Как вылечить блокировку windows

Борьба с троянцами семейства
WinLock и MbrLock

(блокировщики Windows)

  Актуальность вопроса

Троянцы, блокирующие работу
Windows, с сентября 2009 года — одни из самых распространенных по частоте
проявления. Например, за декабрь 2010 года более 40% обнаруженных вирусов —
блокировщики Windows. Общее название подобных вредоносных программ —
Trojan.Winlock.XXX, где XXX — номер, присвоенный сигнатуре, которая позволяет
определить несколько (зачастую несколько сотен) схожих вирусов. Также подобные
программы могут относиться к типам Trojan.Inject или Trojan.Siggen, но такое
случается значительно реже.

Внешне троянец может быть двух
принципиальных видов. Первый: заставка на весь экран, из-за которой не видно
рабочий стол, второй: небольшое окно в центре. Второй вариант не закрывает экран
полностью, но баннер все равно делает невозможной полезную работу с ПК,
поскольку всегда держится поверх любых других окон.

Вот классический пример
внешнего вида программы Trojan.Winlock:

Цель троянца проста: добыть для
вирусописателей побольше денег с жертв вирусной атаки.

Наша задача — научиться быстро
и без потерь устранять любые баннеры, ничего не платя злоумышленникам. После
устранения проблемы необходимо написать заявление в полицию и предоставить
сотрудникам правоохранительных органов всю известную вам информацию.

Внимание! В текстах многих
блокировщиков встречаются различные угрозы («у вас осталось 2 часа», «осталось
10 попыток ввода кода», «в случае переустановки Windows все данные будут
уничтожены» и т. д.). В основном это не более чем блеф.

 Алгоритм действий по борьбе с Trojan.Winlock

Модификаций блокировщиков
существует великое множество, но и число известных экземпляров очень велико. В
связи с этим лечение зараженного ПК может занять несколько минут в легком случае
и несколько часов, если модификация еще не известна. Но в любой ситуации следует придерживаться
приведенного ниже алгоритма:

1. Подбор кода разблокировки.

 Коды разблокировки ко многим троянцам уже известны и занесены
в специальную базу, созданную специалистами компании «Доктор Веб». Чтобы
воспользоваться базой, перейдите по ссылке  https://www.drweb.com/xperf/unlocker/  

и попробуйте подобрать код. Инструкция по работе с базой
разблокировки:

https://support.drweb.com/show_faq?qid=46452743&lng=ru

Прежде всего, попробуйте
получить код разблокировки, воспользовавшись формой, позволяющей ввести текст
сообщения и номер, на который его нужно отправить. Обратите внимание на
следующие правила:

• Если требуется перевести деньги на счет или
  телефонный номер, в поле Номер необходимо указать номер счета или
  телефона, в поле Текст ничего писать не нужно.

• Если требуется перевести деньги на телефонный
  номер, в поле Номер необходимо указать номер телефона в формате
  8хххххххххх, даже если в баннере указан номер без цифры 8.

• Если требуется отправить сообщение на короткий
  номер, в поле Номер укажите номер,

• в поле Текст — текст сообщения.

• 
  Если
  сгенерированные коды не подошли — попробуйте вычислить название вируса с помощью
  представленных картинок. Под каждым изображением блокировщика указано его
  название. Найдя нужный баннер, запомните название вируса и выберите его в
  списке известных блокировщиков. Укажите в выпадающем списке имя вируса,
  поразившего ваш ПК, и скопируйте полученный код в строку баннера.

Обратите внимание, что, кроме
кода, может быть выдана другая информация:

• 
  Win+D to unlock
  — нажмите комбинацию клавиш
  Windows+D для разблокировки.

• 
  any 7 symbols
  — введите любые 7 символов.

• 
  Воспользуйтесь генератором выше
  
  или use generator above
  — используйте для получения кода разблокировки форму Номер-Текст
  в правой части окна.

• 
  Используйте форму
  или Пожалуйста,
  воспользуйтесь формой — используйте для получения кода разблокировки
  форму Номер-Текст в правой части окна.

