Сайт о всевозможных мошенниках и аферах в сети Интернет.

Поиск по этому блогу

25 авг. 2011 г.

Вирус-вымогатель

Уж не знаю на сколько следующий пост соответствует общей тематике блога, но на сей раз речь пойдет о вирусе-вымогателе.

Скажу сразу, что понятия не имею где именно в сети подцепила этот троян. Просто в какой-то момент Windows ушел в ребут и больше не загрузился. Зато вместо цветастого логотипа появился не менее цветастый текст:

  WINDOWS ЗАБЛОКИРОВАН ЗА СТРОГОЕ НАРУШЕНИЕ!
  Ваш компьютер заблокирован за просмотр, копирование и тиражирование видео с элементами педофилии, детского порно и гей-порно.
  Для снятия блокировки Вам необходимо оплатить штраф в размере 200 гривен.
  Для этого, в любом терминале оплаты (автомате) попомните WebMoney кошелек U 232456732410 на указанную выше сумму.
  В случае оплаты суммы равной штрафу, либо превышающей ее, на фискальном чеке терминала Вы найдете код разблокировки. Его нужно ввести в поле в нижней части окна.
  После снятия блокировки Вы должны удалить все материалы, содержащие элементы насилия и педофилии. В случае отказа от оплаты, все данные на Вашем персональном компьютере будут безвозвратн уничтожены.


EnTeR c0d3: _

Перезагрузка ничего не дала, зато позволила выяснить, что добраться к меню загрузки Windows (а значит и к "Безопасному режиму") не выйдет. Все что можно было сделать - зайти в BIOS. В общем и целом - качественная блокировка Windows посредством переписывания Master Boot Record. MBR (или Основная Загрузочная Запись) - это первый сектор на жестком диске компьютера, с которого собственно и начинается процесс его загрузки. Он содержит информацию о порядке загрузки системы.

А теперь вопрос: что с этим "счастьем" делать? Начнем с того, чего делать не стоит - НЕ ПЛАТИТЬ. Хотя бы потому, что это не поможет. Никак. Совсем. Точно-точно.

А дальше два варианта - либо вызвать мастера, либо обойтись своими силами. Лично я решила копаться самостоятельно, о чем и пишу. =)

Собственно, существует несколько вариантов лечения. Но ниже будут описаны два из них. Так же, в конце статьи описано как вытащить важные файлы с полностью заблокированного компьютера.
№1. Используя антивирус
Инструкция:
Для начала нужно организовать себе доступ к "здоровой" машине с выходом в интернет. Дальше скачать любой LiveCD антивирус. Лично я использовала Kaspersky Rescue Disk, но это не принципиально, благо выбирать есть из чего:
  1. Kaspersky Rescue Disk;
  2. Dr.Web LiveCD;
  3. Спасательный Образ Vba32 Rescue;
  4. AVG Rescue CD.
Дальше нужно записать выбранный антивирус на диск (создается при помощи любой программы для записи оптических дисков, например тот же Nero Burning ROM) или флешку. В случае работы с Касперским понадобится специальная утилита (инструкция туточки).

Дальше на "больной" машине нужно зайти в меню BIOS (для этого зажимаем кнопку DELETE или F2 при загрузке) и поменять порядок загрузки - на первое место ставим диск или флешку, над которой колдовали (у меня этот трюк получился только с подключенной флешкой):
  1. Переходим в раздел BOOT.
  2. Ставим на первое место CD-ROM или USB накопитель.
Достаточно расплывчато, но точнее не могу - существует очень много разных версий BIOS, так что точную инструкцию конкретно для Вашего придется искать в сети. И не стоит особо экспериментировать с настройками - не зная что и как менять, можно такого наворотить, что компьютер просто откажется загружаться. BIOS штука серьезная и ранимая, и относиться к нему следует соответственно.

