Windows заблокирован - вирус винлокер. Как разблокировать без оплаты.

 

Для расширения кругозора...

Первая программа-вымогатель появилась 22 года назад, в декабре 1989 года. Пользователи получили по почте дискеты с программой, предоставляющей информацию о СПИДе. После установки программы система приводилась в неработоспособное состояние, для восстановление которого, с пользователей вымогали денежные средства.

Первый SMS-блокер был зарегистрирован четыре года назад, 25 октября 2007 года. Вымогатель инсценировал сбой системы (BSOD [Blue Screen Of Dead - синий экран смерти]) и практически полностью блокировал управление операционной системой.

Почему и как этот троян оказалась на моем компьютере?

Однозначного ответа на этот вопрос нет, перечислю только наиболее популярные версии:

  • был отключен антивирус;
  • антивирусные базы были неактуальны, отсюда следует следующий пункт;
  • антивирус еще "не знает" конкретно эту модификацию трояна в принципе, или в связи с предыдущим пунктом, и поэтому пропустил ее;
  • Вы самостоятельно могли запустить троян под видом какой-либо полезной программы, например, под видом недостающего в системе кодека для воспроизведения видео;
  • эксплоит (компьютерная программа, фрагмент программного кода или последовательность команд, использующие уязвимости в ПО и применяемые для проведения атаки на вычислительную систему) на каком-нибудь избранном сайте "втюхал" Вам его. И не факт, что это был сайт с порнухой, это мог быть, например, сайт о музыке (сайты взламывают и внедряют вредоносный код, который незаметно установит Вам этот баннер).

 

Особенности заражения этим видом винлокера.

Месяцем ранее, я написал статью "Удаление трояна-винлокера (Win32/LockScreen). Завершение сеанса Windows на стадии загрузки личных параметров", о том, как избавиться от троянов-винлокеров. Однако вскоре, появились комментарии о том, что многим не помогает описанный в статье способ. Все это, а также тот факт, что мне накануне принесли компьютер с подобным "неудаляемым" трояном, который действительно не захотел удаляться описанным в статье способом, все это сподвигло меня написать статью, которую Вы сейчас читаете. Да, это несколько другой, т.с. более "продвинутый" тип трояна, который не убрать с помощью действий описанных в предыдущей статье. В рамках этой статьи, мы устраним данный пробел. Но сначала, коротко рассмотрим деструктивные действия подобных типов троянов, эти знания помогут нам в его удалении.

1. Файл C:\Windows\System32\userinit.exe переименовывается в 03014D3F.exe, а может быть и вовсе удален. В последнем случае, нужно взять копии файлов с другой машины или... в прочем, об этом будет написано далее по тексту.

2. На место переименованного или удаленного файла userinit.exe троян размещает свою копию файла. А т.к. userinit.exe всегда грузиться при старте ОС Windows, такие действия обеспечивают ему 99,9% успех в заражении Вашего компьютера.

3. Кроме этого, троян может подменить следующие файлы:

  • C:\Windows\System32\dllcache\taskmgr.exe
  • C:\Windows\System32\taskmgr.exe

4. Но и этого для него недостаточно, он копирует себя в C:\Documents and Settings\All Users\Application Data\22CC6C32.exe

В C:\Documents and Settings\All Users\Application Data\ возможна еще одна копия этого файла, но уже с другим именем, например, vvvvv6666.exe или yyyy21.exe, или lvFPZ9jtDNX.exe.

Примечание: Обратите внимание на все файлы с подобными странными именами (бессмысленный набор цифр и/или букв), с расширением exe, в папке C:\Documents and Settings\All Users\Application Data\

5. На рабочем столе Вашего профиля возможно появится файл test.exe, который также следует удалить.

6. Для полного счастья, троян прописывается в реестре:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell="C:\Documents and Settings\All Users\Application Data\22CC6C32.exe"

 

Кода разблокировки у него нет!

