Вимагання грошей у користувачів шляхом блокування "запуск windows 7" "запуску Windows поступово виходить «з моди», але повністю поки себе не вичерпало. Пік заражень вінлокерамі припав на 2010 - 2011 роки - в той час то там, то тут спалахували епідемії, приносили збитки підприємствам, чималу шкоду домашнім користувачам та надзвичайні прибутки зловмисникам. Але скільки мотузочці НЕ витися ... До сьогоднішнього дня компанії-розробники антивірусів і окремі програмісти-ентузіасти випустили чимало засобів боротьби з блокувальниками, які будь-який потерпілий може використовувати абсолютно безкоштовно. Завдяки їм «заробітки» кіберзлочинців на ошуканих користувачів помітно знизилися.
Спробуємо розібратися, що являє собою trojan.winlock - троян вінлокер, які види їх більше поширені, а також як з ними боротися.
Способи блокування, використовувані вінлокерамі
Блокування робочого столу шляхом запуску троянця на ранньому етапі завантаження Віндовс. Троян може запускатися замість стандартної графічної оболонки (explorer.exe) або в ході виконання програми входу в систему. На скріншоті нижче показаний приклад банера вимагача на робочому столі.
Інтеграція троянського коду в критично важливі системні файли - explorer.exe, userinit.exe, taskmgr.exe і інші, в разі такого зараження поряд зі стандартним кодом Віндовс виконується і троянський код.
Налагодження системних процесів - створення в "реєстр windows 7" "реєстрі Windows особливих записів, які змушують систему запускати вірус замість нормального файлу.
Модифікація головного завантажувального запису вінчестера (MBR) або завантажувальних даних окремих розділів диска (VBR). На скріншоті показаний зовнішній вигляд MBR-блокатора.
Створення групових політик, максимально обмежують права облікового запису. Настільки, що користувач не може робити практично нічого.
Як розблокувати Windows 7?
Windows 7, на відміну від XP і Вісти, має особливий службовий розділ - середовище відновлення (Windows RE), яка разом з системою встановлюється на жорсткий диск. Вона має власний завантажувач, тому може запускатися незалежно від того, в якому стані перебуває основна система. Якщо для того, щоб розблокувати Віндовс XP, доводилося шукати інший завантажувальний носій, то в більшості випадків блокування Windows 7 це робити не обов`язково - всі операції з розблокування можна виконати з середовища відновлення. Виняток становить зараження MBR-Локерен.
Сьогодні практично кожен антивірусний продукт має в базі сигнатури всіх відомих вінлокеров. У середовищі відновлення Windows 7 можна запускати такі з них:
Dr.Web CureIt! - універсальну антивірусну утиліту для лікування активного зараження від Dr.Web;
Kaspersky Vurus Removal Tool - інструмент аналогічного призначення від Kasersky Lab.
uVS - утиліту для ручного лікування будь-яких вірусів автора Д. Кузнєцова.
Далі ми розберемося, як з ними працювати. Але спочатку завантажимо середу відновлення.
Запуск Windows RE
Перезавантажте комп`ютер. До початку старту системи кілька разів швидко натисніть клавішу F8. Коли на екрані з`явиться наступне меню
переведіть курсор на «Усунення неполадок комп`ютера» і клацніть Enter.
Виберіть мову, зручний вам для роботи в середовищі відновлення.
Виберіть учетку користувача, що має в системі адміністративні права. Введіть пароль.
Далі з відкрився перед вами вікна параметрів відновлення виберіть командний рядок. З її допомогою ви запустите провідник Віндовс і через нього відкриєте потрібні файли.
Щоб потрапити в папки, введіть у командному рядку слово notepad і натисніть Enter. Запуститься програма «Блокнот». Увійдіть в меню «Файл» і клацніть «Відкрити».
Команда «Відкрити» розгорне вікно провідника. Щоб ви змогли бачити різні типи файлів, а не тільки текстові, в поле «Тип файлів» поставте значення «Все файли».
Перейдіть в папку (це може бути жорсткий диск або флешка), де у вас збережена утиліта лікування.
Запуск CureIt в середовищі відновлення Windows 7
Щоб розблокувати Віндовс за допомогою утиліти від Dr. Web, скачайте її попередньо на іншому комп`ютері і запустіть звичайним способом.
Після того, як утиліта буде готова до сканування, знайдіть папку C: Users імя_учеткі AppData Local Temp FF02DAD8-C26C14C8-8A90FEE8-618206C0 (ім`я кінцевої папки змінюється), перейменуйте її та скопіюйте на флешку, DVD або інший носій , який можна буде підключити до заблокованого комп`ютера. У цій папці будуть перебувати розпаковані файли CureIt.
