Главная » Безопасность » Вирус mbr-winlock: быстрое его удаление и восстановление доступа к компьютеру

Вирус mbr-winlock: быстрое его удаление и восстановление доступа к компьютеру

mbr win lock: компьютер заблокирован вирусом

В последнее время всё чаще и чаще поступают жалобы на вирус, который производит полную блокировку компьютера и вымогательство денег, на стадии ещё до загрузки операционной системы (красные буквы на черном экране). Проблема в том, что для неподготовленного пользователя ситуация может стать действительно тупиковой: компьютер не загружается ни в обычном, ни в безопасном режиме, загрузка и сканирование антивирусом с live-cd безрезультативна, даже попытка переустановки Windows может не увенчаться успехом! Здесь я расскажу о способах как на самом деле легко и просто его удалить.


Данный вирус поражает MBR — главную загрузочную запись жёсткого диска, доступа к которой ни пользователь, ни операционная система доступа обычно не имеют. В этом и заключается вся сложность, и, одновременно простота его удаления.

Заражение обычно происходит во время клика на заражённой ссылке или загрузки зараженной веб-страницы. Далее компьютер через несколько секунд выключается, пытается перезагрузиться и показывает сообщение от том, что «Ваш компьютер заблокирован за просмотр, копирование и тиражирование видео с элементами педофилии… Необходимо платить штраф в размере… » и т.д. и т.п. Оплата осуществляется через Ibox-ы на кошельки Webmoney U338098752819, U225475893811, U250977606445, U193923440709, U255460166383, U229167721843, 380684668914 и др., либо пополнением счёта мобильного телефона. Существуют различные разновидности вируса для Украины и России:

Версия mbr-winlock для Украины

Версия mbr-winlock для Украины

Версия mbr-winlock для инопланетян (если они пользуются Windows).

Версия mbr-winlock для инопланетян (если они пользуются Windows) (шутка). Автору хватило ума написать и распространить вирус, а вот сделать надпись в правильной кодировке он не осилил))

Хочется так же отметить практически полную несостоятельность антивирусов против данной напасти: платные и с громкими названиями, как и два года назад, неспособны вовремя и адекватно реагировать против этой, действительно серьёзной угрозы:

Проверка вирусного файла mbr-winlock sys3.exe на сайте virustotal

Проверка вирусного файла sys3.exe на сайте virustotal.com показала, что на момент заражения из 43 антивирусов данный винлокер могло поймать только 5!

Каждый раз заражению соответствует наличие файла sys3.exe (собственно вирус) во временных файлах браузера и netprotocol.exe в автозагрузке (создаёт брешь в операционной системе) (версии данных файлов всё время изменяются и срабатываемость на них антивирусов остаётся крайне низкой, названия файлов злоумышленники пока не изменяли).

Уязвимость операционной системы Windows: пользователь просто сёрфит в интернете, а злоумышленники в это время модифицируют MBR и перезагружают компьютер!!!

Беспомощность нашей милиции/полиции в борьбе с данным видом преступлений: как ловить таких преступников они не знают, не умеют, не могут и не хотят, чем мошенники пользуются и будут пользоваться.

Люди, которые платят мошенникам — соучастники и спонсоры данных преступлений. Эти вирусы будут появляться вновь и вновь до тех пор, пока это экономически выгодно.

Способ 1. Восстановление MBR из резервной копии Acronis TrueImage

Люди делятся на две категории: на тех, которые делают резервные копии, и на тех, которые уже делают…

Если Вы относитесь к тем людям, которые после установки Windows, драйверов, программ и настроек сделали резервную копию системного диска — поздравляю, Ваши усилия не пропали даром! Для Вас эта проблема не является проблемой: нужно лишь загрузиться с загрузочного диска Acronis и восстановить mbr из своей резервной копии:

Загружаемся с диска Acronis True Image

Загружаемся с диска Acronis True Image и выбираем пункт Recovery (восстановить)

Выбираем файл-образ системного диска Acronis True Image

Выбираем файл-образ системного диска

Выбираем пункт Restore disks or partitions (Восстановление дисков или разделов)

Выбираем MBR and Track 0 (MBR и Дорожка 0)

Выбираем MBR and Track 0 (MBR и Дорожка 0)

Выбираем из списка винчестер, на котором нужно восстановить MBR

Выбираем из списка винчестер (системный), на котором нужно восстановить MBR

Нажать кнопку Proceed (Продолжить)

После перезагрузки от вируса не остаётся и следа, остаётся лишь провести «контрольную зачистку» компьютера свежими антивирусом и антитроянской программой.

Способ 2. С помощью утилиты CureIt от DrWeb либо Kaspersky TDSSKiller

Несмотря на то, что DrWeb данное заражение пропускает, результат заражения — модифицированый MBR он может с успехом лечить. Для этого нужно загрузиться с любого LiveCD и запустить эту утилиту. Вредоносная запись обезвреживается в считанные секунды:

Результат восстановления утилитой Dr.Web CureIt! от Troyan.MBRlock

Dr.Web CureIt! восстанавливает загрузочную запись в считанные секунды

При перезагрузке Windows загружается в нормальном режиме, как будто ничего и не было.