После активации Trojan.WinLock.3266 и подобных, работа на компьютере станет невозможной, а за оказание услуги возвращения прежней работоспособности ПК с Вас потребуют внесения денежных средств. Однако, в результате Вы не получите ничего, т.к. я подозреваю, что для кнопочки "Разблокировать" вполне возможно забыли написать какую-либо функцию вообще. Зачем "заморачиваться" и писать обработчик для кнопки Разблокировать, если цель "срубить" бабок, а не предоставить пользователю возможность самостоятельно отключить этот баннер.

Сервисы антивирусных компаний по генерации кодов разблокировки не помогут:

Тем не менее, данное вредоносное ПО легко удалить с помощью загрузочного диска, получив доступ к реестру неактивной копии Windows и системному диску.

ВНИМАНИЕ! Не ищите легких путей, "не видитесь на развод", не платите деньги за вымогательство и шантаж, не спонсируйте жуликов. После оплаты услуги, разблокировки Windows Вы не получите!

План действий:

  • Загрузиться с любого диска LiveCD. Как я уже сказал, подойдет любой диск, который способен предоставить доступ к файлам Windows и умеет работать с реестром неактивной копии Windows.
  • Получив доступ к файлам Windows, удалить следующие файлы:
    • c рабочего стола Вашего профиля test.exe;
    • из папки Ваш_системный_диск\Windows\system32\userinit.exe;
    • из папки Documents and Settings\All Users\Application Data\22CC6C32.exe
  • Найти в папке Ваш_системный_диск\Windows\system32\ файл 03014D3F.exe и переименовать его в userinit.exe.
  • Слегка "подшаманить" реестр.
  • Перезагрузиться.
  • Проверить компьютер на вирусы, и целостность системных файлов.

 

Теперь более подробно.

Искать причину всегда следует с проверки файлов, отвечающих за процесс загрузки операционной системы, а именно, с файла, который ответственен за запуск оболочки Windows.

Файл userinit.exe является частью операционных систем Windows и именно он отвечает за процесс загрузки ОС. На этот файл возложены задачи восстановления сетевых подключений и запуска оболочки. Процесс является критическим для функционирования операционной системы. Попытки его отключить или удалить приведут к невозможности загрузки ОС. Очень вероятно, что у Вас этот файл поврежден или удален (заменен), также возможно, что были изменены некоторые ключи реестра.

Примечание: Обращаю Ваше внимание на то обстоятельство, что данный процесс никогда не виден в диспетчере задач, за исключением нескольких секунд после входа в систему. Присутствие такого процесса в диспетчере задач может означать только одно - компьютер заражен вредоносным ПО.

Так как данный процесс отвечает за загрузку операционной системы, часто вирусописаки и распространители шпионского ПО скрывают свои программы в этом процессе. Например, злонамеренные файлы могут иметь такое же имя, но быть расположены вне директории %SystemRoot%\System32. Другие злонамеренные программы могут использовать похожее имя файла и т.д.

Для устранения всех вышеперечисленных проблем нам потребуется диск, представляющий собой урезанную версию Windows XP, которая загружается с CD. Например, Windows PE Russian Live CD (11.11.2009) (торрент, 1.39 Гб), использование любого другого диска не возбраняется, важно, чтобы он предоставлял доступ к файлам Windows и умел работать с реестром неактивной копии Windows, содержал программу ERD Commander или подобную. Я буду описывать всю процедуру "лечения", на примере вышеназванной версии LiveCD. Скачал ее давным-давно и меня она пока всем устраивает. Советую держать подобные диски всегда под рукой!

1. Запишите скаченный образ на диск (можно на CD-R/RW или DVD-R/RW) любой удобной Вам программой. Формат диска выбирается в зависимости от размера файла-образа. Я записываю iso-образы на диски при помощи программы CDBurnerXP, классная программа, ничего лишнего и пишет без ошибок. Имейте ввиду, что если Вы просто скопируете файл образа на диск, то он не загрузится).

Посредством кнопки Browse... указываете ISO-образ для записи. Из раскрывающегося списка Конечное устройство, выбираете куда писать (по умолчанию привод DVD). Нажимаете кнопку Записать диск.

Понятно, что сделать это нужно заранее, иначе потом будет поздно. На своем компьютере Вы, после активации трояна, записать ничего не сможете и придется просить друзей-знакомых. Поэтому запишите диск сейчас и держите его рядом!