Теперь все готово. Достаточно просто перегрузить машину и вместо привычного Windows загрузится антивирус в котором нужно запустить  полную проверку на вирусы (как именно это сделать смотрим здесь же, но чуток пониже). У меня это дело заняло около 11 часов, но в итоге был найден и удален Trojan.Winlock.3300 - вирус из семейства вредоносных программ, которые блокируют или затрудняют работу Windows и требуют плату за восстановление этой самой работы.

Если антивирус ничего не нашел, значит вирус новее чем база у антивируса. В таком случае можно поменять антивирус или подождать день-два, и заново скачать тот, которым уже проверяли. 

№2. При помощи установочного диска Windows
Сохранился образ при помощи которого когда-то ставили Windows? Тогда вообще все просто - нужно восстановить MBR сектор. Но процедура несколько отличается для разных ОС. Так что жмем ниже на нужный.

Windows XP:
Загружаемся с диска. Если у вас мультизагрузочный диск - выбирайте пункт установки Windows, как если бы вы решили ее поставить. Нам нужно зайти в консоль восстановление. Многие путают консоль восстановления и ASR (автоматическое восстановление системы).


Не выбирайте пункт "Автоматическое восстановление системы". Это не консоль, нам нужно другое. Через некоторое время вы попадете в такое меню:


Нам нужно зайти в консоль восстановления, нажимайте клавишу "R" (или то, что будет написано у вас). Спустя некоторое время консоль загрузится.


Выбирайте ту операционную систему, которая стоит у вас. Если у вас ситуация как у меня, просто введите 1 и нажмите ввод.


Теперь нужно ввести пароль администратора, который вы задавали при установке Windows.


Все, мы находимся в консоли восстановления. Теперь нам нужно ввести следующую команду "fixmbr". Читаем предупреждение, долго думаем, соглашаемся (нажимаем английскую "Y") и жмем ввод.


Дополнительно можно выполнить команду "fixboot". Для выхода из консоли выполняем команду "exit".


Перезагружаем компьютер.
Windows Vista:
Вставляйте установочный диск и загружайтесь с него. Потом выбирайте интересующий вас язык инсталятора:


Если вы выберите русский, то и набирать будете по-русски, что при работе с командной строкой очень неприятное занятие. Переключение раскладок по-дефолту тут Alt+Shift.

После выбора языка не нужно устанавливать Vista снова. Просто кликайте на "Repair your computer".


Далее давите в следующем окне "Next" и в появившемся окне выбирайте сразу "Command Prompt", откроется окно терминала. Аналогичное тому, которое запускается командой cmd в работоспособной Windows.


Далее выполните две команды:
bootrec/fixboot
bootrec/fixmbr
Они восстановят нормальный загрузчик и вернут вашу ОС в рабочее состояние.
Windows 7:
Загружаемся с диска и выбираем "Восстановление системы":


Программа установки проведёт анализ конфигурации системы и найдёт установленные версии Windows. Выбираем использовать средства восстановления для нужной копии:


На следущем экране выбираем в качестве средства командную строку:


В открывшемся экране командной строки переходите на Ваш DVD-привод (буква его может быть разной, в зависимости от количества и способа подключения жёстких дисков и CD/DVD приводов), определяем опытным путём, набрав в консоли D: + Enter, E: + Enter и т.д до тех пор, пока не увидим диск с папкой boot:


Командой "cd boot" входим в директорию и следующей командой "bootsect /nt60 sys" копируем оригинальную MBR c установочного диска на ваш жёсткий диск. При успешном завершении вы должны увидеть такое сообщение:


В случае неудачи попробуйте повторить команду с ключом /MBR в конце.
При успешном завершении выходим из консоли командой "exit" и перезагружаем компьютер.

Собственно все. Вирус найден и обезврежен, Windows теперь никто не блокирует и он спокойно загрузится. Так же не лишним будет дополнительно проверить систему такими утилитами, как  AVZHijackThis и RSIT. Особо рьяные могут еще и переустановить антивирус - заменить устаревшую версию более современной. Делается это потому, что в каждом следующем поколении антивирусных программ совершенствуются методы поиска вредоносного ПО. А чем новее и совершеннее эти самые методы, тем сложнее вирусу прорваться на компьютер.

