится Вашему компьютеру, AntiWinLocker LiveCD / USB поможет его убрать в автоматическом режиме и восстановит нормальную загрузку.
- Восстанавливает корректные значения во всех критических областях оболочки;
- Отключает не подписанные файлы из автозагрузки;
- Устраняет блокировку Диспетчера задач и редактора реестра;
- Очистка всех временных файлов и исполняемых файлов из профиля пользователей;
- Устранение всех системных отладчиков (HiJack);
- Восстановление файлов HOSTS к первоначальному состоянию;
- Восстановление системных файлов, если он не подписаны (Userinit, taskmgr, logonui, ctfmon);
- Перемещение всех неподписанных заданий (.job) в папку AutorunsDisabled;
- Удаление всех найденных файлов Autorun.inf на всех дисках;
- Восстановление загрузочного сектора (в среде WinPE).
Программа – настоящая находка для начинающих пользователей, поскольку позволяет выбрать режим автоматической проверки и коррекции, в процессе которой вирус и последствия его активности будут найдены и нейтрализованы за несколько минут практически без участия пользователя. После перезагрузки машина будет готова продолжить работу в нормальном режиме.
Последовательность действий предельно проста:
Скачиваем файл AntiWinLockerLiveCD нужной версии на сторонний компьютер в формате ISO, вставляем CD компакт-диск в его дисковод и затем, щелкнув правой кнопкой мышки по файлу выбираем ”Открыть с помощью”, далее выбираем “Средство записи образов дисков Windows” – “Записать” и переписываем образ на CD-диск. Загрузочный диск готов.
- Помещаем диск с образом в дисковод заблокированного ПК/ноутбука с предварительно настроенными параметрами BIOS (см. выше);
- Ожидаем загрузки образа LiveCD в оперативную память.
- После запуска окна программы выбираем заблокированную учетную запись;
- Выбираем для обработки данных версию Professional или Lite. Бесплатная версия (Lite) подходит для решения почти всех поставленных задач;
- После выбора версии выбираем диск, на котором установлен заблокированный Windows (если не выбран программой автоматически), учетную запись Пользователя, используемую ОС и устанавливаем параметры поиска.
Нажимаем ”Старт”/”Начать лечение”.
Ожидаем результатов проверки. Проблемные файлы по ее окончании будут подсвечены на экране красным цветом.
Как мы и предполагали, особое внимание при поиске вируса в приведенном примере программа уделила традиционным ареалам его обитания. Утилитой зафиксированы изменения в параметрах Shell, отвечающих за графическую оболочку ОС. После лечения и закрытия всех окон программы в обратном порядке, нажатия кнопки ”Выход” и перезагрузки знакомая заставка Windows вновь заняла свое привычное положение. Наша проблема решена успешно.
В числе дополнительных полезных инструментов программы:
- Редактор реестра;
- Командная строка;
- Диспетчер задач;
- Дисковая утилита TestDisk;
- AntiSMS.
Если автоматическая чистка не принесла результатов, вы всегда можете воспользоваться возможностями Менеджера Файлов, проверив пути C: или D:\Documents and Settings\Имя пользователя\Local Settings\Temp (Для ОС Windows XP) и С: или D:\Users\Имя пользователя\AppData\Local\Temp (Для Windows 7). Если баннер прописался в автозагрузке, есть возможность анализа результатов проверки в ручном режиме, позволяющего отключить элементы автозагрузки.
Trojan.Winlock, как правило, не зарывается слишком глубоко, и достаточно предсказуем. Все, что нужно для того, чтобы напомнить ему свое место – пару хороших программ и советов, ну и, конечно же, осмотрительность в безграничном киберпространстве.
Профилактика
Чисто не там, где часто убирают, а там, где не сорят! - Верно сказано, а в случае с веселым троянцем, как никогда! Для того, чтобы свести к минимуму вероятность заразы стоит придерживаться нескольких простых и вполне выполнимых правил.Пароль для учетной записи Админа придумайте посложней, что не позволит прямолинейному зловреду подобрать его методом простейшего перебора.
В настройках браузера отметьте опцию очищения кэша после сеанса, запрет на исполнение файлов из временных папок браузера и пр.
