Главная » Безопасность » Что делать, если «Операционная система Windows заблокирована»

Что делать, если «Операционная система Windows заблокирована»

Операционная система Windows заблокирована - troyan winlock

Если при загрузке операционной системы вместо привычного рабочего стола Вы видите такое или подобное сообщение да ещё и с угрозами уничтожения данных, повреждения компьютера, ареста, расстрела и т.д в случае неуплаты в течение короткого времени, при этом данное сообщение невозможно никак убрать или свернуть (невозможны никакие действия кроме как ввести код разблокировки), знайте: Вы стали жертвой мошеников-вымогателей, но платить им НИ В КОЕМ СЛУЧАЕ нельзя. Этим Вы только проспонсируете дальнейшие разработки вредоносного ПО, кроме того, отправка денег куда-либо вовсе не означает что Вам пришлют спасительный код, а если и пришлют, то не факт, что ситуация через неделю не повторится вновь. В данной статье я опишу как недопустить такое заражение и вылечить компьютер, если уж произошло, на примере одной подобной ситуации.


В данное время такое заражение можно встретить относительно редко, но люди всё равно умудряются где-то его находить и тогда приходится вспоминать былой опыт и браться за уничтожение этой напасти. Два года назад ситуация с вирусами-винлокерами была просто катастрофической: заражались практически все и неоднократно. Поражала изобретательность вирусописателей: были случаи, когда ситуация разрешалась только полной переустановкой системы. После ареста в прошлом году в Москве банды таких «программистов» положение резко улучшилось. Поразила сумма, которую они заработали за полгода: миллиард(!!!) рублей.

Теперь опишу сегодняшний случай

Свежий образец troyan-winlockСимптомы: окно вируса поверх всех остальных, заблокирован Диспетчер задач, стандартный набор угроз. Из нововведений следует отметить то, что авторы таких вирусов больше не предлагают отправить деньги по СМС. Вместо этого нужно пополнять их WebMoney-кошелёк (в этом случае отследить автора вируса практически невозможно), ну и суммы выросли: если раньше вымогатели просили по 30 гривен, то сейчас по 100 (а уголовная ответственность на Украине начинается от 60 гривен). Рассмешило совершенно убогое исполнение вируса: они не смогли реализовать даже полноэкранный режим (видимо разрешение экрана 1200×800 — из разряда маловероятных))) потому побороть его не составило особого труда (но если жертвы начнут перечислят им деньги, то они накупят очень много умных книг по программированию и в следующий раз напишут что-то более изящное!), куча грамматических ошибок («…сообщает о блокировки…»))).

Механизм заражения, работы вируса и способ его удаления

В автозагрузке присутствует файл «superclubber.bat» с текстом:

@echo off
Title superclubber
start superclubber.exe

Выявление troyan winlock при помощи утилиты Sysinternals Autoruns в автозагрузке компьютера

Выявление troyan winlock при помощи утилиты Sysinternals Autoruns в автозагрузке Windows

то есть он запускает файл «superclubber.exe», который и является собственно данным вирусом. Соответственно вся процедура лечения сводится к удалению этой записи в реестре и двух файлов (к сожалению такие простые вирусы встречаются очень редко, обычно приходится очень крепко попотеть чтоб его извести). Анализ данного файла на сайте virustotal.com показал, что его в данный момент определяют только 14 антивирусов из 43. (невысокий процент(!)). Avira (TR/Crypt.CFI.Gen), Avast (Win32:Rootkit-gen [Rtk]), AVG (Generic23.AMUX), DrWeb (Trojan.Winlock.3724), Kaspersky (Trojan-Ransom.Win32.Blocker.apz), NOD32 (a variant of Win32/LockScreen.AHP trojan) оказались в числе тех, кто определяет. Из тех кто его до сих пор не определяет, и, соответственно пропускают следует отметить антивирусы Microsoft, Panda, Symantec, McAfee, GData.

После перезагрузки окошко больше не выскакивает, значит вирус больше не активен.

Причина заражения данного компьютера оказалась в том, что последняя дата обновления антивируса Avast была 13 июня (т.е. он не обновлялся больше месяца), а состоянием на то число он этот вирус ещё не знал и потому пропустил.