Кстати, есть вероятность, что в процессе проверки по первому сценарию дополнительно "всплывут" и другие вредоносные гости, и что после удаления всего зверинца Windows будет поврежден и грузиться не захочет уже из-за боевых "ранений". В таком случае можно либо полностью переустановить оперционную систему, либо просто ее восстановить (для этого нужен диск, с которого этот самый Windows когда-то ставился), либо вручную заменить поврежденные системные файлы (благо, Windows при загрузке сам напишет что именно менять).

А если не выходит восстановить/заменить файлы, и иных вариантов кроме сноса системы не предвидится, то будет нелишним предварительно сохранить все важные файлы.

Как это сделать:
Для этого понадобится две программы:
  • UltraISO (програмка для создания загрузочной флешки);
  • Mini Windows XP (ОС, которая запускается прямо с диска/флешки, этакий "карманный" Windows);
Дальше нужно либо записать Mini Windows XP на диск, либо установить UltraISO и создать загрузочную флешку (если знаете как работать с UltraISO - смело пропускайте следующую инструкцию):
  1. Нажимаем Ctrl+O, и в открывшемся окне ищем iso образ Mini Windows XP.
  2. В меню программы выбираем "Самозагрузка" -> "Записать образ Жесткого диска..."
  3. В открывшемся окне нажимаем кнопку "Записать" и ждем.
  4. Все. Загрузочная флешка готова =)
Дальше спокойно грузим Windows с носителя и копируем все самое нужно и важное.
Ну а после всех вышеописанных манипуляций можно написать жалобу в арбитраж WebMoney на владельца кошелька U232456732410. Для этого нужно определить WMID мошенника - по адресу passport.webmoney.ru/asp/VerifyWMID.asp вбиваем номер кошелька и система быстренько выдаст нужную страницу. Дальше - дело техники. К слову, на момент написания статьи было уже три претензии, и все три связаны именно с распространением вышеописанного вируса.

Хотя судя по всему это не единственный WMID мошенника - если немного поискать, то можно найти жалобы людей, которые тыкались с аналогичными вирусами, единственные отличия - сумма "штрафа", да номер кошелька - U225475893811U333570967767, U295953831445. 

30 комментариев:

  1. Спасибоооооо!!!

    ОтветитьУдалить
  2. Крайне полезная инструкция !
    Спасибо !

    Алексей

    ОтветитьУдалить
  3. щас попробуем....

    ОтветитьУдалить
  4. как вирус называется?

    ОтветитьУдалить
  5. Боюсь, что точнее чем Trojan.Winlock.3300 я его идентифицировать не могу =(

    ОтветитьУдалить
  6. А как сделать доступ к "здоровому" компу с интернетом???

    ОтветитьУдалить
  7. У меня дома два компьютера, так что при проблемах с одной машиной, можно просто временно пересесть за другую. Если так не получается, то можно попросить друзей/знакомых скачать все нужное, или сделать это на работе. Ну а если друзья/родственники/соседи/коллеги и так далее по списку, помочь не могут, то всегда можно сходить в ближайший интернет-клуб.

    ОтветитьУдалить
  8. А вот я столкнулся с версией данного вируса, которая НЕ удалилась даже после форматирования ВСЕГО винчестера! :(
    Я был в ШОКЕ!
    Пришлось затирать Викторией весь диск C:\
    Ибо затирание начальных секторов надпись не убрало! совершенно не понятно в каком секторе он прятался!
    Вот здесь: http://vkontakte.ru/topic-23717311_25109228
    фото монитора с удалёнными и НЕ созданными даже разделами винчестера!

    ОтветитьУдалить
  9. Кто скажет как сделать доступ к "здоровому" компу с интернетом???Срочно надо ведь на компе все файлы по работе и если я их не отдам во вторник меня уволят!