Всегда имейте под рукой лечайщий диск/флэшку LiveCD (LiveUSB), записанную с доверенного ресурса (торрента).
Сохраните установочный диск с виндой и всегда помните, где он находится. В час «Ч» из командной строки вы сможете восстановить жизненно важные файлы системы до исходного состояния.
Не реже чем раз в две недели создавайте контрольную точку восстановления.
Любой сомнительный софт - кряки, кайгены и пр. запускайте под виртуальным ПК (VirtualBox и пр.). Это обеспечит возможность легко восстановить поврежденные сегменты средствами оболочки виртуального ПК.
Регулярно выполняйте резервное копирование на внешний носитель. Запретите запись в файлы сомнительным программам.
Удачи вам в начинаниях и только приятных, а главное - безопасных встреч!
Послесловие от команды iCover
Надеемся, что предоставленная в этом материале информация будет полезна читателям блога компании iCover и поможет без особого труда справиться с описанной проблемой за считанные минуты. А еще надеемся, что в нашем блоге вы найдете много полезного и интересного, сможете познакомиться с результатами уникальных тестов и экспертиз новейших гаджетов, найдете ответы на самые актуальные вопросы, решение которых зачастую требовалось еще вчера.).
Приветствую!
В связи с массовым распространением гаджетов и устройств, которые работают под управлением операционной системы Android, всё актуальнее становится вопрос об их защите и избавления от вредоносного программного обеспечения.
Вредоносное программное обеспечение подразделяется на категории, каждое из которых обладает своими свойствами и особенностями. В данной статье мы разберём наиболее часто встречающиеся категории вредоносного программного обеспечения для операционной системы Android и рассмотрим наиболее действенные методы борьбы с этим злом.
Удаление трояна
Наиболее популярным типом вредоносного ПО является троян . Его деструктивная деятельность заключается в сборе и отправке преступникам конфиденциальной информации, начиная от личной переписки в мессенджерах и заканчивая данными банковской карты при совершении платежа. Помимо этого данный зловред может осуществлять скрытую отправку смс на короткие платные номера, чем наносит финансовый ущерб владельцу устройства.
Для избавления от зловреда следуйте инструкции:
1)
Установите из Play Market
одно из популярных антивирусных решений для Android: AVG
, Kaspersky
, Dr.Web
и просканируйте систему на наличие вирусов.
2)
После окончания сканирования удалите все найденные подозрительные файлы.
Как правило, озвученных действий достаточно для того, чтобы очистить систему Android от троянов
.
Удаление рекламного вируса
Приложения, добавляющие рекламу также весьма распространены. В отличие от троянов, их вредоносное действие заключается в добавлении рекламы в интерфейс системы и браузер. Вследствие этого замедляется отзывчивость интерфейса и увеличивается расход трафика!
Наиболее распространённый путь попадания этого типа зловредов в систему – через установку псевдо-бесплатных игр.
Наиболее эффективным способом можно назвать установку приложения AdAvay , которое заблокирует доступ к адресам, с которых загружается рекламный контент.
Однако этот способ сопережён с некоторыми трудностями, а именно необходимостью получения root
доступа на устанавливаемом устройстве (без него приложение не работает) и установку приложения с сайта, для чего в настройках устройства необходимо поставить галочку у пункта Неизвестные источники
, который находится в Настройки
-> Безопасность
.
Если вас не останавливают эти сложности, то в результате вы практически полностью избавитесь
от раздражающей всплывающей и мерцающей рекламы в приложениях, а также браузере.
Удаление баннера-вымогателя
Данная категория зловредов блокирует доступ к интерфейсу гаджета и требует у владельца перевод денег за разблокировку. Никогда не переводите деньги мошенникам т.к. нет никаких гарантий, что после оплаты вы вернёте доступ к своему гаджету.
При обнаружении данного зловреда сделайте следующее:
1) Выключите аппарат и извлеките SIM-карту.
2) Включите аппарат и максимально быстро (до появления баннера-блокиратора) зайдите в Настройки -> Для разработчиков и там поставьте галочку напротив пункта Отладка по USB , а после в меню укажите подозрительное приложение. И, наконец, поставьте галочку у ставшего активным пункта Подождите, пока подключится отладчик .