Способ заражения: дальнейший анализ показал, что человек всё предыдущее заражению время провёл в на различных порносайтах (больше 100 шт. подряд). Какой-то из этих сайтов содержал вредоносный код (java-эксплоит), который и произвёл заражение.

Просмотр Истории браузера Opera показал, что в день заражения пользователь посетил большое множество порносайтов

Просмотр Истории браузера Opera показал, что в день заражения пользователь посетил большое количество порносайтов

Окончательная зачистка

Обновляем антивирус и делаем полное сканирование системы:

В результатах сканирования обнаруживаем файлы при помощи которых произошло заражение troyan-winlock

В результатах сканирования обнаруживаем файлы при помощи которых произошло заражение

В результатах сканирования обнаруживаем файлы при помощи которых произошло заражение. В данном случае оно произошло совсем незаметно для пользователя и не требовало от него никаких действий. Ещё раз отмечу: если бы пользователь вовремя побеспокоился об поддержании антивируса в актуальном состоянии, то этого заражения бы не произошло!

То же самое делаем программой Malwarebytes Anti-Malware:

Результат сканирования программой Malwarebytes Anti-Malware

Результат сканирования программой Malwarebytes Anti-Malware

Результат похож на предыдущий. Удаляем все найденные объекты, перезагружаемся. Получаем чистую, нормально работающую систему, ну и экономим заодно 100 гривен.)

Похожие материалы:

Громкие провалы в борьбе с вирусописателямиГромкие провалы в борьбе с вирусописателями — о том, что наличие антивируса на компьютере — далеко не обязательно обозначает полную его безопасность… Борьба добра со злом — процесс безпрерывный)
СБУ обнаружила нарушения при использовании сети интернет. Причина: Просмотр и распространение ДЕТСКОГО-ГЕЙ порно контента. Для разблокировки Windows необходимо оплатить ШТРАФ в размере 990 грн. Как СБУ и МВД Украины с ДЕТСКИМ-ГЕЙ порно боролись – чувство абсолютной безнаказанности позволяет хакерам блокировать компьютеры пользователей прикрываясь громкими именами «СБУ» и «МВД».
Удаление вируса winlock/lockskreen "Ваш компьютер заблокирован!" с помощью загрузочного диска live-cdКак удалить Winlock/Lockscreen (Видео) «Ваш компьютер заблокирован!» – Разработав свою технологию быстрого и безболезненного удаления этой напасти, хочу поделиться ею со своими читателями
Как убрать стартову страницу webaltaКак убрать стартовую страницу Webalta, apeha.ru, ctel.ru, smaxi.net, wonderpage.org – некоторые веб-сайты используют нелигитимные способы завоевания пользовательской аудитории, от которых порой очень трудно избавиться. Описаны способы борьбы с этой напастью.
Понравилась статья - поддержи проект материально:
Понравилась статья - поделись с друзьями:

45 комментариев

  1. ищьо вопрос что будет эсли пройдет 10ч

  2. виктор

    у меня таже проблема синее окно просит денег но не 100 не300 а 500гр.а через пол часа вырубило комп теперь запускается только до (добро пожалувать)потом чорный экран и досвидос что делать я не знаю подскажите если кто-то в этом продвинут (зарание спасибо))))))))))

  3. подскажите пожалуйста
    код для разблокировки системы 380965475892

    • Кодов для разблокировки у нас, к сожалению, нет. Мы лечим компьютеры от вирусов и описываем здесь как это сделать

  4. Я попался на такую ловушку, тогда когда искал ключ к Maxidisk и открился какой то сайт говоря что надо обновить Оперу, согласился, как бы было скачено обновление, после чего запустил и все. На весь экран пришла такая блокировка с вымагательством 300гр. Сделать ничего не мог, доступ до рабочего стола был заблокирован. Единственное что удалось сделать, это запустить в безопасном режиме и востоновить систему. Так комп заработал и счас все нормально.

  5. Помогите немагу никак удалить заразу regedit.exe не помагает

Оставить комментарий

Ваш email нигде не будет показан. Обязательные для заполнения поля помечены *

*