Tehokkaat menetelmät ransomware-bannerin (winlocker) poistamiseen. Poista ransomware estobannerit työpöydältä Kuinka päästä eroon ransomware-bannerista

17. heinäkuuta

Banneri - kiristäjä, mikä se on ja kuinka käsitellä sitä ?!

Hei rakkaat blogivieraat. Kuten aina, Dmitri Smirnov on sinuun yhteydessä, ja tässä artikkelissa haluan kertoa sinulle, mitä kiristysbanneri on ja kuinka se voidaan poistaa helposti ja yksinkertaisesti.


Se on tällä hetkellä hyvin yleinen virustyyppi. Niiden saaminen on erittäin helppoa - pelkkä Internetin selaaminen voi jo johtaa tällaiseen banneriin. Eikä ole mitään takeita siitä, että uusin maksullinen virustorjunta päivitetyillä tietokannoilla ei menetä sitä. Tarkkaan ottaen ransomware-bannerit eivät kuitenkaan ole viruksia sanan perinteisessä merkityksessä. Tämä ei ole ollenkaan hallitsemattomasti moninkertaistuva ohjelmakoodi, joka saastuttaa yhä enemmän tiedostoja, muuttaa niiden sisältöä ja siirtyy koneelta koneelle.

Bannerkiristäjä - HIV 2004 - 2010!

Tässä tapauksessa se olisi helppo tunnistaa hajautetun allekirjoituksen perusteella, kuten virustentorjunta yleensä tekee. Mutta ransomware-banneri ei ole sellainen, se saastuttaa vain yhden, kohdekoneen (jolta tartunnan saaneelle sivustolle päädyttiin). Seuraavaksi banneri rekisteröi itsensä automaattiseen lataukseen (tämä on mahdollista monissa paikoissa ja tehdään yksinkertaisesti muokkaamalla rekisteriä - tällaisen toiminnon ohjelmakoodi on minimaalinen), ehkä sitä ennen se siirtää itsensä jonnekin muualle (käyttöjärjestelmän järjestelmähakemistoon, nimeää sen uudelleen), ja sitten samassa rekisterissä se estää itsensä poistamisen käytöstä - se estää ollenkaan käynnistämästä prosessieditoria, rekisteriä. Näiden toimintojen tulos on hyvin tiedossa – koko ruudulle avautuu suuri banneri, usein pornografinen tai vaihtoehtoisesti ilmoittava luvattoman käytön käytöstä. Windows-versiot jne. Käyttäjä ei voi tehdä mitään, kaikki on estetty, ja banneri pyytää lähettämään tekstiviestin (tietysti maksullinen) tiettyyn lyhytnumeroon, ikään kuin vastauksena tulisi koodi, jonka avulla kaikki voidaan avata. Joidenkin raporttien mukaan vain Venäjällä miljoonat ihmiset todella lähettivät tällaisia ​​tekstiviestejä, ja useimmat heistä eivät tietenkään saaneet mitään koodia. Tietysti poikkeuksiakin on, jotkut bannerit todella toimivat "rehellisesti" - koodi tulee, ja jopa yksi tapa päästä eroon bannerista on etsiä Internetistä yleisimmin käytetyt koodit ja kokeilla niitä. Mutta tämä on hyvin amatöörimäinen tapa, joka on yleensä tuomittu epäonnistumaan. Banner-ransomware on normaalia ohjelmisto, helposti määritettävissä järjestelmässä "silmällä" ja helposti poistettavissa. Se on vain, että valmistautumattomalle käyttäjälle sen läsnäolo näyttää kauhealta - tietokone sallii vain koodin syöttämisen, ja uudelleenkäynnistyksen jälkeen Reset-painikkeella kaikki toistuu uudelleen.

Harkitse tapoja poistaa ransomware-bannerit

Ne voidaan jakaa ehdollisesti kahteen ryhmään - niihin, jotka edellyttävät tietokoneen uudelleenkäynnistämistä ja sen käynnistämistä toisesta tietovälineestä (toisesta kiintolevystä, CD-levystä, USB-muistitikusta), ja niihin, jotka eivät vaadi. Ensimmäinen menetelmäryhmä on luotettavampi, koska sattuma on aina mahdollista, kun erityisen hyvin kirjoitettu banneri ei anna itseään poistua jollain muulla tavalla, sellaista menetelmää ei yksinkertaisesti ole (käyttäjä itse on syyllinen, ja on olemassa yksinkertaisia ​​​​menetelmiä tällaisten tilanteiden estämiseksi). Hoito suoritetaan yleisessä tapauksessa seuraavasti - tietokone käynnistetään uudelleen (Reset-painikkeella, yleensä banneri ei jätä muuta vaihtoehtoa), ladataan toisesta tietovälineestä, toisesta käyttöjärjestelmästä.

Täällä on tuhansia vaihtoehtoja - LiveCD Linuxin eri versioihin perustuvilla käyttöjärjestelmillä (on myös ratkaisuja virustentorjuntavalmistajilta, esimerkiksi tunnettu tuote Dr. Weber, sivustolta ladatun levykuvan erityinen apuohjelma, joka itse poistaa suurimman osan bannereista), perustuu "rivitettyyn" Windows XP Embedded -käyttöjärjestelmään, tai yksinkertaisesti mahdollistaa pseudograafisen käyttöliittymän valinnan, jonka avulla voit ajaa vain useita. vain virusten torjunnassa (Hiren's Boot CD jne.). Kun käynnistät erillisestä käyttöjärjestelmästä, sinun on tarkistettava tartunnan saanut kiintolevy, poistettava tiedosto, johon banneri on tallennettu, ja palautettava kaikki muutokset rekisteriin. Usein tämän kaiken tekee yksi erityinen apuohjelma. Voit tehdä ilman skannausta apuohjelmia ollenkaan ja tehdä kaiken vielä nopeammin manuaalisesti kääntöpuoli- Katso ensin, mitä ulkopuolinen lataa järjestelmän käynnistyksen yhteydessä (useimmissa tapauksissa ransomware-banneri antaa itsensä ulos juuri tässä vaiheessa, rekisterissä näkyy, että jokin käsittämättömän nimiinen tiedosto ladataan järjestelmän käynnistyksen yhteydessä tai hakemistosta, kuten C:\Documents and Settings\Default User\Local Settings\Temp\). Voit tehdä tämän käyttämällä eri ohjelmia tarkastellaksesi rekisteritiedostojen sisältöä. Sellaisia ​​on olemassa jopa MS-DOSissa. Yksi kätevimmistä tämän tyyppisistä ohjelmista on HiJackThis (Windowsissa) - se tarkastelee ehdottomasti kaikkia järjestelmässä olevia käynnistyspolkuja. Tämän ohjelman tuotoksessa tulee varmasti olemaan banneri - jos sellainen on ollenkaan. Itse asiassa bannerikiristäjä on jo läpäissyt viruksen, kuten tunkeutuja!


No, sitten kaikki on yksinkertaista - tiedosto poistetaan (se ei sallisi tätä tehdä, jos se ladataan - mutta tällä hetkellä ladataan toinen käyttöjärjestelmä, eikä haittaohjelma pysty mihinkään), ja tietokone käynnistyy uudelleen, jo normaalisti. Jos rekisterissä on muutoksia, jotka estävät tehtävienhallinnan käynnistämisen tms., ne voidaan jo helposti palauttaa, ainakin tuomalla *. reg, joka löytyy Internetistä. Sisäänrakennetun rekisterieditorin käynnistämisen palauttaa tiedosto, jossa on teksti, kuten REGEDIT4“DisableRegistryTools”=dword:0


