Уж не знаю на сколько следующий пост соответствует общей тематике блога, но на сей раз речь пойдет о вирусе-вымогателе.
Скажу сразу, что понятия не имею где именно в сети подцепила этот троян. Просто в какой-то момент Windows ушел в ребут и больше не загрузился. Зато вместо цветастого логотипа появился не менее цветастый текст:
Перезагрузка ничего не дала, зато позволила выяснить, что добраться к меню загрузки Windows (а значит и к "Безопасному режиму") не выйдет. Все что можно было сделать - зайти в BIOS. В общем и целом - качественная блокировка Windows посредством переписывания Master Boot Record. MBR (или Основная Загрузочная Запись) - это первый сектор на жестком диске компьютера, с которого собственно и начинается процесс его загрузки. Он содержит информацию о порядке загрузки системы.
А теперь вопрос: что с этим "счастьем" делать? Начнем с того, чего делать не стоит - НЕ ПЛАТИТЬ. Хотя бы потому, что это не поможет. Никак. Совсем. Точно-точно.
А дальше два варианта - либо вызвать мастера, либо обойтись своими силами. Лично я решила копаться самостоятельно, о чем и пишу. =)
Собственно, существует несколько вариантов лечения. Но ниже будут описаны два из них. Так же, в конце статьи описано как вытащить важные файлы с полностью заблокированного компьютера.
№1. Используя антивирус
Скажу сразу, что понятия не имею где именно в сети подцепила этот троян. Просто в какой-то момент Windows ушел в ребут и больше не загрузился. Зато вместо цветастого логотипа появился не менее цветастый текст:
WINDOWS ЗАБЛОКИРОВАН ЗА СТРОГОЕ НАРУШЕНИЕ! Ваш компьютер заблокирован за просмотр, копирование и тиражирование видео с элементами педофилии, детского порно и гей-порно. Для снятия блокировки Вам необходимо оплатить штраф в размере 200 гривен. Для этого, в любом терминале оплаты (автомате) попомните WebMoney кошелек U 232456732410 на указанную выше сумму. В случае оплаты суммы равной штрафу, либо превышающей ее, на фискальном чеке терминала Вы найдете код разблокировки. Его нужно ввести в поле в нижней части окна. После снятия блокировки Вы должны удалить все материалы, содержащие элементы насилия и педофилии. В случае отказа от оплаты, все данные на Вашем персональном компьютере будут безвозвратн уничтожены. EnTeR c0d3: _ |
Перезагрузка ничего не дала, зато позволила выяснить, что добраться к меню загрузки Windows (а значит и к "Безопасному режиму") не выйдет. Все что можно было сделать - зайти в BIOS. В общем и целом - качественная блокировка Windows посредством переписывания Master Boot Record. MBR (или Основная Загрузочная Запись) - это первый сектор на жестком диске компьютера, с которого собственно и начинается процесс его загрузки. Он содержит информацию о порядке загрузки системы.
А теперь вопрос: что с этим "счастьем" делать? Начнем с того, чего делать не стоит - НЕ ПЛАТИТЬ. Хотя бы потому, что это не поможет. Никак. Совсем. Точно-точно.
А дальше два варианта - либо вызвать мастера, либо обойтись своими силами. Лично я решила копаться самостоятельно, о чем и пишу. =)
Собственно, существует несколько вариантов лечения. Но ниже будут описаны два из них. Так же, в конце статьи описано как вытащить важные файлы с полностью заблокированного компьютера.
№1. Используя антивирус
Инструкция:
№2. При помощи установочного диска Windows
Сохранился образ при помощи которого когда-то ставили Windows? Тогда вообще все просто - нужно восстановить MBR сектор. Но процедура несколько отличается для разных ОС. Так что жмем ниже на нужный.
Windows XP:
Windows Vista:
Windows 7:
Собственно все. Вирус найден и обезврежен, Windows теперь никто не блокирует и он спокойно загрузится. Так же не лишним будет дополнительно проверить систему такими утилитами, как AVZ, HijackThis и RSIT. Особо рьяные могут еще и переустановить антивирус - заменить устаревшую версию более современной. Делается это потому, что в каждом следующем поколении антивирусных программ совершенствуются методы поиска вредоносного ПО. А чем новее и совершеннее эти самые методы, тем сложнее вирусу прорваться на компьютер.
Кстати, есть вероятность, что в процессе проверки по первому сценарию дополнительно "всплывут" и другие вредоносные гости, и что после удаления всего зверинца Windows будет поврежден и грузиться не захочет уже из-за боевых "ранений". В таком случае можно либо полностью переустановить оперционную систему, либо просто ее восстановить (для этого нужен диск, с которого этот самый Windows когда-то ставился), либо вручную заменить поврежденные системные файлы (благо, Windows при загрузке сам напишет что именно менять).
А если не выходит восстановить/заменить файлы, и иных вариантов кроме сноса системы не предвидится, то будет нелишним предварительно сохранить все важные файлы.
Как это сделать:
Ну а после всех вышеописанных манипуляций можно написать жалобу в арбитраж WebMoney на владельца кошелька U232456732410. Для этого нужно определить WMID мошенника - по адресу passport.webmoney.ru/asp/VerifyWMID.asp вбиваем номер кошелька и система быстренько выдаст нужную страницу. Дальше - дело техники. К слову, на момент написания статьи было уже три претензии, и все три связаны именно с распространением вышеописанного вируса.