Если в меню Выберите приложение для отладки
у вас отображается множество приложений, и вы затрудняетесь в определении вредоносного, то его название с очень высокой степенью вероятности можно подчеркнуть в Настройки
–> Безопасность
–> Администраторы устройства
.
Для повышения собственных привилегий и усложнения удаления, зловред, как правило, прописывает себя в этом списке.
Также может отсутствовать раздел меню Для разработчиков
. Для его активации необходимо зайти в меню О планшетном ПК
и несколько раз подряд нажать по пункту Номер сборки
.
Возможно, вам придётся несколько раз перезагружать устройство, дабы успеть проделать необходимые манипуляции.
3) После проведённых манипуляций интерфейс системы будет разблокирован и вам остаётся только в Настройки –> Безопасность –> Администраторы устройства снять галочку с вредоносного приложения. Это необходимо сделать для снятия привилегий, которые блокируют удаление вредоносного приложения штатными средствами системы.
4) Удалите вредоносное приложение штатными средствами, для этого проследуйте в Настройки -> Приложения -> <имя приложения>
Краткий итог
Следуя приведённым инструкциям, вы сможете быстро и без особых усилий справиться с самым разнообразным типом зловредов, что встречаются на смартфонах и планшетах, работающих на операционной системе Android.
Здравствуйте уважаемые читатели блога сайт Давненько я хотел написать статью о том как удалить вирус вымогатель (Winlocker) блокирующий вход в систему вашего компьютера.
Чаще всего с такой проблемой сталкиваются неопытные пользователи, которые по чистой случайности или из-за своей халатности стали жертвами мошенников. По своей неопытности многие отправляют СМС для разблокировки баннера с надеждой получить код и тратят при этом не мало денег, прежде чем становиться ясно, что это всего лишь вирус вымогатель заразивший ваш компьютер, с которым можно бороться и без денежных вложений.
Скажу сразу, что ни в коем случае не платите деньги мошенникам, все что написано на таком смс баннере является разводом чистой воды. Даже если вы надумали пойти по наименьшему сопротивлению и собираетесь заплатить то не факт, что это решит вашу проблему.
Также не прибегайте к крайней мере – не переустанавливайте систему. Любую вредоносную программу можно удалить простым способом и без последствий. Переустановка системы может повлечь за собой полное удаление всей необходимой информации. К ней можно прибегать только в том случае если ничего ценного на вашем компьютере нет.
Влияние вируса вымогателя на работу вашей системы
Winlocker полностью приостанавливает работу операционной системы, закрывает доступ к запуску программ и рабочего стола. Вирус вымогатель блокирует доступ к диспетчеру задач и запускается сразу после начала загрузки windows. Иногда случается так, что вредоносная программа закрывает возможность запуска системы в безопасном режиме, в этой ситуации решение проблемы будет на много более сложным.
Вирусная программа попадая на устройство записывает себя несколько раз в разные места, чтобы ее было сложно идентифицировать и тем более удалить.
Расскажу пару слов в связи с чем происходит такая ситуация. Чаще всего появление такого типа вируса можно наблюдать на тех компьютерах где отсутствует антивирусная защита. Чтобы защитить ваше устройство от вредоносных программ советую прочитать статью . Также необходимо понимать что на сайтах с нужно быть предельно аккуратными и не переходить по незнакомым ссылкам. Еще очень большая вероятность подцепить такую заразу может возникнуть после скачивания и установки программы с непроверенного ресурса. При работе в интернете не забывайте защищать свой ПК, малейшая бдительность поможет избежать дальнейших проблем.
Обязательно производите профилактику компьютера, обновляйте антивирус, проводите периодическое сканирование вашего устройства на наличие вредоносных программ (можете настроить автоматическое сканирование в определенный день и время). Если соблюдать простые правила, то можно избежать заражения.
Итак, если вы все-таки решили бороться с этой проблемой самостоятельно то давайте рассмотрим несколько вариантов как разблокировать вирус вымогатель. Начнем мы с самого простого способа и будем постепенно двигаться к более сложному. Если какой-то из вариантов вам поможет, то останавливайтесь на нем.
Запуск команд из командной строки
Недавно узнал о существовании самого простого способа, но он не на всех машинах способен устранить проблему.