Bannerkiristäjä. Taistelu banneria vastaan ​​voidaan tehdä ilman erityistä käynnistyslevyä. Suurin osa näistä bannereista tekee kaikki muutokset vain nykyisen käyttäjän profiilissa, jonka alla työtä tehtiin tartuntahetkellä. Ja kaikki mitä tarvitaan, on normaali ylikuormitus, kirjautuminen sisään eri käyttäjänä (ja hallinnolliset oikeudet), ja löytää banneritiedoston, joka on toisen käyttäjän alla ja jota ei ole ladattu. Jos tietyssä käyttöjärjestelmässä on yleensä vain yksi käyttäjä, jolla on järjestelmänvalvojan oikeudet, joiden alaisuudessa työtä tehdään jatkuvasti, eikä muita ole, tämä on törkeä laskuvirhe, ja tämä on korjattava välittömästi. Paras käytäntö yleensä on tämä - työskennellä jatkuvasti sellaisen käyttäjän alaisuudessa, jolla ei ole järjestelmänvalvojan oikeuksia. Ja kaikkeen, joka vaatii tällaisia ​​oikeuksia, käytä "Suorita nimellä ..." - uuden ohjelmiston asentamiseen ja muihin vastaaviin tehtäviin. Tämä suojaa käyttöjärjestelmää paitsi ransomware -bannereilta, mutta myös suurimmalta osalta muita viruksia, eikä vaadi järjestelmäresursseja toimiakseen. On jopa hauskoja tilanteita, joissa banneri itse tai jokin muu haittaohjelma pyytää toimimaan järjestelmänvalvojana asennusta varten. On monia muita ennaltaehkäiseviä toimenpiteitä, jotka varmistavat järjestelmän tartunnalta - säännöllinen järjestelmätietojen arkistointi, levyjen automaattisen käynnistyksen kielto, automaattisesta latauksesta vastaavien rekisterihaarojen muokkaamisen kielto pysyvälle käyttäjälle ja monet muut.
Muuten, tietyssä tapauksessa, jos vain järjestelmän ainoan järjestelmänvalvojan profiili osoittautui saastuneeksi, mutta siellä on ainakin yksi muu profiili ilman järjestelmänvalvojan oikeuksia, voit käsitellä sitä sen alta - suorita sama HiJackThis järjestelmänvalvojan puolesta. Joten hän voi tehdä hakuja kaikista rekisterin haaroista ilman rajoituksia eikä aiheuta banneria käynnistymään. Jos tartunnan saanutta tiedostoa ei voida poistaa tietyn käyttäjän alta, sinun on suoritettava järjestelmänvalvojan oikeuksilla ("Suorita ...") mikä tahansa tiedostonhallinta - Total Commander, Far jne. - ja poistettava siitä.


Tilanne on mahdollinen, kun käsillä ei ole mitään - ei käynnistyslevyjä, ei mitään. Vain "alaston" Windows, joka on jo saanut tartunnan. Ja tässä tapauksessa ratkaisu ongelmaan on mahdollista, täällä on jo tarpeen käyttää virheitä banneriviruksen kirjoittamisessa, jotka ovat usein sallittuja. Esimerkiksi banneri ei välttämättä peitä koko näyttöä kokonaan. On mahdollista mennä työpöydälle, valita "Oma tietokone" Tab-näppäimellä, käynnistää manuaalisesti "taskmgr" - ja nyt tehtävänhallinta on jo näytöllä, siitä on jo mahdollista voittaa banneri. Toinen ratkaisu on käynnistää vähintään tavallinen muistilehtiö ("muistilehtiö", jos kirjoitat sen sokeasti, bannerin taakse), kirjoita siihen muutama merkki ja paina sitten Ctrl-Alt-Delete ja lähettää järjestelmä käynnistymään uudelleen. Monet prosessit sulkeutuvat (mukaan lukien banneri), mutta muistilehtiö kysyy, tallennetaanko tiedosto. Peruuttamalla kaiken tässä vaiheessa voit pysäyttää ylikuormituksen ja etsiä sitten banneritiedoston. Toinen alkuperäinen tapa (vaatii kuitenkin alustavia toimia) on käyttää sisäänrakennettua käsittelijää useisiin näppäinpainalluksiin Windowsissa - "tahmea".
Kuinka se toimii - kun painat mitä tahansa painiketta viisi kertaa, näyttöön tulee ikkuna, jossa kerrotaan näppäimistä, jossa on toimintapyyntö. Sinänsä tämä tahmea käsittelijä ei ole erityisen tarpeellinen, mutta jos sen sethc. exe, korvaa konsolitiedostolla C:\Windows\System32\cmd. exe, voit myös kutsua komentoriviä painamalla vaihtonäppäintä viisi kertaa tai jotain muuta. Kutsuttu komentorivi on bannerin yläosassa, ja voit jo tehdä siitä paljon. Jos noudatat muutamia yksinkertaisia ​​sääntöjä, jotka eivät häiritse jokapäiväistä työtä ollenkaan - pidä aina varmuuskopio työprofiilista toisesta käyttäjästä, jolla on järjestelmänvalvojan oikeudet, ja muista sen salasana; tehdä säännöllisesti varmuuskopioita järjestelmästä (ntbackup.exe); Jos sinulla on käsillä käynnistyslevyjä, joissa on Windowsin livecd-versio ja apuohjelmat virusten torjuntaan ja rekisteritiedostojen muokkaamiseen, eivät vain kiristysohjelmabannerit, vaan myös muut virukset eivät todennäköisesti pysty keskeyttämään tietokonettasi paria ylikuormitusta pidempään.

Winlocker (Trojan.Winlock) on tietokonevirus, joka estää pääsyn Windowsiin. Tartunnan jälkeen se kehottaa käyttäjää lähettämään tekstiviestin saadakseen koodin, joka palauttaa tietokoneen suorituskyvyn. Siinä on monia ohjelmistomuutoksia: yksinkertaisimmista - "otettu käyttöön" lisäosan muodossa monimutkaisimpiin - kiintolevyn käynnistyssektorin muokkaamiseen.

Varoitus! Jos tietokoneesi on lukittu winlockerilla, älä missään tapauksessa lähetä tekstiviestiä tai siirrä rahaa saadaksesi käyttöjärjestelmän avauskoodin. Ei ole takeita siitä, että se lähetetään sinulle. Ja jos näin tapahtuu, tiedä, että annat hyökkääjille vaivalla ansaitut rahasi turhaan. Älä lankea temppuihin! Ainoa oikea ratkaisu tässä tilanteessa on poistaa ransomware-virus tietokoneesta.

Kiristysohjelmabannerin poistaminen itsestään

Tämä menetelmä sovelletaan winlockereihin, jotka eivät estä käyttöjärjestelmän käynnistämistä vikasietotilassa, rekisterieditoria ja komentoriviä. Sen toimintaperiaate perustuu vain järjestelmäapuohjelmien käyttöön (ilman virustorjuntaohjelmien käyttöä).

1. Kun näet haitallisen bannerin näytölläsi, katkaise ensin Internet-yhteys.

2. Käynnistä käyttöjärjestelmä uudelleen vikasietotilassa:

  • järjestelmän uudelleenkäynnistyksen yhteydessä pidä "F8"-näppäintä painettuna, kunnes "Käynnistyksen lisäasetukset" -valikko tulee näyttöön;
  • käytä kohdistimen nuolia valitaksesi "Safe Mode with Command Line Support" ja paina "Enter".

Huomio! Jos tietokone kieltäytyy käynnistymästä vikasietotilaan tai komentorivi / järjestelmäapuohjelmat eivät käynnisty, yritä poistaa winlocker jollain muulla tavalla (katso alla).

3. Kirjoita komentoriville komento - msconfig ja paina sitten "ENTER".

4. Järjestelmän kokoonpano -paneeli tulee näkyviin. Avaa siinä "Käynnistys"-välilehti ja tarkista huolellisesti elementtiluettelo winlockerin olemassaolosta. Pääsääntöisesti sen nimi sisältää merkityksettömiä aakkosnumeerisia yhdistelmiä ("mc.exe", "3dec23ghfdsk34.exe" jne.) Poista kaikki epäilyttävät tiedostot käytöstä ja muista/kirjoita niiden nimet muistiin.

5. Sulje paneeli ja siirry komentoriville.

6. Kirjoita komento "regedit" (ilman lainausmerkkejä) + "ENTER". Aktivoinnin jälkeen Windowsin rekisterieditori avautuu.

7. Napsauta editorin valikon Muokkaa-osiossa Etsi.... Kirjoita autoloadissa löydetyn winlockerin nimi ja laajennus. Aloita haku "Etsi seuraava..." -painikkeella. Kaikki viruksen nimeä sisältävät merkinnät on poistettava. Jatka skannausta "F3"-näppäimellä, kunnes kaikki osiot on skannattu.

8. Avaa hakemisto heti editorissa vasenta saraketta pitkin:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Nykyinen versio\Winlogon.

"Shell"-merkinnän tulee olla "explorer.exe"; "Userinit"-merkintä on "C:\Windows\system32\userinit.exe".