    ОтветитьУдалить
  10. Вирус этого умника исправил через Hirens boot CD, в нем есть SMART FDISK в нем надо выбрать исправить MBR и все. Интересно другое, куда же смотрят федералы ? Народ, не ведитесь на еСемесный ЛОХОТРОН. Удачи

    ОтветитьУдалить
  11. хм, видать вирус мутировал :)), изначально он был обычним ЕХЕшником загружаемый из под винды, удалялся елементрано в безопасном режиме. кстати и жалобу тоже писал на какой то кошелек самый первый

    ОтветитьУдалить
  12. У меня 5 минут назад такое произошло. Я выключила ноут ресетом и теперь все работает, как раньше. До этого Аваст мне предлагал варианты, открыть в песочнице или не открывать, перед этим. Я сначала нажала "не открывать", потом "открыть в песочнице" - и вот тогда окно и появилось. Но ресет все решает. Он лучший :D

    ОтветитьУдалить
  13. "ввести пароль администратора, который вы задавали при установке Windows@"
    вот когда вирусок научится менять этот пароль будет весело!

    ОтветитьУдалить
  14. Мошенничество в сети распространено и никак не прикрывается. То ли мозгов не хватает у правоохранительных органов, то ли желания просто нет.

    Кстати сказать, чаще всего распространено мошенничество с использованием SMS, а не кошельков WebMoney. Через короткие номера практически нереально выследить виновника, можно выследить лишь владельца этого номера, а они, как известно, всегда сдаются в аренду и владелец за них ответственности не несёт...

    ОтветитьУдалить
  15. Вчера мне тоже "повезло" с этим трояном винлоком 3300,попытался удалить через лечащий диск от касперыча,но он его в упор не видит,баннер висит и нагло требует 400 р. Сейчас попробую диском от Веба.

    ОтветитьУдалить
  16. Песочница тебе помогла, а не ресет лучший)))

    ОтветитьУдалить
  17. Песочница тебе помогла, а не ресет лучший)))Хи-хи, точно!Вообще, эту хрень можно подцепить на всплывающих окнах, так что выбирайте в антивирах данную опцию, а еще при рельном просмотре порно, это 100%, может кому-то и надо такого вируса подцепить что бы охладить голову и другие места. Нет порнографии!

    ОтветитьУдалить
  18. Автору спасибо и долгих лет жизни))))!!!!!

    ОтветитьУдалить
  19. При изменении в биосе комп ВСЕ РАВНО НЕ грузитcя ниоткуда кроме ВИНЧЕСТЕРА какой установочный диск какой антивирус
    с чего его запустить???

    ОтветитьУдалить
  20. Большое спасибо!!! Заработало....

    ОтветитьУдалить
  21. благодарю за полезную статью - помогло

    ОтветитьУдалить
  22. самый простой и быстрый способ :-)

    ОтветитьУдалить
  23. Анонимный1 марта 2012 г., 3:06

    Огроменное Спасибо! Помогло! Автору желаю Большого Счастья!!!

    ОтветитьУдалить
  24. а я винду просто снес!!!

    ОтветитьУдалить
  25. Сегодня столкнулся с новой версией этого вируса. Метод "№2. При помощи установочного диска Windows" уже не подходит, потому что винда не видит установленной системы. Вирус убивает МБР и структуру дисков, и получается один большой не отформатированный жесткий.

    ОтветитьУдалить
    Ответы
    1. Увы, но мошенники не стоят на месте.
      Отец тоже поймал усовершенствованную вариацию этой заразы. Пришлось снимать винт и восстанавливать таблицу разделов( А дальше уже по вышеуказанной инструкции.

      Удалить
  26. Анонимный19 июля 2012 г., 10:24

    Спасибо, действие с виндовс в смд помогло зразу)) но с командой /bmr

    ОтветитьУдалить
  27. Привет всем порнущникам!!!

    ОтветитьУдалить