Первое что нам необходимо сделать, это . Перегружаем компьютер и во время загрузки периодически нажимаем клавишу F8. Если вы все правильно делали, то перед вами должно отобразиться меню дополнительных вариантов загрузки Windows. В данном меню выбираете возможность запуска системы в Безопасном режиме с поддержкой командной строки и нажимаете Enter. После загрузки появиться только командная строка без рабочего стола и присутствующих на нем ярлыков и иконок. По очереди вводим следующие команды
- команда cleanmgr – средство Cleanmgr.exe предназначено для удаления ненужных и устаревших файлов;
- команда rstrui – команда запуска восстановления системы (данная команда будет работать только в том случае, если вы в настройках системы не отключали ).
После последовательного ввода команд, перегружаем компьютер и проверяем наличие баннера. Если он отсутствует, то этот способ нам помог, если нет, то переходим к следующему.
Убираем блокировщик из автозагрузки
Как и в первом способе запускаем устройство и нажатием клавиши F8 загружаем меню дополнительных вариантов. После чего выбираем пункт Безопасный режим и нажимаем Enter. Запускаем функцию Выполнить, через меню Пуск или одновременным нажатием клавиш Ctrl+R и в поле выполнить вводим команду msconfig. После чего запустится окно параметров загрузки Windows. Открываем вкладку Автозагрузка и стараемся найти подозрительные программы.
Чаще всего название таких программ состоит из беспорядочного набора букв. Если такая программа была вами обнаружена, то снимаем галочку напротив нее. Также необходимо посмотреть в какой папке она храниться и удалить ее. Перед тем как произвести эти действия советую ознакомиться с материалами статьи
После проделанных операций перезагружаем компьютер и проверяем устранена ли проблема. Если смс вирус все еще запрещает доступ, то переходим к следующему способу.
Чистим реестр от следов баннера
Если вы дошли до этого пункта и предыдущие попытки оказались тщетными, то данный способ должен помочь вам разблокировать вирус вымогатель на 98%.
Хочу отметить, что все действия перечисленные ниже необходимо проводить предельно аккуратно и строго по инструкции. Редактируя разделы реестра, неправильными действиями можно нанести непоправимый вред системе и останется только переустановить windows.
Итак, запускаем систему в безопасном режиме, о том как это сделать описано выше. Дожидаемся загрузки и запускаем опцию “Выполнить” в поле открывшегося окна вводим команду regedit. После ввода команды перед вами откроется окно редактора реестра.
Затем перейдите по следующему пути HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
В правой колонке вы сможете увидеть два параметра Shell и Userinit. Напротив этих параметров есть столбец значение. В этих столбцах не должно быть ничего лишнего (напротив параметра Shell должно быть значение explorer.exe, напротив Userinit значение userinit.exe). Если там присутствуют дополнительные значения, то это результат действия вируса и вы смело можете все удалять.
Также для успокоения совести советую пройти по следующему адресу в настройке реестра …..
\
Microsoft
\
Windows
\
CurrentVersion
\
Run
и проверить нет ли в правом поле окна лишних и незнакомых вам программ, если такие обнаружены, то удаляйте их.
Перезагружаем компьютер и радуемся исчезновению вируса.
Я почти на сто процентов уверен, что если все сделано правильно то баннер блокирующий запуск windows исчезнет. Но на всякий случай приведу еще один способ как удалить вымогатель. Он конечно не такой серьезный как остальные, но порой бывает не менее действенным.
Перевод даты в Bios
При загрузке системы заходим в Bios и изменяем дату и время на неделю вперед. Случается так, что баннер пропадает, но это случается очень редко.
Обязательно после того, как вы смогли избавиться от блокировщика Windows, просканируйте свой компьютер на наличие вредоносных программ. Сканирование обязательно провести полное, а не быстрое. А также необходимо подумать над качественной защитой вашего устройства. Если у вас нет денег на платный антивирус такой как , то можете скачать бесплатный антивирус под названием .
И окончательным этапом будет проверка вашего ПК на наличие вредоносных программ. Для этого существует несколько бесплатных программ, о которых я расскажу в следующих статьях своего блога
Очень надеюсь, что я помог вам разобраться в том как удалить баннер вымогатель, но если остались вопросы, задавайте их смело в комментариях и я с радостью постараюсь помочь.