Muussa tapauksessa, jos haitallisia muutoksia havaitaan, käytä "Korjaa"-toimintoa (hiiren oikea painike - kontekstivalikko) asettaaksesi oikeat arvot.

9. Sulje editori ja palaa komentoriville.

10. Nyt sinun on poistettava banneri työpöydältä. Voit tehdä tämän kirjoittamalla riville komennon "explorer" (ilman lainausmerkkejä). Kun Windows-kuori tulee näkyviin, poista kaikki tiedostot ja pikakuvakkeet, joilla on epätavallinen nimi (jotta et ole asentanut järjestelmään). Todennäköisesti yksi niistä on banneri.

11. Käynnistä Windows uudelleen osoitteessa normaalitila ja varmista, että onnistuit poistamaan haittaohjelman:

  • jos banneri on kadonnut - muodosta yhteys Internetiin, päivitä asennetun virustorjunnan tietokannat tai käytä vaihtoehtoista virustorjuntatuotetta ja tarkista kiintolevyn kaikki osat;
  • Jos banneri estää edelleen käyttöjärjestelmän, käytä toista poistotapaa. On mahdollista, että tietokoneellesi osui winlocker, joka on "korjattu" järjestelmään hieman eri tavalla.

Poistaminen virustorjuntaohjelmilla

Jotta voit ladata apuohjelmia, jotka poistavat winlockers ja polttavat ne levylle, tarvitset toisen, saastumattoman tietokoneen tai kannettavan tietokoneen. Pyydä naapuria, ystävää tai ystävää käyttämään tietokonettaan tunnin tai kaksi. Varaa 3-4 tyhjää levyä (CD-R tai DVD-R).

Neuvoja! Jos luet tätä artikkelia tiedotustarkoituksessa ja tietokoneesi, luojan kiitos, elää ja voi hyvin, lataa silti tässä artikkelissa käsitellyt parantavat apuohjelmat ja tallenna ne levykkeille tai USB-muistitikulle. Valmistettu "ensiapulaukku" kaksinkertaistaa mahdollisuutesi voittaa virusbanneri! Nopeasti ja ilman turhia huolia.

1. Siirry apuohjelman kehittäjien viralliselle verkkosivustolle - antiwinlocker.ru.

2. Napsauta pääsivulla AntiWinLockerLiveCd-painiketta.

3. Luettelo linkeistä ohjelmien jakelun lataamiseen avautuu uudelle selaimen välilehdelle. Seuraa "Levykuvat tartunnan saaneiden järjestelmien hoitoon" -sarakkeessa "Lataa AntiWinLockerLiveCd-kuva" -linkkiä vanhemman (uudemman) version numerolla (esimerkiksi 4.1.3).

4. Lataa ISO-kuva tietokoneellesi.

5. Polta se DVD-R/CD-R-levylle käyttämällä ImgBurnia tai Neroa "Burn disc image" -toiminnolla. ISO-otos on kirjoitettava pakkaamattomassa muodossa käynnistyslevyn saamiseksi.

6. Aseta AntiWinLocker-levy tietokoneeseen, jossa banneri on rehottava. Käynnistä käyttöjärjestelmä uudelleen ja siirry BIOSiin (katso pikanäppäin syöttämiseen suhteessa tietokoneeseen; vaihtoehdot ovat "Del", "F7"). Asenna käynnistystä ei kiintolevyltä (järjestelmäosio C), vaan DVD-asemasta.

7. Käynnistä tietokone uudelleen. Jos teit kaiken oikein - poltit kuvan oikein levylle, muutit käynnistysasetuksia BIOSissa - AntiWinLockerLiveCd-apuohjelman valikko tulee näyttöön.

8. Poistaaksesi kiristysohjelmaviruksen automaattisesti tietokoneeltasi, napsauta "START"-painiketta. Ja siinä se! Muita toimia ei tarvita - tuhoaminen yhdellä napsautuksella.

9. Poistotoimenpiteen lopussa apuohjelma antaa raportin tehdystä työstä (mitkä palvelut ja tiedostot se vapautti ja paransi).

10. Sulje apuohjelma. Kun käynnistät järjestelmän uudelleen, palaa BIOSiin ja määritä käynnistys kiintolevyltä. Käynnistä käyttöjärjestelmä normaalitilassa, tarkista sen suorituskyky.

WindowsUnlocker (Kaspersky Lab)

1. Avaa sms.kaspersky.ru -sivu (Kaspersky Labin virallinen verkkosivusto) selaimessasi.

2. Napsauta "Lataa WindowsUnlocker" -painiketta (joka sijaitsee "Kuinka poistaa banneri" -tekstin alla).

3. Odota, kunnes Kaspersky Rescue Diskin käynnistyslevykuva WindowsUnlocker-apuohjelmalla ladataan tietokoneeseen.

4. Polta ISO-otos samalla tavalla kuin AntiWinLockerLiveCd-apuohjelma – tee käynnistyslevyke.

5. Aseta lukitun tietokoneen BIOS käynnistymään DVD-asemasta. Aseta Kaspersky Rescue Disk LiveCD asemaan ja käynnistä järjestelmä uudelleen.

6. Käynnistä apuohjelma painamalla mitä tahansa näppäintä ja valitse sitten kohdistinnuolilla käyttöliittymän kieli ("Venäjä") ja paina "ENTER".

7. Lue sopimuksen ehdot ja paina näppäintä "1" (Hyväksyn).

8. Kun Kaspersky Rescue Diskin työpöytä tulee näkyviin, napsauta tehtäväpalkin vasemmanpuoleista kuvaketta (K-kirjain sinisellä taustalla) avataksesi levyvalikon.

9. Valitse "Terminaali".

10. Kirjoita pääteikkunaan (root:bash) "kavrescue ~ #" -kehotteen viereen "windowsunlocker" (ilman lainausmerkkejä) ja aktivoi käsky "ENTER"-näppäimellä.

11. Apuohjelmavalikko tulee näkyviin. Paina "1" (Avaa Windowsin lukitus).

12. Sulje päätelaite lukituksen avaamisen jälkeen.

13. Pääsy käyttöjärjestelmään on jo olemassa, mutta virus on edelleen ilmainen. Voit tuhota sen seuraavasti:

  • yhdistä Internetiin;
  • käynnistä "Kaspersky Rescue Disk" -pikakuvake työpöydällä;
  • päivitä virustentorjunta-allekirjoitustietokannat;
  • valitse tarkistettavat kohteet (on toivottavaa tarkistaa kaikki luettelon elementit);
  • aktivoi "Suorita objektin tarkistus" -toiminto hiiren vasemmalla painikkeella;
  • Jos ransomware virus havaitaan ehdotetuista toimista, valitse "Poista".

14. Hoidon jälkeen napsauta levyn päävalikosta "Turn off". Kun käynnistät käyttöjärjestelmän uudelleen, siirry BIOSiin ja aseta käynnistys kiintolevyltä (kiintolevyltä). Tallenna asetukset ja käynnistä Windows normaalisti.

Dr.Web-tietokoneen lukituksen avauspalvelu

Tämä menetelmä on yrittää pakottaa winlocker tuhoutumaan itsestään. Eli anna hänelle mitä hän vaatii - avauskoodi. Tietenkään sinun ei tarvitse käyttää rahaa saadaksesi sen.

1. Kopioi lompakko tai puhelinnumero, jonka hyökkääjät jättivät banneriin, jotta voit ostaa avauskoodin.

2. Kirjaudu sisään toiselta "terveeltä" tietokoneelta Dr.Webin estonpoistopalveluun - drweb.com/xperf/unlocker/.

3. Syötä uudelleen kirjoitettu numero kenttään ja napsauta "Hae koodeja" -painiketta. Palvelu valitsee automaattisesti avauskoodin pyynnöstäsi.

4. Kirjoita/kopioi kaikki hakutuloksissa näkyvät koodit.

Huomio! Jos näitä ei löydy tietokannasta, käytä Dr.Web-suositusta poistaaksesi winlocker itse (seuraa viestin alla olevaa linkkiä "Valitettavasti pyynnöstäsi...").

5. Syötä tartunnan saaneella tietokoneella Dr.Web-palvelun tarjoama lukituksen avauskoodi bannerin "käyttöliittymään".

6. Jos virus tuhoutuu itse, päivitä virustorjunta ja tarkista kiintolevyn kaikki osat.

Varoitus! Joskus banneri ei reagoi koodin syöttämiseen. Tässä tapauksessa sinun on käytettävä toista poistotapaa.