Хотя судя по всему это не единственный WMID мошенника - если немного поискать, то можно найти жалобы людей, которые тыкались с аналогичными вирусами, единственные отличия - сумма "штрафа", да номер кошелька - U225475893811, U333570967767, U295953831445.
Спасибоооооо!!!
ОтветитьУдалитьКрайне полезная инструкция !
ОтветитьУдалитьСпасибо !
Алексей
щас попробуем....
ОтветитьУдалитькак вирус называется?
ОтветитьУдалитьБоюсь, что точнее чем Trojan.Winlock.3300 я его идентифицировать не могу =(
ОтветитьУдалитьА как сделать доступ к "здоровому" компу с интернетом???
ОтветитьУдалитьУ меня дома два компьютера, так что при проблемах с одной машиной, можно просто временно пересесть за другую. Если так не получается, то можно попросить друзей/знакомых скачать все нужное, или сделать это на работе. Ну а если друзья/родственники/соседи/коллеги и так далее по списку, помочь не могут, то всегда можно сходить в ближайший интернет-клуб.
ОтветитьУдалитьА вот я столкнулся с версией данного вируса, которая НЕ удалилась даже после форматирования ВСЕГО винчестера! :(
ОтветитьУдалитьЯ был в ШОКЕ!
Пришлось затирать Викторией весь диск C:\
Ибо затирание начальных секторов надпись не убрало! совершенно не понятно в каком секторе он прятался!
Вот здесь: http://vkontakte.ru/topic-23717311_25109228
фото монитора с удалёнными и НЕ созданными даже разделами винчестера!
Кто скажет как сделать доступ к "здоровому" компу с интернетом???Срочно надо ведь на компе все файлы по работе и если я их не отдам во вторник меня уволят!
ОтветитьУдалитьВирус этого умника исправил через Hirens boot CD, в нем есть SMART FDISK в нем надо выбрать исправить MBR и все. Интересно другое, куда же смотрят федералы ? Народ, не ведитесь на еСемесный ЛОХОТРОН. Удачи
ОтветитьУдалитьхм, видать вирус мутировал :)), изначально он был обычним ЕХЕшником загружаемый из под винды, удалялся елементрано в безопасном режиме. кстати и жалобу тоже писал на какой то кошелек самый первый
ОтветитьУдалитьУ меня 5 минут назад такое произошло. Я выключила ноут ресетом и теперь все работает, как раньше. До этого Аваст мне предлагал варианты, открыть в песочнице или не открывать, перед этим. Я сначала нажала "не открывать", потом "открыть в песочнице" - и вот тогда окно и появилось. Но ресет все решает. Он лучший :D
ОтветитьУдалить"ввести пароль администратора, который вы задавали при установке Windows@"
ОтветитьУдалитьвот когда вирусок научится менять этот пароль будет весело!
Мошенничество в сети распространено и никак не прикрывается. То ли мозгов не хватает у правоохранительных органов, то ли желания просто нет.
ОтветитьУдалитьКстати сказать, чаще всего распространено мошенничество с использованием SMS, а не кошельков WebMoney. Через короткие номера практически нереально выследить виновника, можно выследить лишь владельца этого номера, а они, как известно, всегда сдаются в аренду и владелец за них ответственности не несёт...
Вчера мне тоже "повезло" с этим трояном винлоком 3300,попытался удалить через лечащий диск от касперыча,но он его в упор не видит,баннер висит и нагло требует 400 р. Сейчас попробую диском от Веба.
ОтветитьУдалитьПесочница тебе помогла, а не ресет лучший)))
ОтветитьУдалитьПесочница тебе помогла, а не ресет лучший)))Хи-хи, точно!Вообще, эту хрень можно подцепить на всплывающих окнах, так что выбирайте в антивирах данную опцию, а еще при рельном просмотре порно, это 100%, может кому-то и надо такого вируса подцепить что бы охладить голову и другие места. Нет порнографии!
ОтветитьУдалитьАвтору спасибо и долгих лет жизни))))!!!!!
ОтветитьУдалитьПри изменении в биосе комп ВСЕ РАВНО НЕ грузитcя ниоткуда кроме ВИНЧЕСТЕРА какой установочный диск какой антивирус
ОтветитьУдалитьс чего его запустить???
Большое спасибо!!! Заработало....
ОтветитьУдалитьблагодарю за полезную статью - помогло
ОтветитьУдалитьсамый простой и быстрый способ :-)
ОтветитьУдалитьОгроменное Спасибо! Помогло! Автору желаю Большого Счастья!!!
ОтветитьУдалитьа я винду просто снес!!!
ОтветитьУдалитьДЯКУЮ!
ОтветитьУдалитьСегодня столкнулся с новой версией этого вируса. Метод "№2. При помощи установочного диска Windows" уже не подходит, потому что винда не видит установленной системы. Вирус убивает МБР и структуру дисков, и получается один большой не отформатированный жесткий.
ОтветитьУдалитьУвы, но мошенники не стоят на месте.
УдалитьОтец тоже поймал усовершенствованную вариацию этой заразы. Пришлось снимать винт и восстанавливать таблицу разделов( А дальше уже по вышеуказанной инструкции.
спасибо!!
ОтветитьУдалитьСпасибо, действие с виндовс в смд помогло зразу)) но с командой /bmr
ОтветитьУдалитьПривет всем порнущникам!!!
ОтветитьУдалить