Наверняка, каждый четвертый пользователь персонального компьютера сталкивался с различным мошенничеством в интернете. Один из видов обмана – это баннер, который блокирует работу Windows и требует отправить СМС на платный номер или требует криптовалюту. По сути это просто вирус.
Чтобы бороться с баннером-вымогателем, нужно понять, что он собой представляет и как проникает в компьютер. Обычно баннер выглядит так:
Но могут быть и другие всевозможные вариации, но суть одна – жулики хотят заработать на вас.
Пути попадания вируса в компьютер
Первый вариант «заражения» — это пиратские приложения, утилиты, игры. Конечно, пользователи интернета привыкли получать большинство желаемого в сети «на халяву», но при загрузке с подозрительных сайтов пиратского ПО, игр, различных активаторов и прочего, мы рискуем заразиться вирусами. В этой ситуации обычно помогает .
Windows может быть заблокирован из-за скачанного файла с расширением «.exe ». Это не говорит о том, что нужно отказываться от загрузки файлов с таким расширением. Просто помните, что «.exe » может относиться только к играм и программам. Если вы качаете видео, песню, документ или картинку, а в её названии на конце присутствует «.exe», то шанс появления баннера вымогателя резко возрастает до 99.999%!
Есть ещё хитрый ход с, якобы, необходимостью обновления Flash плеера или браузера. Может быть так, что вы будете работать в интернете, переходить со странички на страничку и однажды обнаружите надпись что «ваш Flash плеер устарел, обновитесь пожалуйста». Если вы кликаете на этот баннер, и он вас ведёт не на официальный сайт adobe.com, то это 100% вирус. Поэтому проверяйте, прежде чем кликнуть по кнопку «Обновить». Лучшим вариантом будет игнорирование подобных сообщений вовсе.
И последнее, устаревшие обновления Windows ослабляют защиту системы. Чтобы компьютер был защищенным, старайтесь вовремя устанавливать обновления. Эту функцию можно настроить в «Панели управления -> Центр обновления Windows» на автоматический режим, чтобы не отвлекаться.
Как разблокировать Windows 7/8/10
Один из простых вариантов убрать баннер-вымогатель – это . Помогает 100%, но переустанавливать Windows имеет смысл тогда, когда у вас нет важных данных на диске «С», которые вы не успели сохранить. При переустановке системы, все файлы удалятся с системного диска. Поэтому, если у вас нет желания заново устанавливать программное обеспечение и игры, то вы можете воспользоваться другими способами.
После лечения и успешного запуска системы без баннера вымогателя нужно провести дополнительные действия, иначе вирус может снова всплыть, или просто будут некоторые проблемы в работе системы. Всё это есть в конце статьи. Вся информация проверена лично мной! Итак, начнем!
Kaspersky Rescue Disk + WindowsUnlocker нам поможет!
Будем использовать специально разработанную операционную систему. Вся сложность в том, что на рабочем компьютере нужно скачать образ и или (пролистайте статьи, там есть).
Когда это будет готово, нужно . В момент запуска появится небольшое сообщение, типа «Press any key to boot from CD or DVD». Здесь нужно нажать любую кнопку на клавиатуре, иначе запустится заражённый Windows.
При загрузке нажимаем любую кнопку, затем выбираем язык – «Русский», принимаем лицензионное соглашение с помощью кнопки «1» и используем режим запуска – «Графический». После запуска операционной системы Касперского не обращаем внимания на автоматически запустившийся сканер, а идём в меню «Пуск» и запускаем «Терминал»
Откроется чёрное окошко, куда пишем команду:
windowsunlocker
Откроется небольшое меню:
Выбираем «Разблокировать Windows» кнопкой «1». Программа сама всё проверит и исправит. Теперь можно закрыть окно и проверить, уже запущенным сканером, весь компьютер. В окошке ставим галочку на диске с ОС Windows и жмём «Выполнить проверку объектов»
Ждём окончания проверки (может быть долго) и, наконец, перезагружаемся.