MBR.Lock-bannerin poistaminen

MBR.Lock on yksi vaarallisimmista winlockeista. Muokkaa kiintolevyn pääkäynnistystietueen tietoja ja koodia. Monet käyttäjät, jotka eivät tiedä kuinka poistaa tämän tyyppisiä kiristysohjelmia, alkavat asentaa Windowsia uudelleen siinä toivossa, että tämän toimenpiteen jälkeen heidän tietokoneensa "palautuu". Mutta valitettavasti näin ei tapahdu - virus estää edelleen käyttöjärjestelmän.

Voit päästä eroon MBR.Lock ransomwaresta seuraavasti (Windows 7 -vaihtoehto):
1. Aseta Windowsin asennuslevy (mikä tahansa versio, kokoonpano käy).

2. Syötä tietokoneen BIOS (katso BIOSin syöttämisen pikanäppäin tietokoneesi teknisestä kuvauksesta). Aseta First Boot Device -asetuksissa "Cdrom" (käynnistys DVD-asemalta).

3. Kun järjestelmä on käynnistynyt uudelleen, Windows 7 -asennuslevy käynnistyy. Valitse järjestelmäsi tyyppi (32/64 bittiä), käyttöliittymän kieli ja napsauta "Seuraava"-painiketta.

4. Napsauta näytön alareunassa "Asenna"-vaihtoehdon alta "Järjestelmän palautus".

5. Jätä "Järjestelmän palautusasetukset" -paneelissa kaikki ennalleen ja napsauta "Seuraava" uudelleen.

6. Valitse Työkalut-valikosta "Komentorivi".

7. Kirjoita komentokehotteeseen komento - bootrec / fixmbr ja paina sitten "Enter". Järjestelmäapuohjelma korvaa käynnistystietueen ja tuhoaa siten haitallisen koodin.

8. Sulje komentorivi ja napsauta "Käynnistä uudelleen".

9. Tarkista tietokoneesi virusten varalta Dr.Web CureIt! tai Viruksenpoistotyökalu (Kaspersky).

On syytä huomata, että on olemassa muita tapoja käsitellä tietokonetta winlockerista. Mitä enemmän työkaluja sinulla on arsenaalissasi tämän infektion torjumiseksi, sitä parempi. Yleensä, kuten sanotaan, Jumala pelastaa kassakaapin - älä houkuttele kohtaloa: älä mene epäilyttävälle sivustolle äläkä asenna tuntemattomien valmistajien ohjelmistoja.

Anna kiristysohjelmabannerien ohittaa tietokoneesi. Onnea!

Hei kaikki! Tänään päätin kirjoittaa artikkelin tietokoneelta. Internetissä on päivittäin enemmän huijareita. Siksi myös tietokonetartuntojen uhka kasvaa. Ransomware-virukset, jotka estävät työpöydän ja kiristävät rahaa, ovat nykyään hyvin yleisiä. On selvää, että emme maksa tästä rahaa, mutta puhdistamme tietokoneen tästä tulehduksesta.

Uskon, että kiristysbannerit ovat jo konkreettista vastuuttomuutta ja ylimielisyyttä. Ennen kuin poistamme tämän viruksen, katsotaanpa, mistä se tuli, jotta voimme olla mahdollisimman aseistettuja tulevaisuutta varten. Muuten, bannerit kohtaavat erilaista sisältöä, joten panikoit enemmän ja lähetät rahaa huijareille. Monet eksyvät ja lähettävät rahaa, mutta tätä ei voida tehdä! Joten mistä ransomware-bannerit tulevat?

Piraattisovellukset
Tietenkin kaikki rakastavat ilmaistarjousta, mutta oletko koskaan miettinyt, onko tämä todella ilmaistava? Osoittautuu, että kun lataamme piraattiohjelmia, aktivaattoreita, halkeamia, tabletteja, vaarana on saada virusohjelma tietokoneeseen. Jokainen tällainen tällaisten tiedostojen lataus voi olla kohtalokas ja johtaa huonoihin seurauksiin. Käytä virallisia ohjelmia, jotta et tartu viruksiin.

Lataa maailmanlaajuisesta verkosta
Joka kerta kun lataat tiedostoja, on mahdollista, että voit tartuttaa tietokoneesi. On monia tapauksia, joissa henkilö latasi tietyn tiedoston, ja uudelleenkäynnistyksen jälkeen ilmestyi banneri. Siksi suosittelen kaikenlaisten tiedostojen lataamista luotettavilta tai suositelluilta sivustoilta, joilta tuhannet kävijät lataavat joka päivä.

Flash player päivitys
Kun vietät aikaasi Internetissä, saatat nähdä jossain bannerin muodossa merkinnän "Soittimesi on päivitettävä" tai "Soittimesi on vanhentunut". Tiedä, että se on virus! Tietenkin, jos tällainen banneri ei johda Adoben verkkosivustolle.

Olen kuvannut yleisimmät syyt viruksen tunkeutumiseen tietokoneellesi. Vähentääksesi haitallisen koodin pääsyä tietokoneellesi, tarvitset uuden virustorjuntaohjelman, älä unohda sitä! Mietitään nyt kuinka poistaa banner-lunnasohjelmat henkilökohtaiselta tietokoneelta. Älä kuitenkaan koskaan lähetä rahojasi näille huijareille. Se on erittäin tärkeää!!! Jos lähetät sen, banneri ei katoa minnekään, ja huijarit rikastuvat sinun ansiostasi.

Helpoin tapa on asentaa käyttöjärjestelmä uudelleen. kirjoitin jo. Kaikki asennetut ohjelmat, komponentit, virustorjunta ja asetukset on kuitenkin asennettava uudelleen.

On toinenkin tapa poistaa ransomware-banneri asentamatta käyttöjärjestelmää uudelleen. Harkitsemme sitä. Ensimmäinen askel on käynnistää tietokone uudelleen. Kun Windows latautuu, paina -painiketta F8.

Siirrä kohdistinta näppäimistön nuolilla ja valitse Vikasietotila komentokehotteella -osio.

Tämän jälkeen tietokoneen pitäisi käynnistyä ja näet työpöydän. Napsauta seuraavaksi Käynnistä ja kirjoita sana regedit Etsi ohjelmia ja tiedostoja -hakukenttään.

Kun olet kirjoittanut ja painanut Enter, Windowsin rekisteri avautuu.

Varmasti joka neljäs henkilökohtaisen tietokoneen käyttäjä on kohdannut erilaisia ​​petoksia Internetissä. Yksi petoksen tyyppi on banneri, joka estää Windows toimii ja vaatii tekstiviestin lähettämisen maksulliseen numeroon tai vaatii kryptovaluutan. Periaatteessa se on vain virus.

Taistellaksesi ransomware-banneria vastaan, sinun on ymmärrettävä, mikä se on ja miten se tunkeutuu tietokoneellesi. Banneri näyttää yleensä tältä:

Mutta voi olla kaikenlaisia ​​muita muunnelmia, mutta olemus on sama - roistot haluavat ansaita rahaa.

Miten virus pääsee tietokoneeseen

Ensimmäinen "tartunnan" variantti on piraattisovellukset, apuohjelmat, pelit. Tietysti Internetin käyttäjät ovat tottuneet saamaan suurimman osan haluamastaan ​​verkosta "ilmaiseksi", mutta kun lataamme piraattiohjelmistoja, pelejä, erilaisia ​​aktivaattoreita ja muita asioita epäilyttäviltä sivustoilta, meillä on riski saada virustartunnat. Tässä tilanteessa se yleensä auttaa.

Windows saattaa olla estetty ladatun tiedoston vuoksi, jonka tunniste on " .exe". Tämä ei tarkoita, että sinun täytyy kieltäytyä lataamasta tiedostoja tällä laajennuksella. Muista vain se" .exe” voi koskea vain pelejä ja ohjelmia. Jos lataat videon, kappaleen, asiakirjan tai kuvan ja sen nimessä on ".exe" lopussa, ransomware-bannerin ilmestymisen mahdollisuus kasvaa dramaattisesti 99,999 prosenttiin!