Серед іншого в цій папці буде 3 виконуваних файлу з розширенням .exe з іменами, що складаються з літер і цифр. Один з них і є антивірусний сканер - він нам і потрібен.
Для запуску сканера просто клікніть по ньому правою кнопкою мишки і виберіть з контекстного меню запуск від імені адміністратора. Через деякий час він виявить блокувальник і видалить його. Як бачите, розблокувати Віндовс за допомогою CureIt під силу будь-якому користувачеві.
Як розблокувати Windows 7 за допомогою Kaspersky Virus Removal Tool
Скачайте утиліту на чистому комп`ютері. Запустіть. Як можна спостерігати, після запуску програма починає розпаковувати свої файли в тимчасову папку C: Users імя_учеткі AppData Local Temp RarSfx0 (в нашому прикладі). Відстежити, куди розпаковується програма буде легше, якщо попередньо очистити тимчасові папки.
Перейменуйте папку з файлами Kaspersky Virus Removal Tool в щось більш зрозуміле, наприклад, в AVPTool і перенесіть її на флешку, DVD або інший носій. Підключіть носій до комп`ютера, який потрібно розблокувати.
Зайшовши в середу відновлення Windows 7 і запустивши провідник, перейдіть в папку з Virus Removal Tool. У ній знаходиться кілька файлів, один з яких виконується. Запустіть його від імені адміністратора. Через деякий час блокування Віндовс автоматично буде знято.
Як розблокувати Windows 7 за допомогою uVS
Цей інструмент призначений для досвідчених користувачів Віндовс. З його допомогою можна не тільки розблокувати систему, а й знаходити і видаляти будь-які віруси і трояни, у тому числі невідомі, яких немає в базах антивірусних продуктів. Використання цієї програми вимагає попереднього навчання, втім, довідкові матеріали по її використанню входять в дистрибутив.
Для запуску uVS в середовищі Windows RE попередньо потрібно розпакувати програму з архіву в окрему папку. Серед файлів є файл Start.exe, який безпосередньо і відповідає за запуск uVS. Його теж потрібно запустити від адміністратора.
Після старту uVS, в наступному вікні натисніть кнопку «Вибрати каталог Віндовс».
Виберіть в провіднику папку Windows, яку потрібно розблокувати.
Клацніть «Запустити під поточним користувачем».
Після того, як програма завершить сканування заблокованою Windows 7, перед вами відкриється звіт, де в списку «Підозрілі і віруси» буде відображатися троян-блокувальник. У середовищі відновлення він не активний, тому його можна без зусиль видалити.
Найімовірніше, програма сама розпізнає шкідливий файл. А якщо виникають сумніви, клікніть по підозрілому файлу двічі, щоб відкрилося вікно з його властивостями.
Досвідчений користувач зможе розпізнати трояна за його властивостями: імені, розташуванню, хеш-сумам, ключам автозапуску і до решти.
Щоб видалити цей файл і розблокувати комп`ютер, властивості і перейдіть в головне вікно. Клацніть по файлу правою кнопкою миші і з переліку можливих дій виберіть «Видалити всі посилання разом з файлом».
Слідом натисніть кнопку «Додатково» в верхньому меню вікна і виберіть команду «Твіки».
Зі списку твиков (налаштувань системного реєстру) виберіть «Скидання ключів Winlogon в первісний стан».
Ця команда відновить необхідні для запуску Windows 7 параметри реєстру і допоможе повністю розблокувати комп`ютер. Після видалення вінлокера і всіх його слідів, закрийте uVS і клацніть кнопку «Перезавантаження» у віконці параметрів відновлення.
Зняти блокування Windows 7 при зараженні MBRLock
Зараження головного завантажувального запису не дозволить вам запустити на заблокованому ПК середу відновлення, тому щоб розблокувати систему, потрібно зовнішній носій - так званий диск порятунку, які випускають великі антивірусні вендори. Ось деякі з них:
Kaspersky Rescue Disk 10;
Dr.Web® LiveCD-
LiveCD ESET NOD32.
Щоб розблокувати з їх допомогою комп`ютер, досить записати завантажувальний образ на DVD або флеш-накопичувач, завантажити з нього «хвору» систему, запустити сканер і дочекатися закінчення «лікування». Проблема в 100% випадків успішно вирішується.