Если у вас ноутбук без мышки, а тачпад не заработал, то предлагаю воспользоваться текстовым режимом диска Касперского. В этом случае после запуска операционной системы нужно сначала закрыть открывшееся меню кнопкой «F10», затем ввести в командной строке всё ту же команду: windowsunlocker
Разблокировка в безопасном режиме, без специальных образов
Сегодня вирусы типа Winlocker поумнели и блокируют , поэтому скорей всего у вас ничего не получится, но если образа нет, то пробуйте. Вирусы бывают разные и у всех могут сработать разные способы, но принцип один.
Перезагружаем компьютер. Во время загрузки нужно нажимать клавишу F8, пока не появится меню дополнительных вариантов запуска Windows. Нам нужно с помощью стрелочек «вниз» выбрать из списка пункт, который называется «Безопасный режим с поддержкой командной строки» .
Вот сюда мы должны попасть и выбрать нужную строку:
Далее, если всё пойдёт хорошо, то компьютер загрузится, и мы увидим рабочий стол. Отлично! Но это не значит что теперь всё работает. Если не удалить вирус и просто перезагрузиться в нормальном режиме, то банер снова всплывёт!
Лечимся средствами Windows
Нужно восстановить систему , когда баннера блокировщика ещё не было. Внимательно прочитайте статью и сделайте всё что там написано. Под статьёй есть видео.
Если не помогло, то нажимаем кнопки «Win+R» и пишем в окошке команду чтобы открыть редактор реестра:
regedit
Если же вместо рабочего стола запустилась чёрная командная строка, то просто вводим команду «regedit» и жмём «Enter». Нам предстоит проверить некоторые разделы реестра на наличие вирусных программ, или если быть точнее – вредоносного кода. Для начала этой операции зайдите вот по этому пути:
HKEY_LOCAL_MACHINE\Software\Microsoft\WinNT\CurrentVersion\Winlogon
Теперь по порядку проверяем такие значения:
- Shell – здесь обязательно должно быть написано «explorer.exe», других вариантов быть не должно
- Userinit – здесь текст должен быть «C:\Windows\system32\userinit.exe,»
Если ОС установлена на другой диск, отличный от C:, то соответственно и буква там будет другая. Чтобы изменить неправильные значения, нажмите правой кнопкой мыши по строчке, которую нужно отредактировать, и выберите пункт «изменить»:
Затем проверяем:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Здесь вообще не должно быть ключей Shell и Userinit, если есть – удаляем их.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
И ещё обязательно:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
Если не уверены, нужно ли удалять ключ, можно просто к параметру вначале дописать единичку «1». Путь окажется с ошибкой, и эта программа просто не запустится. Потом можно будет вернуть как было.
Теперь нужно запустить встроенную утилиту очистки системы, делаем это так же, как запускали редактор реестра «regedit», но пишем:
cleanmgr
Выбираем диск с операционной системой (по умолчанию C:) и после сканирования отмечаем все галочки, кроме «Файлы резервной копии пакета обновления»
И жмём «ОК». Этим действием мы, возможно, отключили автозапуск вируса, а дальше нужно почистить следы его пребывания в системе, а об этом – читайте в конце статьи.
Утилита AVZ
Заключается в том, что в безопасном режиме мы запустим известную антивирусную утилиту AVZ. Кроме поиска вирусов программа имеет просто массу функций исправления системных проблем. Этот способ повторяет действия по заделыванию дыр в системе после работы вируса, т.ч. для ознакомления с ним переходим к следующему пункту.
Исправление проблем после удаления вируса-вымогателя
Поздравляю! Если вы это читаете, значит система запустилась без баннера. Теперь нужно и проверить им всю систему. Если вы пользовались спасительным диском Касперского и провели проверку там, то этот пункт можно пропустить.
Ещё может быть одна неприятность, связанная с деятельностью злодея – вирус может зашифровать ваши файлы. И даже после полного его удаления вы просто не сможете воспользоваться своими файлами. Для их дешифрации нужно использовать программы с сайта Касперского : XoristDecryptor и RectorDecryptor. Там же есть и инструкция по использованию.
Но и это ещё не всё, т.к. винлокер скорей всего напакостил в системе, и будут наблюдаться различные глюки и проблемы. Например, не будет запускаться редактор реестра и диспетчер задач. Чтобы полечить систему воспользуемся программой AVZ.