Mukana on myös hankala siirto, jonka oletettavasti on päivitettävä Flash-soitin tai selain. Voi olla, että työskentelet Internetissä, siirryt sivulta sivulle ja jonain päivänä löydät merkinnän "Flash-soittimesi on vanhentunut, päivitä". Jos napsautat tätä banneria ja se ei johda viralliselle adobe.com-sivustolle, se on 100% virus. Tarkista siksi ennen kuin napsautat "Päivitä"-painiketta. Paras vaihtoehto olisi jättää tällaiset viestit huomioimatta.

Lopuksi vanhentuneet Windows-päivitykset heikentävät järjestelmän suojausta. Pidä tietokoneesi suojattuna yrittämällä asentaa päivitykset ajoissa. Tämä ominaisuus voidaan määrittää sisään "Ohjauspaneeli -> Windows Update" automaattiseen tilaan, jotta se ei häiriinny.

Kuinka avata Windows 7/8/10

Yksi yksinkertaisista vaihtoehdoista ransomware-bannerin poistamiseksi on . Se auttaa 100%, mutta on järkevää asentaa Windows uudelleen, kun sinulla ei ole tärkeitä tietoja C-asemassa, joita sinulla ei ollut aikaa tallentaa. Kun asennat järjestelmän uudelleen, kaikki tiedostot poistetaan järjestelmälevyltä. Siksi, jos et halua asentaa uudelleen ohjelmisto ja pelejä, voit käyttää muita menetelmiä.

Kun järjestelmä on kovettunut ja käynnistetty onnistuneesti ilman ransomware-banneria, on suoritettava lisätoimenpiteitä, muuten virus voi ilmaantua uudelleen tai järjestelmässä on yksinkertaisesti ongelmia. Kaikki tämä on artikkelin lopussa. Kaikki tiedot ovat henkilökohtaisesti vahvistamiani! Joten, aloitetaan!

Kaspersky Rescue Disk + WindowsUnlocker auttaa meitä!

Käytämme erityisesti suunniteltua käyttöjärjestelmää. Koko vaikeus on, että toimivassa tietokoneessa sinun on ladattava kuva ja tai (selaa artikkeleita).

Kun se on valmis, tarvitset. Käynnistyksen yhteydessä näyttöön tulee pieni viesti, kuten "Paina mitä tahansa näppäintä käynnistääksesi CD- tai DVD-levyltä". Täällä sinun on painettava mitä tahansa näppäimistön painiketta, muuten tartunnan saanut Windows käynnistyy.

Kun lataat, paina mitä tahansa painiketta, valitse sitten kieli - "Venäjä", hyväksy lisenssisopimus "1"-painikkeella ja käytä käynnistystilaa - "Graphic". Kaspersky-käyttöjärjestelmän käynnistämisen jälkeen emme kiinnitä huomiota automaattisesti käynnistyvään skanneriin, vaan siirrymme "Käynnistä" -valikkoon ja käynnistämme "Terminaali"


Näyttöön tulee musta ikkuna, johon kirjoitamme komennon:

ikkunoiden lukituksen avaus

Pieni valikko aukeaa:


Valitse "Unlock Windows" "1"-painikkeella. Ohjelma itse tarkistaa ja korjaa kaiken. Nyt voit sulkea ikkunan ja tarkistaa koko tietokoneen jo käynnissä olevalla skannerilla. Valitse ikkunassa Windows-käyttöjärjestelmällä oleva levy ja napsauta "Suorita objektin tarkistus"


Odotamme tarkistuksen loppua (voi kestää kauan) ja lopulta käynnistämme uudelleen.

Jos sinulla on kannettava tietokone ilman hiirtä ja kosketuslevy ei toimi, suosittelen käyttämään Kaspersky-levyn tekstitilaa. Tässä tapauksessa käyttöjärjestelmän käynnistämisen jälkeen sinun on ensin suljettava F10-painikkeella avautuva valikko ja kirjoitettava sitten sama komento komentoriville: windowsunlocker

Avaa lukitus vikasietotilassa, ei erityisiä kuvia

Nykyään virukset, kuten Winlocker, ovat kasvaneet viisaammaksi ja estävät, joten todennäköisesti et onnistu, mutta jos kuvaa ei ole, yritä. Virukset ovat erilaisia ​​ja voivat toimia kaikille eri tavoilla mutta periaate on sama.

Käynnistämme tietokoneen uudelleen. Paina F8 käynnistettäessä, kunnes valikko tulee näkyviin lisävaihtoehtoja Windowsin käynnistys. Meidän on käytettävä alas osoittavia nuolia valitaksesi kohteen luettelosta, jota kutsutaan "Vikasietotila komentorivin tuella".

Tässä meidän on päästävä ja valittava haluttu rivi:

Lisäksi, jos kaikki menee hyvin, tietokone käynnistyy ja näemme työpöydän. Loistava! Mutta se ei tarkoita, että kaikki toimii nyt. Jos et poista virusta ja käynnistät vain uudelleen normaalitilassa, banneri ponnahtaa uudelleen näkyviin!

Meitä hoidetaan Windows-työkaluilla

Sinun on palautettava järjestelmä, kun estobanneria ei vielä ollut. Lue artikkeli huolellisesti ja tee kaikki, mitä siellä on kirjoitettu. Artikkelin alla on video.

Jos se ei auta, paina "Win + R" -painikkeita ja kirjoita komento ikkunaan avataksesi rekisterieditorin:

regedit

Jos työpöydän sijaan käynnistetään musta komentorivi, kirjoita "regedit" -komento ja paina "Enter". Jotkin rekisteriavaimet on tarkistettava virusten tai tarkemmin sanottuna haitallisen koodin varalta. Aloita tämä toiminto siirtymällä tähän polulle:

HKEY_LOCAL_MACHINE\Software\Microsoft\WinNT\CurrentVersion\Winlogon

Nyt tarkistamme järjestyksessä seuraavat arvot:

  • Shell - "explorer.exe" on kirjoitettava tähän, muita vaihtoehtoja ei pitäisi olla
  • Userinit - tässä tekstin tulee olla "C:\Windows\system32\userinit.exe",

Jos käyttöjärjestelmä on asennettu eri asemaan kuin C:, kirjain on siellä vastaavasti erilainen. Jos haluat muuttaa vääriä arvoja, napsauta hiiren kakkospainikkeella muokattavaa riviä ja valitse "muuta":

Sitten tarkistamme:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Tässä ei pitäisi olla Shell- ja Userinit-avaimia ollenkaan, jos on, poista ne.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

Ja muista:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

Jos et ole varma, onko avain poistettava, voit lisätä ensin parametriin "1". Polku on virheellinen, eikä tämä ohjelma yksinkertaisesti käynnisty. Sitten voit palauttaa sen sellaisena kuin se oli.

Nyt sinun on suoritettava sisäänrakennettu järjestelmän puhdistusapuohjelma, teemme sen samalla tavalla kuin käynnistimme rekisterieditorin "regedit", mutta kirjoitamme:

cleanmgr

Valitse levy, jossa on käyttöjärjestelmä (oletuksena C:) ja tarkista tarkistuksen jälkeen kaikki ruudut paitsi "Service Pack Backup Files"

Ja napsauta "OK". Tällä toiminnolla olemme saaneet poistaa viruksen automaattisen käynnistyksen käytöstä, ja sitten meidän on siivottava sen läsnäolon jäljet ​​järjestelmässä ja luettava tästä artikkelin lopusta.

AVZ-apuohjelma

Se koostuu siitä, että käytämme vikasietotilassa tunnettua virustorjuntaapuohjelmaa AVZ. Virusten etsimisen lisäksi ohjelmassa on vain paljon toimintoja järjestelmäongelmien korjaamiseen. Tämä menetelmä toistaa järjestelmän aukkojen täyttövaiheet viruksen toimimisen jälkeen, mm. tutustuaksesi siihen, siirry seuraavaan kappaleeseen.

Ongelmien korjaaminen kiristysohjelmien poistamisen jälkeen

Onnittelut! Jos luet tätä, järjestelmä käynnistyi ilman banneria. Nyt sinun on tarkistettava koko järjestelmä heidän kanssaan. Jos käytit Kaspersky-pelastuslevyä ja valitsit sen siellä, voit ohittaa tämän kohdan.

Pahiksen toimintaan voi liittyä myös yksi ongelma - virus voi salata tiedostosi. Ja jopa sen täydellisen poistamisen jälkeen et yksinkertaisesti voi käyttää tiedostojasi. Niiden salauksen purkamiseksi sinun on käytettävä Kasperskyn verkkosivuston ohjelmia: XoristDecryptor ja RectorDecryptor. Siellä on myös käyttöohjeet.

