Розблокування windows 7 від трояка-вимагача

Вимагання грошей у користувачів шляхом блокування "запуск windows 7" "запуску Windows поступово виходить «з моди», але повністю поки себе не вичерпало. Пік заражень вінлокерамі припав на 2010 - 2011 роки - в той час то там, то тут спалахували епідемії, приносили збитки підприємствам, чималу шкоду домашнім користувачам та надзвичайні прибутки зловмисникам. Але скільки мотузочці НЕ витися ... До сьогоднішнього дня компанії-розробники антивірусів і окремі програмісти-ентузіасти випустили чимало засобів боротьби з блокувальниками, які будь-який потерпілий може використовувати абсолютно безкоштовно. Завдяки їм «заробітки» кіберзлочинців на ошуканих користувачів помітно знизилися.

Спробуємо розібратися, що являє собою trojan.winlock - троян вінлокер, які види їх більше поширені, а також як з ними боротися.

Способи блокування, використовувані вінлокерамі

• Блокування робочого столу шляхом запуску троянця на ранньому етапі завантаження Віндовс. Троян може запускатися замість стандартної графічної оболонки (explorer.exe) або в ході виконання програми входу в систему. На скріншоті нижче показаний приклад банера вимагача на робочому столі.

• Інтеграція троянського коду в критично важливі системні файли - explorer.exe, userinit.exe, taskmgr.exe і інші, в разі такого зараження поряд зі стандартним кодом Віндовс виконується і троянський код.
• Налагодження системних процесів - створення в "реєстр windows 7" "реєстрі Windows особливих записів, які змушують систему запускати вірус замість нормального файлу.
• Модифікація головного завантажувального запису вінчестера (MBR) або завантажувальних даних окремих розділів диска (VBR). На скріншоті показаний зовнішній вигляд MBR-блокатора.

• Створення групових політик, максимально обмежують права облікового запису. Настільки, що користувач не може робити практично нічого.

Як розблокувати Windows 7?

Windows 7, на відміну від XP і Вісти, має особливий службовий розділ - середовище відновлення (Windows RE), яка разом з системою встановлюється на жорсткий диск. Вона має власний завантажувач, тому може запускатися незалежно від того, в якому стані перебуває основна система. Якщо для того, щоб розблокувати Віндовс XP, доводилося шукати інший завантажувальний носій, то в більшості випадків блокування Windows 7 це робити не обов`язково - всі операції з розблокування можна виконати з середовища відновлення. Виняток становить зараження MBR-Локерен.

Сьогодні практично кожен антивірусний продукт має в базі сигнатури всіх відомих вінлокеров. У середовищі відновлення Windows 7 можна запускати такі з них:

• Dr.Web CureIt! - універсальну антивірусну утиліту для лікування активного зараження від Dr.Web;
• Kaspersky Vurus Removal Tool - інструмент аналогічного призначення від Kasersky Lab.
• uVS - утиліту для ручного лікування будь-яких вірусів автора Д. Кузнєцова.

Далі ми розберемося, як з ними працювати. Але спочатку завантажимо середу відновлення.

Запуск Windows RE

• Перезавантажте комп`ютер. До початку старту системи кілька разів швидко натисніть клавішу F8. Коли на екрані з`явиться наступне меню

переведіть курсор на «Усунення неполадок комп`ютера» і клацніть Enter.

• Виберіть мову, зручний вам для роботи в середовищі відновлення.

• Виберіть учетку користувача, що має в системі адміністративні права. Введіть пароль.

• Далі з відкрився перед вами вікна параметрів відновлення виберіть командний рядок. З її допомогою ви запустите провідник Віндовс і через нього відкриєте потрібні файли.

• Щоб потрапити в папки, введіть у командному рядку слово notepad і натисніть Enter. Запуститься програма «Блокнот». Увійдіть в меню «Файл» і клацніть «Відкрити».

• Команда «Відкрити» розгорне вікно провідника. Щоб ви змогли бачити різні типи файлів, а не тільки текстові, в поле «Тип файлів» поставте значення «Все файли».

• Перейдіть в папку (це може бути жорсткий диск або флешка), де у вас збережена утиліта лікування.

Запуск CureIt в середовищі відновлення Windows 7

Щоб розблокувати Віндовс за допомогою утиліти від Dr. Web, скачайте її попередньо на іншому комп`ютері і запустіть звичайним способом.