При загрузке с помощью Google Chrome может возникнуть проблема, т.к. этот браузер считает программу вредоносной и не даёт её скачать! Этот вопрос уже поднимался на официальном форуме гугла, и на момент написания статьи всё уже нормально .
Чтобы всё-таки скачать архив с программой, нужно перейти в «Загрузки» и там нажать «Скачать вредоносный файл» 🙂 Да, понимаю, что выглядит это немного глупо, но видимо хром считает, что программа может нанести вред обычному пользователю. И это правда, если тыкать там куда ни попадя! Поэтому строго следуем инструкции!
Распаковываем архив с программой, записываем на внешний носитель и запускаем на заражённом компьютере. Идём в меню «Файл -> Восстановление системы» , отмечаем галочки как на картинке и выполняем операции:
Теперь идём по следующему пути: «Файл -> Мастер поиска и устранения проблем» , далее переходим в «Системные проблемы -> Все проблемы» и кликаем по кнопке «Пуск». Программа просканирует систему, и затем в появившемся окне выставляем все галочки кроме «Отключение обновления операционной системы в автоматическом режиме» и тех, которые начинаются с фразы «Разрешён автозапуск с…».
Кликаем по кнопке «Исправить отмеченные проблемы». После успешного завершения переходим по: «Настройки и твики браузера -> Все проблемы» , здесь выставляем все галочки и точно так же нажимаем на кнопку «Исправить отмеченные проблемы».
То же самое делаем и с «Приватностью», но здесь не ставьте галочки, которые отвечают за чистку закладок в браузерах и что вам ещё покажется нужным. Заканчиваем проверку в разделах «Чистка системы» и «Adware/Toolbar/Browser Hijacker Removal».
Под конец закрываем окно, при этом не выходя из AVZ. В программе находим «Сервис -> Редактор расширений проводника» и убираем галочки с тех пунктов, которые помечены черным цветом. Теперь переходим по: «Сервис -> Менеджер расширений Internet Explorer» и полностью стираем все строки в появившемся окне.
Выше я уже сказал, что этот раздел статьи также является одним из способов лечения Windows от банера-вымогателя. Так вот, в этом случае скачать программу нужно на рабочем компьютере и затем записать на флешку или на диск. Все действия проводим в безопасном режиме. Но есть ещё один вариант запустить AVZ, даже если не работает безопасный режим. Нужно запуститься, из того же меню при загрузке системы, в режиме «Устранение неполадок компьютера»
Если оно у вас установлено, то будет отображаться на самом верху меню. Если там нет, то попробуйте запустить Виндовс до момента появления баннера и выключить компьютер из розетки. Затем включите – возможно будет предложен новый режим запуска.
Запуск с установочного диска Windows
Ещё один верный способ – это загрузиться с любого установочного диска Windows 7-10 и выбрать там не «Установку» , а «Восстановление системы» . Когда средство устранения неполадок запущено:
- Нужно там выбрать «Командная строка»
- В появившемся чёрном окне пишем: «notepad», т.е. запускаем обычный блокнот. Его мы будем использовать как мини-проводник
- Идём в меню «Файл -> Открыть», тип файлов выбираем «Все файлы»
- Далее находим папку с программой AVZ, кликаем правой кнопкой по запускаемому файлу «avz.exe» и запускаем утилиту с помощью пункта меню «Открыть» (не пункт «Выбрать»!).
Если ничего не помогает
Относится к случаям, когда вы, по каким-то причинам, не можете загрузиться с флешки с записанным образом Касперского или программой AVZ. Вам остаётся только достать из компьютера жёсткий диск и подключить его вторым диском к рабочему компьютеру. Затем загрузиться с НЕЗАРАЖЁННОГО жёсткого диска и просканировать СВОЙ диск сканером Касперского.
Никогда не отправляйте СМС-сообщения, которые требуют мошенники. Каким бы ни был текст, не отправляйте сообщения! Старайтесь избегать подозрительных сайтов и файлов, а вообще почитайте . Следуйте инструкции, и тогда ваш компьютер будет в безопасности. И не забывайте про антивирус и регулярное обновление операционной системы!
Вот видео, где всё видно на примере. Плейлист состоит из трёх уроков:
PS: какой способ помог Вам? Напишите об этом в комментариях ниже.