Mutta ei siinä kaikki, koska. Winlocker on todennäköisesti sekaisin järjestelmässä, ja erilaisia ​​​​häiriöitä ja ongelmia havaitaan. Esimerkiksi rekisterieditori ja tehtävänhallinta eivät käynnisty. Järjestelmän käsittelyyn käytämme AVZ-ohjelmaa.

Kun lataat sovelluksella Google Chrome voi olla ongelma, koska tämä selain pitää ohjelmaa haitallisena eikä salli sen lataamista! Tämä kysymys on jo esitetty virallisella Google-foorumilla, ja tätä kirjoitettaessa kaikki jo ok.

Jos haluat silti ladata arkiston ohjelman kanssa, sinun on mentävä kohtaan "Lataukset" ja napsautettava sieltä "Lataa haittatiedosto" 🙂 Kyllä, ymmärrän, että se näyttää hieman typerältä, mutta ilmeisesti kromi ajattelee, että ohjelma voi vahingoittaa tavallista käyttäjää. Ja tämä on totta, jos tönäät minne tahansa osut! Noudata siis tarkasti ohjeita!

Puramme arkiston ohjelman kanssa, kirjoitamme sen ulkoiselle medialle ja suoritamme sen tartunnan saaneella tietokoneella. Mennään valikkoon "Tiedosto -> Järjestelmän palautus", merkitse valintaruudut kuvan mukaisesti ja suorita seuraavat toiminnot:

Mennään nyt seuraavaa polkua: "Tiedosto -> Ohjattu vianetsintätoiminto", siirry sitten kohtaan "Järjestelmäongelmat -> Kaikki ongelmat" ja napsauta "Käynnistä" -painiketta. Ohjelma tarkistaa järjestelmän ja aseta sitten näkyviin tulevassa ikkunassa kaikki valintaruudut paitsi "Käyttöjärjestelmän päivitysten poistaminen käytöstä automaattitilassa" ja ne, jotka alkavat lauseella "Salli automaattinen käynnistys ...".

Napsauta "Korjaa merkityt ongelmat" -painiketta. Menestyneen suorittamisen jälkeen osoitteeseen: "Selainasetukset ja säädöt -> Kaikki ongelmat", laitamme tähän kaikki valintaruudut ja napsautamme samalla tavalla "Korjaa liputetut ongelmat" -painiketta.

Teemme samoin "Yksityisyyden" kanssa, mutta älä valitse tässä ruutuja, jotka vastaavat kirjanmerkkien puhdistamisesta selaimissa ja mitä muuta luulet tarvitsevasi. Viimeistelemme tarkistuksen osioissa "Järjestelmän puhdistaminen" ja "Mainosohjelmien / työkalupalkin / selaimen kaappaajan poisto".

Sulje lopuksi ikkuna poistumatta AVZ:stä. Ohjelmasta löydämme "Työkalut -> Explorer Extensions Editor" ja poista valintamerkit niistä kohteista, jotka on merkitty mustalla. Nyt mennään: "Työkalut -> Internet Explorer Extension Manager" ja poista kokonaan kaikki rivit näkyviin tulevasta ikkunasta.

Sanoin jo edellä, että tämä artikkelin osa on myös yksi tavoista parantaa Windows ransomware -bannerista. Joten tässä tapauksessa sinun on ladattava ohjelma toimivalle tietokoneelle ja kirjoitettava se sitten USB-muistitikulle tai levylle. Kaikki toiminnot suoritetaan turvallisessa tilassa. Mutta on toinenkin vaihtoehto suorittaa AVZ, vaikka vikasietotila ei toimi. Sinun on aloitettava samasta valikosta, kun järjestelmä käynnistyy, "Tietokoneen vianmääritys" -tilassa

Jos olet asentanut sen, se näkyy valikon yläosassa. Jos sitä ei ole, yritä käynnistää Windows, kunnes banneri tulee näkyviin, ja sammuta tietokone pistorasiasta. Kytke se sitten päälle - uusi käynnistystila todennäköisesti tarjotaan.

Aloitetaan Windowsin asennuslevyltä

Toinen varma tapa on käynnistää Windows 7-10 -asennuslevyltä ja valita "Asenna"-vaihtoehdon sijaan. "Järjestelmän palauttaminen". Kun vianmääritys on käynnissä:

  • Sinun on valittava "Komentokehote"
  • Kirjoita näkyviin tulevaan mustaan ​​ikkunaan: "muistilehtiö", ts. Käynnistä tavallinen muistilehtiö. Käytämme sitä minijohtimena
  • Mene valikkoon "Tiedosto -> Avaa", valitse tiedostotyyppi "Kaikki tiedostot"
  • Seuraavaksi löydämme kansion, jossa on AVZ-ohjelma, napsauta hiiren kakkospainikkeella käynnistettyä tiedostoa "avz.exe" ja käynnistä apuohjelma "Avaa"-valikkokohdalla (ei "Valitse" -kohdalla!).

Jos mikään ei auta

Viittaa tapauksiin, joissa et jostain syystä voi käynnistää muistitikulta, jossa on tallennettu kuva Kasperskystä tai AVZ-ohjelmasta. Sinun tarvitsee vain saada se tietokoneelta HDD ja liitä se toisella levyllä toimivaan tietokoneeseen. Käynnistä sitten TARTUTTAMATTA kiintolevyltä ja skannaa asemasi Kaspersky-skannerilla.

Älä koskaan lähetä huijareiden pyytämiä tekstiviestejä. Olipa teksti mikä tahansa, älä lähetä viestejä! Yritä välttää epäilyttäviä sivustoja ja tiedostoja, mutta yleensä lue. Noudata ohjeita, niin tietokoneesi on turvassa. Älä myöskään unohda virustorjuntaa ja käyttöjärjestelmän säännöllisiä päivityksiä!

Tässä on video, joka näyttää kaiken esimerkissä. Soittolista koostuu kolmesta oppitunnista:

PS: mikä menetelmä auttoi sinua? Kirjoita siitä alla oleviin kommentteihin.

Bannerit "Windows on lukittu - lähetä tekstiviesti avataksesi lukituksen" ja niiden lukuisat muunnelmat rakastavat äärimmäisen paljon rajoittamaan Windowsin ilmaisten käyttäjien käyttöoikeuksia. Samaan aikaan tavalliset ratkaisut epämiellyttävästä tilanteesta - ongelman korjaaminen vikasietotilassa, ESET- ja DR-verkkosivustojen koodien avaaminen sekä BIOS-kellon ajan siirtäminen tulevaisuuteen - eivät aina toimi.

Pitääkö sinun todella asentaa järjestelmä uudelleen vai maksaa kiristäjille? Tietysti voit mennä yksinkertaisinta tietä, mutta eikö meidän olisi parempi yrittää käsitellä pakkomielteistä hirviötä nimeltä Trojan.WinLock omin voimin ja käytettävissä olevin varoin, varsinkin kun voimme yrittää ratkaista ongelman riittävän nopeasti ja täysin maksutta.

Ketä vastaan ​​taistelemme?

Ensimmäinen kiristysohjelma aktivoituu joulukuussa 1989. Monet käyttäjät saivat sitten postitse levykkeitä, joissa oli tietoa AIDS-viruksesta. Pienen ohjelman asennuksen jälkeen järjestelmä joutui toimintakelvottomaan tilaan. Käyttäjiä tarjottiin hänen elvytystään varten. Ensimmäisen tekstiviestien eston haitallinen toiminta, joka tutustutti käyttäjät "kuoleman sinisen näytön" käsitteeseen, havaittiin lokakuussa 2007.

Trojan.Winlock (Winlocker) edustaa laajaa haittaohjelmien perhettä, jonka asennus johtaa täydelliseen tukkeutumiseen tai merkittäviin vaikeuksiin käyttöjärjestelmän kanssa työskentelyssä. Winlocker-kehittäjät ovat kääntäneet nopeasti uuden sivun Internet-petosten historiassa käyttämällä edeltäjiensä onnistuneita kokemuksia ja kehittyneitä teknologioita. Käyttäjät saivat eniten viruksen muunnelmia talvella 2009-2010, jolloin tilastojen mukaan ei miljoona henkilökohtaista tietokonetta ja kannettavaa tietokonetta saanut tartunnan. Toinen aktiivisuuden huippu oli toukokuussa 2010. Huolimatta siitä, että koko Trojan.Winlock-troijalaisten sukupolven uhrien määrä Viime aikoina vähentynyt merkittävästi, ja idean isät vangitaan, ongelma on edelleen ajankohtainen.

