Существуют несколько разновидностей вируса-блокировщика по классификации лаборатории Dr. Web имеющих название Trojan.Winlock.3256, отличающихся номером телефона и вымогаемой суммой.Все трояны из этой серии при загрузке Windows выводят сообщение (белые буквы на голубом фоне с кнопками для ввода кода):
«Windows заблокирован!
Microsoft Security обнаружил нарушения использования сети интернет.
Причина: Вы смотрели фильмы содержащие гей-порно.
Причина: Вы смотрели фильмы содержащие гей-порно.
Для разблокировки Windows необходимо:
Пополнить номер абонента МТС: 89167279293 (89179518582, 89879426010) на сумму 350 (500) рублей. Оплатить можно через терминал для оплаты сотовой связи. После оплаты на выданном терминале чеке, Вы найдете Ваш персональный код разблокировки, который необходимо ввести ниже.»
Пополнить номер абонента МТС: 89167279293 (89179518582, 89879426010) на сумму 350 (500) рублей. Оплатить можно через терминал для оплаты сотовой связи. После оплаты на выданном терминале чеке, Вы найдете Ваш персональный код разблокировки, который необходимо ввести ниже.»
В случае если Вы отказываетесь от ввода кода вирус-блокер угрожает предпринять следующие действия:
«Если в течении 12 часов с момента появления данного сообщения, не будет введен код, все данные, включая Windows и Bios будут БЕЗВОЗВРАТНО УДАЛЕНЫ! Попытка переустановить систему приведет к нарушениям работы компьютера.»
1. Так как вымогатель добавляет и изменяет значения параметров в реестре windows, начнем с того, что подберем коды разблокировки, ниже представлены некоторые коды от Лабараторией Касперского:
- 99885522
- 935318445
- 467268202
- 16342131
Для того чтобы разблокировать Windows необходимо один из вышеприведенных кодов ввести с помощью кнопок баннера и нажать кнопку «ВХОД В СИСТЕМУ».
2. После процедуры ввода кода, баннер самостоятельно не удаляется из системы и не восстанавливает ключи в реестре. Поэтому после перезагрузки компьютера, баннер снова появится и заблокирует Windows.
Для того что бы избежать повторной блокировки ОС, нужно:
- Открыть реестр (Win+R -> regedit -> Enter) «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run» найти и удалить параметр «Shell». В параметре «Shell» указан путь к исполняемому файлу вируса блокировщика, перед удалением параметра желательно запомнить путь к файлу вируса, для того чтобы потом удалить его с ПК вручную;
- Далее нужно перейти к ветке «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon» найти и исправить параметра реестра «Shell» на «explorer.exe». Вирус изменяет этот параметр на путь к своему исполняемому файлу.
3. Для полного удаления вируса необходимо найти и удалить файл вируса вручную (см. п.2), либо скачать и проверить систему последней версией утилиты CureIT с официального сайта Dr.Web.
Комментариев нет:
Отправить комментарий