2. В BIOS выбираете загрузку с CD-ROM и загружаете систему с Вашего LiveCD.

Существуют различные версии BIOS с различной организацией меню. Чтобы войти в BIOS нужно после включения компьютера нажать Del, F2, F8, F10, F6 или Ins. После входа в BIOS нужно найти раздел под названием Boot Device Priority или созвучный, или, как у меня на скриншотах ниже и выбрать первичным устройством оптический привод (или USB-устройство), с которого Вы планируете загружаться. После выбора нужно выйти, сохранив внесенные изменения, как правило, клавишей F10, F11, или выбрав пункт меню Save & Exit Setup или, что-то типа того.

Приведу пример подобной настройки для Award BIOS на одном из своих компьютеров.

Сразу после включения компьютера, Вам подскажут какую кнопку нужно нажать для того, чтобы попасть в BIOS Setup. Однако, прочитать и нажать требуемую кнопку нужно быстро, иначе придется повторно перезагружаться.

DEL: BIOS Setup

Настроили таким образом, что в первую очередь, загрузочная запись "ищется" на CDROM, при ее отсутствии, на флешке, а при отсутствии и там, и там, на HDD.

По клавише Esс выходим в предыдущее меню, оно же главное, и выбираем пункт Save & Exit Setup или нажимаем клавишу F10.

3. После сохранения настроек BIOS, компьютер приступает к перезагрузке, а Вы незамедлительно вставляете диск в дисковод. Если появится сообщение вида: If you want to boot from CD, press any key, нажмите любую клавишу на клавиатуре. В противном случае Вы не увидите загрузочное меню Вашего диска, а загрузка продолжится с жесткого диска, т.е. загрузится зараженная ОС. Загружайте ОС с диска...

4. Загрузившись с диска, открывайте Мой компьютер и на диске, где у Вас находится зараженная трояном ОС (вероятнее всего, что это диск "C"), откройте папку Documents and settings (если у Вас заражена Windows XP) или Users (если Vista или Windows 7). В открытой папке найдите и откройте папку Вашего профиля (ее название совпадает с именем пользователя, под которым Вы работаете в ОС), дальше откройте папку Рабочий стол (Desktop) и удалите из нее файл test.exe.

После удаления вернитесь в корень текущего диска, откройте папку Windows и перейдите в папку system32, где найдите и удалите файл userinit.exe.

Не меняя папки найдите файл 03014D3F.exe и переименуйте его название в userinit.exe.

Вернитесь в папку с профилями (Documents and settings (если XP) или Users (для Vista/7)) и войти в папку All Users. В ней Application Data и удалите файл под названием 22CC6C32.exe.

Вирус удален! Остается подчистить следы его пребывания в ОС.

5. Откройте ПУСК -> Система -> ERD Commander -> ErdRoot.

6. Укажите папку с установленной ("зараженной") Windows и нажмите ОК.

На картинке выше можно увидеть, что на доверенном мне компьютере, ОС установлена на диск "D", это скорее исключение из правил, обычно она ставится на "С".

7. Возвращаемся за редактором реестра, для этого открываем ПУСК -> Система -> ERD Commander -> RegEdit. Т.е. после выполнения предыдущего шага у Вас будет уверенность в том, что мы не будем править реестр LiveCD, а будем править именно реестр "испорченной" ОС. Если бы мы сразу запустили RegEdit, то занялись бы тем, что правили реестр LiveCD и ни к чему бы это действие нас не привело :)

8. Получив доступ к реестру Windows, переходим к ветке реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Переходим на правую панель редактора реестра и проверяем следющие ключи: Shell и Userinit.

Должно быть так (стандартные значения):

  • Userinit = C:\Windows\system32\userinit.exe;
  • UIHost = logonui.exe;
  • Shell = explorer.exe;
  • VmApplet = rundll32 shell32,Control_RunDLL "sysdm.cpl".

Подробнее о стандартных значениях:

Shell = explorer.exe, если у Вас написано что-то другое, то это означает, что у Вас подменен проводник Windows.