Если подобрать ничего чего не
удалось

2. Если система заблокирована частично. Этот шаг относится
к случаям,  когда баннер «висит» в середине экрана, не занимая его целиком.
Если доступ заблокирован полностью — переходите сразу к шагу 3. Диспетчер задач
при этом блокируется аналогично полноэкранным версиям троянца, то есть завершить
вредоносный процесс обычными средствами нельзя.

Пользуясь остатками свободного пространства на экране, сделайте следующее:

1) Проверьте ПК свежей версией лечащей утилиты Dr.Web CureIt!
https://www.freedrweb.com/cureit/
.   Если вирус благополучно удален, дело можно считать сделанным, если ничего не
найдено — переходите к шагу 4.
2) Скачайте восстанавливающую утилиту Dr.Web Trojan.Plastix fix по ссылке
https://download.geo.drweb.com/pub/drweb/tools/plstfix.exe и запустите скачанный
файл. В окне программы нажмите Продолжить, и когда Plastixfix закончит работу,
перезагрузите ПК.
3) Попробуйте установить и запустить программу Process Explorer (скачать можно с
сайта
Microsoft: https://technet.microsoft.com/ru-ru/sysinternals/bb896653). Если
запуск удался —
нажмите мышью в окне программы кнопку с изображением прицела и, не отпуская ее,
наведите курсор на баннер. Когда вы отпустите кнопку, Process Explorer покажет
процесс,
который отвечает за работу баннера. 

3. Если доступа нет совсем.
Обычно
блокировщики полностью загромождают баннером экран, что делает невозможным
запуск любых программ, в том числе и Dr.Web CureIt! В этом случае необходимо
загрузиться с Dr.Web LiveCD или Dr.Web LiveUSB

https://www.freedrweb.com/livecd/  и проверить ПК на вирусы. После проверки
загрузите компьютер с жесткого диска и проверьте, удалось ли решить проблему.
Если нет — переходите к шагу 4.

4. Ручной поиск вируса.  Если вы дошли до этого пункта, значит

поразивший систему
троянец — новинка, и искать его придется вручную.

Для удаления блокировщика вручную необходимо получить доступ к
реестру Windows, загрузившись с внешнего носителя.
Обычно блокировщик запускается одним из двух известных способов.

•  Через автозагрузку в ветках реестра
  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce

• Путем подмены системных файлов(одного или нескольких)
  запускаемых в ветке HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
  NTCurrentVersionWinlogon
  или, например, файла taskmgr.exe.

Для работы нам понадобится Dr.Web LiveCD/USB(или другие средства
работы с внешним реестром).

Для работы с Dr.Web LiveCD/USB загрузите ПК с компакт-диска или
флешки, после чего скопируйте на флеш- карту следующие файлы:

C:WindowsSystem32configsoftware    
*файл не имеет расширения*
C:Document and SettingsВаше_имя_пользователяntuser.dat

В этих файлах содержится системный реестр зараженной машины.
Обработав их в программе Regedit, мы сможем очистить реестр от последствий
вирусной активности и одновременно найти подозрительные файлы.

Теперь перенесите указанные файлы на функционирующий ПК под
управлением Windows и сделайте следующее:

Запустите Regedit, откройте куст HKEY_LOCAL_MACHINE
и выполните Файл –> Загрузить куст.
В открывшемся окне укажите путь к файлу software, задайте имя (например,
текущую дату) для раздела и нажмите ОK.

В этом кусте необходимо проверить следующие ветки:
MicrosoftWindows NTCurrentVersionWinlogon:
Параметр Shell должен быть равен Explorer.exe. Если перечислены
любые другие файлы — необходимо записать их названия и полный путь к ним. Затем
удалить все лишнее и задать значение Explorer.exe.

Параметр userinit должен быть равен
C:Windowssystem32userinit.exe, (именно так, с запятой на конце, где C —
имя системного диска). Если указаны файлы после запятой — нужно записать их
названия и удалить все, что указано после первой запятой.
Встречаются ситуации, когда присутствует схожая ветвь с названием
MicrosoftWindowsNTCurrentVersionwinlogon.    Если эта
ветвь есть, ее необходимо удалить.