Winlocker-versioiden määrä on ylittänyt tuhansia. Aiemmissa versioissa (Trojan.Winlock 19 jne.) hyökkääjät vaativat 10 ruplaa pääsyn avaamisesta. Käyttäjän toiminnan puuttuminen 2 tunnin jälkeen johti ohjelman itsensä poistamiseen, mikä jätti jälkeensä vain epämiellyttäviä muistoja. Vuosien mittaan ruokahalut kasvoivat, ja Windowsin ominaisuuksien avaaminen myöhemmissä versioissa vei jo 300 - 1000 ruplaa ja enemmän, kehittäjät unohtivat vaatimattomasti ohjelman itsensä poistamisen.

Maksuvaihtoehtoina käyttäjälle tarjotaan tekstiviestejä - maksu lyhytnumeroon tai sähköiseen lompakkoon WebMoney-, Yandex Money -järjestelmissä. Tekijä, joka "stimuloi" kokemattoman käyttäjän maksamaan, on pornosivustojen todennäköinen katselu, lisensoimattomien ohjelmistojen käyttö... Ja tehokkuuden lisäämiseksi kiristäjätekstiviesti sisältää uhkauksia tuhota käyttäjän tietokoneella olevia tietoja, kun järjestelmää yritetään huijata.

Trojan.Winlockin jakelupolut

Useimmissa tapauksissa tartunta johtuu selaimen haavoittuvuudesta. Riskivyöhyke on kaikki samat "aikuisten" resurssit. Infektion klassinen versio on vuosipäivävierailija arvokkaalla palkinnolla. Toinen perinteinen tartuntatapa ovat hyvämaineisiksi asentajiksi naamioituvat ohjelmat, itsepurkautuvat arkistot, päivitykset - Adobe Flash jne. Troijalaisten käyttöliittymä on värikäs ja monipuolinen, perinteisesti käytetään tekniikkaa naamioitua virustorjuntaohjelman ikkunoiksi, harvemmin - animaatioita jne.

Trojan.Winlock voidaan jakaa kolmeen tyyppiin:

  1. Pornoformaatteja tai bannereita, jotka pakotetaan vain, kun avaat selainikkunan.
  2. Bannerit, jotka jäävät työpöydälle selaimen sulkemisen jälkeen.
  3. Bannerit, jotka ilmestyvät Windowsin työpöydän lataamisen jälkeen ja estävät tehtävienhallinnan käynnistämisen, pääsyn rekisterieditoriin, käynnistyksen vikasietotilassa ja yksittäisiä tapauksia- ja näppäimistö.
Jälkimmäisessä tapauksessa hyökkääjän tarvitsemien yksinkertaisten manipulointien suorittamiseksi käyttäjällä on hiiri syöttää koodi digitaalisen näytön käyttöliittymään.

Trojan.Winlockin huonot tavat

Jakelun ja automaattisen käynnistyksen varmistamiseksi Trojan.Winlock-perheen virukset muokkaavat rekisteriavaimia:

-[...\Software\Microsoft\Windows\CurrentVersion\Run] "svhost" = "%APPDATA%\svhost\svhost.exe"
-[...\Software\Microsoft\Windows\CurrentVersion\Run] "winlogon.exe" = " \winlogon.exe"

Vaikeuttaakseen havaitsemista järjestelmässä virus estää piilotettujen tiedostojen näyttämisen, luo ja käynnistää suoritettavaksi:

  • %APPDATA%\svhost\svhost.exe
Suorittaa suoritusta:
  • \winlogon.exe
  • %WINDIR%\explorer.exe
  • \cmd.exe /c """%TEMP%\uAJZN.bat"" "
  • \reg.exe LISÄÄ "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "svhost" /t REG_SZ /d "%APPDATA%\svhost\svhost.exe" /f
Lopettaa tai yrittää lopettaa järjestelmäprosessin:
  • %WINDIR%\Explorer.EXE
Tekee muutoksia tiedostojärjestelmään:

Luo seuraavat tiedostot:

  • %APPDATA%\svhost\svhost.exe
  • %TEMP%\uAJZN.bat
Määrittää tiedostoille "piilotettu"-attribuutin:
  • %APPDATA%\svhost\svhost.exe
Etsitään ikkunoita:
  • ClassName: "Shell_TrayWnd" WindowName: ""
  • ClassName: "Osoitin" WindowName: ""

Hoito. Menetelmä 1. Koodiyhdistelmän valinta maksutietojen tai puhelinnumeron perusteella

Ongelman yleisyys ja vakavuus sai virustorjuntaohjelmistojen kehittäjät etsimään tehokkaita ratkaisuja ongelmaan. Joten Dr.Web-sivustolla lukituksen avausrajapinta on julkisesti saatavilla ikkunan muodossa, johon sinun on syötettävä kiristykseen käytetty puhelinnumero tai elektroninen lompakko. Kun syötät asianmukaiset tiedot ruutuun (katso kuva alla) tietokannassa olevan viruksen läsnä ollessa, voit saada haluamasi koodin.

Menetelmä 2. Etsi haluamasi avauskoodi kuvan perusteella Dr.Web-palvelun tietokannasta

Sivuston toisella sivulla kirjoittajat esittelivät toisen valinnan - valmiin tietokannan Trojan.Winlockin yleisten versioiden lukituksen avauskoodeista, luokiteltuna kuvien mukaan.

Vastaavan koodin hakupalvelun tarjoaa ESET-virusstudio, jolla on lähes 400 000 avauskoodivaihtoehdon tietokanta ja Kaspersky Lab, joka tarjosi koodipohjan lisäksi myös oman parantava apuohjelmansa - Kaspersky Windows Unlocker.

Menetelmä 3. Apuohjelmat - lukituksen avaajat

Usein on tilanteita, joissa viruksen toiminnan tai järjestelmävian vuoksi vikasietotila komentorivin tuella, jonka avulla voit suorittaa tarvittavat operatiiviset manipulaatiot, ei ole käytettävissä, ja jostain syystä järjestelmän palautus on myös mahdotonta. Tällaisissa tapauksissa suorita tietokoneen ja levyn vianmääritys Windowsin palautus osoittautuvat hyödyttömiksi, ja sinun on käytettävä Live CD:n palautusominaisuuksia.

Tilanteen ratkaisemiseksi on suositeltavaa käyttää erikoistunutta parantavaa apuohjelmaa, jonka kuva on ladattava CD-levyltä tai USB-asemalta. Tätä varten BIOSissa on oltava vastaava käynnistysominaisuus. Kun kuvan sisältävä käynnistyslevy on asetettu korkeimmalle prioriteetille BIOS-asetuksissa, CD-levy tai flash-asema, jossa on parantavan apuohjelman kuva, voi käynnistyä ensin.

Yleensä BIOS on useimmiten mahdollista syöttää kannettavassa tietokoneessa F2-näppäimellä, PC:llä - DEL / DELETE, mutta näppäimet ja niiden yhdistelmät syöttämiseen voivat vaihdella (F1, F8, harvemmin F10, F12 ..., pikanäppäimet Ctrl + Esc, Ctrl + Ins, Ctrl + Alt, Ctrl + Alt + Esc jne.). Voit selvittää kirjautumisen pikanäppäimen katsomalla tekstitietoja näytön vasemmassa alakulmassa sisäänkirjautumisen ensimmäisten sekuntien aikana. Saat lisätietoja eri versioiden BIOSin asetuksista ja ominaisuuksista.

Koska vain uudemmat BIOS-versiot tukevat hiirtä, joudut todennäköisesti navigoimaan valikossa ylös ja alas käyttämällä "ylös" - "alas" -nuolia, "+" "-", "F5" ja "F6" -painikkeita.

AntiWinLockerLiveCD

Yksi suosituimmista ja yksinkertaisimmista apuohjelmista, jotka käsittelevät tehokkaasti ransomware-bannereita, "banneritappaja" AntiWinLockerLiveCD on ansainnut maineensa.