Після того, як утиліта буде готова до сканування, знайдіть папку C: Users імя_учеткі AppData Local Temp FF02DAD8-C26C14C8-8A90FEE8-618206C0 (ім`я кінцевої папки змінюється), перейменуйте її та скопіюйте на флешку, DVD або інший носій , який можна буде підключити до заблокованого комп`ютера. У цій папці будуть перебувати розпаковані файли CureIt.

Серед іншого в цій папці буде 3 виконуваних файлу з розширенням .exe з іменами, що складаються з літер і цифр. Один з них і є антивірусний сканер - він нам і потрібен.

Для запуску сканера просто клікніть по ньому правою кнопкою мишки і виберіть з контекстного меню запуск від імені адміністратора. Через деякий час він виявить блокувальник і видалить його. Як бачите, розблокувати Віндовс за допомогою CureIt під силу будь-якому користувачеві.

Як розблокувати Windows 7 за допомогою Kaspersky Virus Removal Tool

Скачайте утиліту на чистому комп`ютері. Запустіть. Як можна спостерігати, після запуску програма починає розпаковувати свої файли в тимчасову папку C: Users імя_учеткі AppData Local Temp RarSfx0 (в нашому прикладі). Відстежити, куди розпаковується програма буде легше, якщо попередньо очистити тимчасові папки.

Перейменуйте папку з файлами Kaspersky Virus Removal Tool в щось більш зрозуміле, наприклад, в AVPTool і перенесіть її на флешку, DVD або інший носій. Підключіть носій до комп`ютера, який потрібно розблокувати.

Зайшовши в середу відновлення Windows 7 і запустивши провідник, перейдіть в папку з Virus Removal Tool. У ній знаходиться кілька файлів, один з яких виконується. Запустіть його від імені адміністратора. Через деякий час блокування Віндовс автоматично буде знято.

Як розблокувати Windows 7 за допомогою uVS

Цей інструмент призначений для досвідчених користувачів Віндовс. З його допомогою можна не тільки розблокувати систему, а й знаходити і видаляти будь-які віруси і трояни, у тому числі невідомі, яких немає в базах антивірусних продуктів. Використання цієї програми вимагає попереднього навчання, втім, довідкові матеріали по її використанню входять в дистрибутив.

Для запуску uVS в середовищі Windows RE попередньо потрібно розпакувати програму з архіву в окрему папку. Серед файлів є файл Start.exe, який безпосередньо і відповідає за запуск uVS. Його теж потрібно запустити від адміністратора.

• Після старту uVS, в наступному вікні натисніть кнопку «Вибрати каталог Віндовс».

• Виберіть в провіднику папку Windows, яку потрібно розблокувати.

• Клацніть «Запустити під поточним користувачем».

Після того, як програма завершить сканування заблокованою Windows 7, перед вами відкриється звіт, де в списку «Підозрілі і віруси» буде відображатися троян-блокувальник. У середовищі відновлення він не активний, тому його можна без зусиль видалити.

Найімовірніше, програма сама розпізнає шкідливий файл. А якщо виникають сумніви, клікніть по підозрілому файлу двічі, щоб відкрилося вікно з його властивостями.

Досвідчений користувач зможе розпізнати трояна за його властивостями: імені, розташуванню, хеш-сумам, ключам автозапуску і до решти.

• Щоб видалити цей файл і розблокувати комп`ютер, властивості і перейдіть в головне вікно. Клацніть по файлу правою кнопкою миші і з переліку можливих дій виберіть «Видалити всі посилання разом з файлом».

• Слідом натисніть кнопку «Додатково» в верхньому меню вікна і виберіть команду «Твіки».

• Зі списку твиков (налаштувань системного реєстру) виберіть «Скидання ключів Winlogon в первісний стан».

Ця команда відновить необхідні для запуску Windows 7 параметри реєстру і допоможе повністю розблокувати комп`ютер. Після видалення вінлокера і всіх його слідів, закрийте uVS і клацніть кнопку «Перезавантаження» у віконці параметрів відновлення.

Зняти блокування Windows 7 при зараженні MBRLock

Зараження головного завантажувального запису не дозволить вам запустити на заблокованому ПК середу відновлення, тому щоб розблокувати систему, потрібно зовнішній носій - так званий диск порятунку, які випускають великі антивірусні вендори. Ось деякі з них:

• Kaspersky Rescue Disk 10;

• Dr.Web® LiveCD-

• LiveCD ESET NOD32.

Щоб розблокувати з їх допомогою комп`ютер, досить записати завантажувальний образ на DVD або флеш-накопичувач, завантажити з нього «хвору» систему, запустити сканер і дочекатися закінчення «лікування». Проблема в 100% випадків успішно вирішується.