MicrosoftWindowsCurrentVersionRun — ветвь содержит
настройки объектов автозапуска.

Особенно внимательно следует отнестись к наличию здесь объектов,
отвечающих следующим критериям:

• Имена напоминают системные процессы, но программы запускаются
  из других папок
  (например, C:Documents and SettingsDimasvchost.exe).

• Имена вроде vip-porno-1923.avi.exe.

• Приложения, запускающиеся из временных папок.

• Неизвестные приложения, запускающиеся из системных папок
  (например, С:Windowssystem32install.exe).

• Имена состоят из случайных комбинаций букв и цифр
  (например, C:Documents and SettingsDima9423838776494238387764.exe).

Если подозрительные объекты присутствуют — их имена и пути
необходимо записать, а соответствующие им записи удалить из автозагрузки.

MicrosoftWindowsCurrentVersionRunOnce — тоже ветвь
автозагрузки, ее необходимо проанализировать аналогичным образом.

Завершив анализ, нажмите на имя загруженного раздела (в нашем
случае он называется по дате) и выполните Файл –> Выгрузить куст.

Теперь необходимо проанализировать второй файл — NTUSER.DAT.
Запустите Regedit, откройте куст HKEY_LOCAL_MACHINE и выполните
Файл –> Загрузить куст. В открывшемся окне укажите путь к файлу
NTUSER.DAT, задайте имя для раздела и нажмите ОK.

Здесь интерес представляют ветки
SoftwareMicrosoftWindowsCurrentVersionRun и
SoftwareMicrosoftWindowsCurrentVersionRunOnce, задающие объекты
автозагрузки.

Необходимо проанализировать их на наличие подозрительных
объектов, как указано выше.

Также обратите внимание на параметр Shell в ветке
SoftwareMicrosoftWindows NTCurrentVesionWinlogon. Он должен иметь
значение Explorer.exe. В то же время, если такой ветки нет вообще — все в
порядке.
Завершив анализ, нажмите на имя загруженного раздела (в нашем случае он
называется по дате) и выполните Файл –> Выгрузить куст.

Получив исправленный реестр и список подозрительный файлов,
необходимо сделать следующее:

Сохраните реестр пораженного ПК на случай, если что-то было
сделано неправильно.

Перенесите исправленные файлы реестра в соответствующие папки
на пораженном ПК с помощью Dr.Web LiveCD/USB (копировать с заменой файлов).
Файлы, информацию о которых вы записали в ходе работы — сохраните на флешке
и удалите из системы. Их копии необходимо отправить в вирусную лабораторию
компании «Доктор Веб» на анализ.

Попробуйте загрузить инфицированную машину с жесткого диска.
Если загрузка прошла
успешно и баннера нет — проблема решена. Если троянец по-прежнему
функционирует,
повторите весь пункт 4 этого раздела, но с более тщательным анализом
всех уязвимых и часто используемых вирусами мест системы.

Внимание! Если после лечения с помощью Dr.Web LiveCD/USB
компьютер не загружается
(начинает циклически перезагружаться, возникает BSOD), нужно сделать следующее:

Убедитесь, что в папке config находится один файл software.
Проблема может возникать, потому что в Unix-системах регистр в имени файлов
имеет значение (т. е. Software и software — разные имена, и эти
файлы могут находиться в одной папке), и исправленный файл software может
добавиться в папку без перезаписи старого. При загрузке Windows, в которой
регистр букв роли не играет, происходит конфликт и ОС не загружается. Если
файлов два — удалите более старый.

Если software один, а загрузка не происходит, высока
вероятность, что система поражена «особенной» модификацией Winlock. Она
прописывает себя в ветку HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
NTCurrentVersionWinlogon, в параметр Shell и перезаписывает файл
userinit.exe. Оригинальный userinit.exe хранится в той же папке, но
под другим именем (чаще всего 03014d3f.exe). Удалите зараженный userinit.exe
и переименуйте соответствующим образом 03014d3f.exe (имя может отличаться, но
найти его легко).
Эти действия необходимо провести, загрузившись с Dr.Web LiveCD/USB, после чего
попробовать загрузиться с жесткого диска.