Userinit = C:\Windows\system32\userinit.exe, этот ключ определяет программы (перечислены через запятую), которые Winlogon запускает, когда пользователь входит в систему. По умолчанию, Winlogon запускает файл userinit.exe, который в свою очередь стартует logon-скрипты, устанавливает сетевые подключения, а затем запускает explorer.exe, т.е. пользовательский интерфейс Windows.

Прописав путь к какой-нибудь программе ДО userinit.exe, можно запустить ее прежде, чем стартует интерфейс Windows Explorer, а, прописав путь ПОСЛЕ, – обозначить старт конкретного приложения сразу после появление пользовательского интерфейса. Блокеры очень часто изменяют этот ключ, дописывая путь до своего исполняемого файла:

  • Userinit = %systemfolder%\userinet.exe, [путь до исполняемого файла блокера]

Обратите внимание, что последнее время создатели вирусов скрывают свои творения под названиями "правильных" программ, так в ключе Shell может находиться Explorеr.exe, у которого в названии одна буква "е" - на русской раскладке или в ключе Userinit запускается userinit.exe, также содержащий русскую букву. Однако, это уже совсем другие файлы! Поэтому наберите эти строки с клавиатуры самостоятельно.

9. Исправьте значения ключей Shell и Userinit на стандартные значения приведенные выше.

Если параметры Shell и Userinit не изменены, тогда найдите раздел HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options и раскройте его. Если в нем присутствует подраздел explorer.exe, удалите его.

10. Внимаем советам из комментариев к предыдущей статье:

Благодарствую за проявленную активность!

11. Идем в C:\WINDOWS\system32\ и смотрим время изменения файлов userinit.exe, Winlogon.exe и taskmgr.exe. После чего, проверяем файл explorer.exe в каталоге C:\WINDOWS. В случае изменения файлов, заменяем их оригиналами с рабочих компьютеров (можно взять с установочного диска Windows).

Если какого-то файла нет, попробуйте запустить обычный поиск по Вашему диску, если найдете эти файлы то скопируйте их в соответствующие директории. Если не нашли, тогда возьмите их с другой такой же копии ОС. Если не ошибаюсь, то файл userinit.exe можно также найти в папке C:\Windows\system32\dllcache\.

Можно воспользоваться установочным диском: expand X:\i386\userinit.ex_ C:\WINDOWS\system32\userinit.exe, где Х - буква CD установочного диска, а операционная система, предположительно, находится на диске C.

12. Перезагружаемся...

По идее, Windows должен быть разблокирован, вирус удален, а финансы сохранены. Тем не менее, советую проверить систему свежим антивирусом, например, одноразовым Касперским, Dr.Web'ом или NOD'ом.

На этом я заканчиваю свое повествование. Всем Удачи!

Постскриптум. После излечения Вашего компьютера от подобных вирусов, может получиться так, что зараженными остались еще какие-нибудь системные файлы. Как правило, антивирус их удаляет или отправляет на карантин. Чтобы их восстановить, нажмите кнопку ПУСК -> Выполнить, наберите sfc /scannow и нажмите ОК. В приводе должен находиться установочный диск с соответствующей ОС (в случае чего, с этого диска будут скопированы оригинальные системный файлы).

Источник: pcservice24.ru

Автор: Василий Седых

Карта разрушений и жертв российской агрессии в городе Мариуполь, на карте отмечены более 2000 пострадавших домов. На карте отмечены не только фото домов, но свидетельства их жителей, а так же место боевых...

Из-за военных событий 2014 года в Донецке тренер по плаванию Алексей Снежко и его жена вынужденно переехали в Киев. А теперь, в 2022-м, 33-летний Алексей потерял обоих родителей в Мариуполе. Как пережить...

«20 днів у Маріуполі». Ще один фільм про блокадний Маріуполь з подіями березня 2022 року. Повномасштабне російське вторгнення в Україну журналісти зустріли у Маріуполі разом із жителями міста...

Компьютерный мирSector

Вся информация на страницах сайта предназначена только для личного не коммерческого использования, учёбы, повышения квалификации и не включает призывы к каким либо действиям.

Частичное или полное использование материалов сайта разрешается только при условии добавления ссылки на непосредственный адрес материала на нашем сайте.