Ohjelman päätoiminnot:

  • Käyttöjärjestelmän tärkeimpien parametrien muutosten korjaaminen;
  • Allekirjoittamattomien tiedostojen esiintymisen korjaaminen automaattilatausalueella;
  • Suojaus joidenkin järjestelmätiedostojen korvaamista vastaan ​​WindowsXP:ssä userinit.exe, taskmgr.exe;
  • Suojaus Task Managerin ja Rekisterieditorin viruksilta sulkemiselta;
  • Käynnistyssektorin suojaaminen Trojan.MBR.lock-viruksilta;
  • Suojaa alue, jossa ohjelmakuva korvataan toisella. Jos banneri ei salli tietokoneesi käynnistymistä, AntiWinLocker LiveCD / USB auttaa poistamaan sen automaattisesti ja palauttamaan normaalin käynnistyksen.
Automaattinen järjestelmän palautus:
  • Palauttaa oikeat arvot kuoren kaikilla kriittisillä alueilla;
  • Poistaa allekirjoittamattomat tiedostot käynnistyksestä;
  • Poistaa Task Managerin ja rekisterieditorin eston;
  • Tyhjennä kaikki väliaikaiset tiedostot ja suoritettavat tiedostot käyttäjäprofiilista;
  • Kaikkien järjestelmän virheenkorjainten poistaminen (HiJack);
  • Elpyminen HOST tiedostot alkuperäiseen tilaan
  • Palauta järjestelmätiedostot, jos niitä ei ole allekirjoitettu (Userinit, taskmgr, logonui, ctfmon);
  • Siirrä kaikki allekirjoittamattomat työt (.job) AutorunsDisabled-kansioon.
  • Kaikkien kaikkien asemien Autorun.inf-tiedostojen poistaminen;
  • Käynnistyssektorin palautus (WinPE-ympäristössä).
Hoito AntiWinLocker LiveCD -apuohjelmalla ei ole ihmelääke, vaan yksi yksinkertaisimmista nopeita tapoja päästä eroon viruksesta. LiveCD-jakelussa, jopa kevyessä ilmaisessa Lite-versiossaan, on kaikki tähän tarvittavat työkalut- FreeCommander-tiedostonhallinta, joka tarjoaa pääsyn järjestelmätiedostoihin, pääsyn käynnistystiedostoihin, pääsyn rekisteriin.

Ohjelma on todellinen löytö aloitteleville käyttäjille, koska sen avulla voit valita automaattisen tarkistus- ja korjaustilan, jonka aikana virus ja sen toiminnan seuraukset löydetään ja neutraloidaan muutamassa minuutissa ilman käyttäjän puuttumista tai puuttumista. Uudelleenkäynnistyksen jälkeen kone on valmis jatkamaan toimintaansa normaalisti.

Toimintojen järjestys on erittäin yksinkertainen:

Lataa tarvittava AntiWinLockerLiveCD-tiedosto kolmannen osapuolen tietokoneelle ISO-muodossa, aseta CD-CD sen asemaan ja napsauta sitten hiiren oikealla painikkeella tiedostoa "Open with", valitse "Windows Disc Image Burner" - "Burn" ja kopioi kuva CD-levylle. Käynnistyslevy on valmis.

  • Asetamme kuvan sisältävän levyn lukitun tietokoneen / kannettavan tietokoneen asemaan, jossa on esikonfiguroidut BIOS-asetukset (katso yllä);
  • Odotamme LiveCD-kuvan lataamista RAM-muistiin.

  • Kun olet käynnistänyt ohjelmaikkunan, valitse estetty tili;
  • Valitsemme tietojenkäsittelyyn Professional- tai Lite-version. Ilmainen versio (Lite) sopii lähes kaikkien tehtävien ratkaisemiseen;
  • Kun olet valinnut version, valitse levy, jolle lukittu Windows on asennettu (jos ohjelma ei ole valinnut sitä automaattisesti), käyttöjärjestelmän käyttämä käyttäjätili ja aseta hakuparametrit.
Kokeilun puhtauden vuoksi voit rastittaa kaikki valikon kohdat paitsi viimeinen (palauta käynnistyssektori).

Paina "Aloita" / "Aloita hoito".

Odotellaan testituloksia. Ongelmalliset tiedostot sen lopussa on korostettu punaisella näytöllä.

Kuten odotimme, yllä olevassa esimerkissä virusta etsiessään ohjelma kiinnitti erityistä huomiota sen perinteisiin elinympäristöihin. Apuohjelma korjasi muutokset Shell-parametreihin, jotka ovat vastuussa käyttöjärjestelmän graafisesta kuoresta. Kun ohjelman kaikki ikkunat oli kovettunut ja suljettu käänteisessä järjestyksessä, "Exit"-painikkeen painaminen ja uudelleenkäynnistys, tuttu Windowsin aloitusnäyttö otti jälleen tavanomaisen asemansa. Ongelmamme on ratkaistu onnistuneesti.


Ohjelman hyödyllisistä lisätyökaluista:

  • Rekisterieditori;
  • Komentorivi;
  • Tehtävienhallinta;
  • Levyapuohjelma TestDisk;
  • AntiSMS.
AntiWinLockerLiveCD-apuohjelman automaattinen tarkistus ei aina mahdollista estäjän havaitsemista.
Jos automaattinen puhdistus epäonnistuu, voit aina käyttää tiedostonhallintaominaisuuksia tarkistamalla polut C: tai D:\Documents and Settings\Username\Local Settings\Temp (Windows XP) ja C: tai D:\Users\Username\AppData\Local\Temp (Windows 7). Jos banneri on rekisteröity automaattiseen lataukseen, on mahdollista analysoida tarkistuksen tuloksia manuaalisessa tilassa, jolloin voit poistaa automaattilatauselementit käytöstä.

Trojan.Winlock ei yleensä kaivaudu liian syvälle ja on melko ennustettavissa. Muistuttamaan hänen paikastaan ​​riittää vain muutamalla hyvällä ohjelmalla ja vinkillä sekä tietysti harkintakyky rajattomassa kyberavaruudessa.

Ennaltaehkäisy

Ei puhtaasti siellä, missä he usein siivoavat, vaan siellä, missä he eivät roskaa! - Hyvin sanottu, ja iloisen troijalaisen tapauksessa enemmän kuin koskaan! Tartunnan todennäköisyyden minimoimiseksi sinun tulee noudattaa muutamia yksinkertaisia ​​ja melko toteuttamiskelpoisia sääntöjä.

Salasana kohteelle tili Keksi monimutkaisempi järjestelmänvalvoja, joka ei salli yksinkertaisten haittaohjelmien poimia sitä yksinkertaisimman luettelon avulla.

Valitse selaimen asetuksista vaihtoehto tyhjentää välimuisti istunnon jälkeen, estää tiedostojen suorittaminen selaimen väliaikaisista kansioista jne.

Pidä aina käsillä parantava levy/flash-asema LiveCD (LiveUSB), joka on tallennettu luotettavasta lähteestä (torrent).

Tallenna asennuslevy Windowsissa ja muista aina missä se sijaitsee. Komentoriviltä tunnissa "H" voit palauttaa järjestelmän tärkeät tiedostot alkuperäiseen tilaan.

Luo palautuspiste vähintään kahden viikon välein.

Suorita mitä tahansa arveluttavaa ohjelmistoa - halkeamia, kaygenejä jne. virtuaalisen PC:n alla (VirtualBox jne.). Tämä tarjoaa mahdollisuuden helposti palauttaa vahingoittuneet segmentit virtuaalisen PC-kuoren avulla.

Varmuuskopioi säännöllisesti ulkoiselle medialle. Estä epäilyttäviä ohjelmia kirjoittamasta tiedostoihin.
Onnea yrityksiin ja vain miellyttäviä, ja mikä tärkeintä - turvallisia tapaamisia!

Jälkisana iCover-tiimiltä

Toivomme, että tässä materiaalissa esitetyt tiedot ovat hyödyllisiä iCover-blogin lukijoille ja auttavat sinua selviytymään kuvatusta ongelmasta muutamassa minuutissa. Ja toivomme myös, että blogistamme löydät paljon hyödyllistä ja mielenkiintoista, voit tutustua uusimpien vempaimien ainutlaatuisten testien ja tutkimusten tuloksiin, löytää vastauksia kiireellisimpiin kysymyksiin, joiden ratkaisua vaadittiin usein eilen.).

Ladataan...
Ylös