На каком бы из этапов ни кончилась битва с троянцем,
необходимо обезопасить себя от
подобных неприятностей в будущем. Установите антивирусный пакет Dr.Web и
регулярно
обновляйте вирусные базы.

С помощью троянов семейства Winlock, известных как «блокировщики Windows», у рядовых пользователей вымогают деньги уже более пяти лет. К настоящему времени представители этого класса вредоносных программ серьёзно эволюционировали и стали одной из самых частых проблем. Ниже предлагаются способы самостоятельной борьбы с ними и даются рекомендации по предотвращению заражения.

Появление трояна в системе обычно происходит быстро и незаметно для пользователя. Человек выполняет привычный набор действий, просматривает веб-страницы и не делает чего-то особенного. В какой-то момент просто появляется полноэкранный баннер, который не удаётся убрать обычным способом.

Картинка может быть откровенно порнографической, или наоборот – оформлена максимально строго и грозно. Итог один: в сообщении, расположенном поверх других окон, требуется перечислить указанную сумму на такой-то номер или отправить платное SMS-сообщение. Часто оно дополняется угрозами уголовного преследования или уничтожения всех данных, если пользователь не поторопится с оплатой.

Разумеется, платить вымогателям не стоит. Вместо этого можно выяснить, какому оператору сотовой связи принадлежит указанный номер, и сообщить его службе безопасности. В отдельных случаях вам даже могут сказать код разблокировки по телефону, но очень рассчитывать на это не приходится.

Методики лечения основаны на понимании тех изменений, которые троян вносит в систему. Остаётся выявить их и отменить любым удобным способом.

Голыми руками

Для некоторых троянов действительно существует код разблокировки. В редких случаях они даже честно удаляют себя полностью после ввода верного кода. Узнать его можно на соответствующих разделах сайтов антивирусных компаний – смотрите примеры ниже.

Зайти в специализированные разделы сайтов «Доктор Веб», «Лаборатории Касперского» и других разработчиков антивирусного ПО можно с другого компьютера или телефона.

После разблокировки не радуйтесь преждевременно и не выключайте компьютер. Скачайте любой бесплатный антивирус и выполните полную проверку системы. Для этого воспользуйтесь, например, утилитой Dr.Web CureIt! или Kaspersky Virus Removal Tool.

Простым коням — простые меры

Прежде чем использовать сложные методы и спецсофт, попробуйте обойтись имеющимися средствами. Вызовите диспетчер задач комбинацией клавиш {CTRL}+{ALT}+{DEL} или {CTRL}+{SHIFT}+{ESC}. Если получилось, то мы имеем дело с примитивным трояном, борьба с которым не доставит проблем. Найдите его в списке процессов и принудительно завершите.

Посторонний процесс выдаёт невнятное имя и отсутствие описания. Если сомневаетесь, просто поочерёдно выгружайте все подозрительные до исчезновения баннера.

Если диспетчер задач не вызывается, попробуйте использовать сторонний менеджер процессов через команду «Выполнить», запускаемую нажатием клавиш {Win}+{R}. Вот как выглядит подозрительный процесс в System Explorer.

Скачать программу можно с другого компьютера или даже с телефона. Она занимает всего пару мегабайт. По ссылке «проверить» происходит поиск информации о процессе в онлайновой базе данных, но обычно и так всё понятно. После закрытия баннера часто требуется перезапустить «Проводник» (процесс explorer.exe). В диспетчере задач нажмите: Файл -> Новая задача (выполнить) -> c:Windowsexplorer.exe.

Когда троян деактивирован на время сеанса, осталось найти его файлы и удалить их. Это можно сделать вручную или воспользоваться бесплатным антивирусом.

Типичное место локализации трояна – каталоги временных файлов пользователя, системы и браузера. Целесообразно всё же выполнять полную проверку, так как копии могут находиться где угодно, а беда не приходит одна. Посмотреть полный список объектов автозапуска поможет бесплатная утилита Autoruns.

Военная хитрость

Справиться с трояном на первом этапе поможет особенность в поведении некоторых стандартных программ. При виде баннера попробуйте запустить «вслепую» Блокнот или WordPad. Нажмите {WIN}+{R}, напишите notepad и нажмите {ENTER}. Под баннером откроется новый текстовый документ. Наберите любую абракадабру и затем коротко нажмите кнопку выключения питания на системном блоке. Все процессы, включая троянский, начнут завершаться, но выключения компьютера не произойдёт.

Останется диалоговое окно «Сохранить изменения в файле?». С этого момента на время сеанса мы избавились от баннера и можем добить трояна до перезагрузки.

Старая школа

Более продвинутые версии троянов имеют средства противодействия попыткам избавиться от них. Они блокируют запуск диспетчера задач, подменяют другие системные компоненты.

В этом случае перезагрузите компьютер и удерживайте клавишу {F8} в момент загрузки Windows. Появится окно выбора способа загрузки. Нам требуется «Безопасный режим с поддержкой командной строки» (Safe Mode with Command Prompt). После появления консоли пишем explorer и нажимаем {ENTER} – запустится проводник. Далее пишем regedit, нажимаем {ENTER} и видим редактор реестра. Здесь можно найти созданные трояном записи и обнаружить место, откуда происходит его автозапуск.

Чаще всего вы увидите полные пути к файлам трояна в ключах Shell и Userinit в ветке

HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon

В «Shell» троян записывается вместо explorer.exe, а в «Userinit» указывается после запятой. Копируем полное имя троянского файла в буфер обмена из первой обнаруженной записи. В командной строке пишем del, делаем пробел и вызываем правой клавишей мыши контекстное меню.

В нём выбираем команду «вставить» и нажимаем {ENTER}. Один файл трояна удалён, делаем тоже самое для второго и последующих.

Затем выполняем в реестре поиск по имени файла трояна, внимательно просматриваем все найденные записи и удаляем подозрительные. Очищаем все временные папки и корзину. Даже если всё прошло идеально, не поленитесь затем выполнить полную проверку любым антивирусом.

Если из-за трояна перестали работать сетевые подключения, попробуйте восстановить настройки Windows Sockets API утилитой AVZ.

Операция под наркозом

Со случаями серьёзного заражения бесполезно бороться из-под инфицированной системы. Логичнее загрузиться с заведомо чистой и спокойно вылечить основную. Существуют десятки способов сделать это, но один из самых простых – воспользоваться бесплатной утилитой Kaspersky WindowsUnlocker, входящей в состав Kaspersky Rescue Disk. Как и DrWeb LiveCD, он основан на Gentoo Linux. Файл-образ можно записать на болванку или сделать из него загрузочную флэшку утилитой Kaspersky USB Rescue Disk Maker.

Предусмотрительные пользователи делают это заблаговременно, а остальные обращаются к друзьям или идут в ближайшее интернет-кафе уже во время заражения.

При включении заражённого компьютера удерживайте клавишу для входа в BIOS. Обычно это {DEL} или {F2}, а соответствующее приглашение отображается внизу экрана. Вставьте Kaspersky Rescue Disk или загрузочную флэшку. В настройках загрузки (Boot options) выберите первым загрузочным устройством привод оптических дисков или флэшку (иногда она может отображаться в раскрываемом списке HDD). Сохраните изменения {F10} и выйдите из BIOS.

Современные версии BIOS позволяют выбирать загрузочное устройство на лету, без входа в основные настройки. Для этого требуется нажать {F12}, {F11} либо сочетание клавиш – подробнее смотрите в сообщении на экране, в инструкции к материнской плате или ноутбуку. После перезагрузки начнётся запуск Kaspersky Rescue Disk.

Доступен русский язык, а лечение можно выполнить в автоматическом или ручном режиме – смотрите пошаговую инструкцию на сайте разработчика.

Борьба на раннем этапе

Отдельный подкласс составляют трояны, поражающие главную загрузочную запись (MBR). Они появляются до загрузки Windows, и в секциях автозапуска вы их не найдёте.

Первый этап борьбы с ними заключается в восстановлении исходного кода MBR. В случае XP для этого загружаемся с установочного диска Windows, нажатием клавиши {R} вызываем консоль восстановления и пишем в ней команду fixmbr. Подтверждаем её клавишей {Y} и выполняем перезагрузку. Для Windows 7 аналогичная утилита называется BOOTREC.EXE, а команда fixmbr передаётся в виде параметра:

Bootrec.exe/FixMbr

После этих манипуляций система вновь загружается. Можно приступать к поиску копий трояна и средств его доставки любым антивирусом.

В крестовый поход с крестовой отвёрткой

На маломощных компьютерах и особенно ноутбуках борьба с троянами может затянуться, так как загрузка с внешних устройств затруднена, а проверка выполняется очень долго. В таких случаях просто извлеките заражённый винчестер и подключите его для лечения к другому компьютеру. Для этого удобнее воспользоваться боксами с интерфейсом eSATA или USB 3.0/2.0.

Чтобы не разносить заразу, предварительно отключаем на «лечащем» компьютере автозапуск с HDD (да и с других типов носителей не мешало бы). Сделать это удобнее всего бесплатной утилитой AVZ, но саму проверку лучше выполнять чем-то другим. Зайдите в меню «Файл», выберите «Мастер поиска и устранения проблем». Отметьте «Системные проблемы», «Все» и нажмите «Пуск». После этого отметьте пункт «Разрешён автозапуск с HDD» и нажмите «Исправить отмеченные проблемы».

Также перед подключением заражённого винчестера стоит убедиться, что на компьютере запущен резидентный антивирусный мониторинг с адекватными настройками и есть свежие базы.

Если разделы внешнего жёсткого диска не видны, зайдите в «Управление дисками». Для этого в окне «Пуск» -> «Выполнить» напишите diskmgmt.msc и затем нажмите {ENTER}. Разделам внешнего жёсткого диска должны быть назначены буквы. Их можно добавить вручную командой «изменить букву диска…». После этого проверьте внешний винчестер целиком.

Для предотвращения повторного заражения следует установить любой антивирус с компонентом мониторинга в режиме реального времени и придерживаться общих правил безопасности:

• старайтесь работать из-под учётной записи с ограниченными правами;
• пользуйтесь альтернативными браузерами – большинство заражений происходит через Internet Explorer;
• отключайте Java-скрипты на неизвестных сайтах;
• отключите автозапуск со сменных носителей;
• устанавливайте программы, дополнения и обновления только с официальных сайтов разработчиков;
• всегда обращайте внимание на то, куда на самом деле ведёт предлагаемая ссылка;
• блокируйте нежелательные всплывающие окна с помощью дополнений для браузера или отдельных программ;
• своевременно устанавливайте обновления браузеров, общих и системных компонентов;
• выделите под систему отдельный дисковый раздел, а пользовательские файлы храните на другом.

Следование последней рекомендации даёт возможность делать небольшие образы системного раздела (программами Symantec Ghost, Acronis True Image, Paragon Backup and Recovery или хотя бы стандартным средством Windows «Архивация и восстановление»). Они помогут гарантированно восстановить работу компьютера за считанные минуты независимо от того, чем он заражён и могут ли антивирусы определить трояна.

В статье приведены лишь основные методы и общие сведения. Если вас заинтересовала тема, посетите сайт проекта GreenFlash. На страницах форума вы найдёте множество интересных решений и советы по созданию мультизагрузочной флэшки на все случаи жизни.

Распространение троянов Winlock не ограничено Россией и ближним зарубежьем. Их модификации существуют практически на всех языках, включая арабский. Помимо Windows, заражать подобными троянами пытаются и Mac OS X. Пользователям Linux не дано испытать радость от победы над коварным врагом. Архитектура данного семейства операционных систем не позволяет написать сколь-нибудь эффективный и универсальный X-lock. Впрочем, «поиграть в доктора» можно и на виртуальной машине с гостевой ОС Windows.