UPD (18.05.2012):

Новые модификации данного вируса изменяют разбивку диска на разделы. Скриншот консоли Windows Disk Management до лечения утилитой DrWeb CureIt:

Разбивка диска на разделы до лечения

После лечения и перезагрузки:

Разбивка диска после лечения MBR-lock и перезагрузки

Способ 3. С помощью установочного диска Windows

Внимание! В свете последних модификаций данного вируса этим способом пользоваться НЕ РЕКОМЕНДУЕТСЯ!

Для Windows XP: вставляем установочный диск и включаем компьютер, жмём любую кнопку для подтверждения загрузки (Press any key to boot from CD…..). Ждём когда полностью загрузится диск и предложит выбор действий. Выбираем режим восстановления, кнопка R. Теперь система предложит выбрать какую ОС из найденных восстанавливать, нажимаем цифру и Enter (обычно 1). Теперь необходимо ввести пароль администратора, если его нет, то просто оставляем пустым и жмём Enter. Вот мы добрались до консоли восстановления. Вбиваем команду: FIXBOOT, Enter, вас попросят подтвердить, нажмите Y. Теперь вбиваем команду FIXMBR, Enter и опять подтверждаем нажатием Y. Всё теперь вбиваем EXIT и перезагружаемся. Можно грузиться с жёсткого диска. Всё.

Для Windows 7:загрузиться с установочного диска или флешки с windows 7 — восстановление системы — коммандная строка — bootsect /mbr All

Способ 4. Переустановка Windows

При переустановке Windows необходимо полностью удалить системный раздел, а потом создать его вновь. При этом пересоздастся и MBR.

UPD (26.01.2012):

Сегодня обнаружил тело вируса — файл full_porno.avi.exe (17920 кб)

Внимание! Ваш ПК заблокирован за просмотр и тиражирование порнографии ... Webmoney U380632177235 320 гривен

Файл full_porno.avi.exe «в действии»

Для интересующихся вирусный файл можно взять здесь. Пароль на архив — «virus».

UPD (26.04.2012):

Свежая разновидность вируса (белые буквы на чёрном фоне):

Ваш компьютер заблокирован Internet Police за поиск и просмотр видеоматериалов содержащих педофилию, извращения, сексуальное насилие над детьми... Webmoney 380971559633 на 850 гривен

«Ваш компьютер заблокирован Internet Police за поиск и просмотр видеоматериалов содержащих педофилию, извращения, сексуальное насилие над детьми… Webmoney 380971559633 на 850 гривен»

Ситуация с обнаружением данной разновидности антивирусами пока что очень печальна. Кому интнресно, тело вируса можно взять здесь (пароль к архиву — infected):

UPD (13.07.2012):

Вчера разблокировал свежую версию, примечательной особенностью которой является почти 100% «слепота» антивирусов (в т.ч. Касперского). Рассылка данного образца по антивирусам возымела некоторое действие. Скачать тело вируса (пароль к архиву — infected):

Понравилась статья - поддержи проект материально:
Понравилась статья - поделись с друзьями:

224 комментария

  1. Как запустить докторвеба.
    В биосе ставлю загрузку с флешки, на которой уже есть утилита докторвеб.
    А вместо загрузки комп пишет мпе:
    BOOTMGR is missing
    press Ctrl+Alt+Del to restart.
    вот и на этом я и остановился.
    Че за хрень, может ктонить подскажет!!!

  2. nevermind, у меня к Вам такой вопрос: в последнее версиях (вроде начиная с 6.0) в антивирусе Dr.Web в настройках появилась галочка запрета низкопрофильной записи. Вы по этому поводу не проводили тесты против MBR.Lock? Если да, то напишите результат. Спасибо заранее.

  3. Насколько я понял, речь тут идет о вирусе TR/Crypt.CFI.Gen который авира у меня нашла среди прочих, но у меня почему-то он никак себя не проявлял и винда не блокировалась. Почему, не подскажете?

  4. Здравствуйте!
    Обратился сегодня человек с экраном (UPD (26.01.2012):) после инициализация биос. Утверждает, порно сайты не посещал, ничего не запускал и т.д.
    Что делать? Под рукой только установочный диск ХР SP3 + Acronis True Image and Acronis Disk Director Suite.
    Загрузил акронис диск дир…, почесал репу… Сменил для диска тип с NTFS на FAT32, применил изменения.
    Затем проделал обратную манипуляцию (буквально секунды), перезагружаю комп и вуаля — система загрузилась! Сейчас привожу её к человеческому виду, засрали её прилично…

  5. Принесли ноут с такой проблеммой. Раньше легко выкашивал баннерные трипаки, а с этим столкнулся впервые. Вспомнил старые времена, был такой — OneHalf, жрал MBR-ки. Взял диск Hiren’s Boot — там есть неплохой набор для работы с MBR. Только большинство прог заточены исключительно под бекапную работу с мастербутом (ну кто же их бэкапит в наше время для «кабычёневышло»?). Но в одной оказалась опция типа восстановить типичный и это решило всю проблемму. Эх, набить бы владельцу кошелька U380632177235 его поганое свиное рыло. Наверняка многие юзеры заплатили если не ему, то за переустановку винды с новой дисковой разбивкой.

    • По ходу столкнулся сегодня с этим гавном… и метод уже не катит, а может из того что 7, а не ХР. Хотя … В общем в поисках решения, практических… идёт «работа мозга» по применеию всех ранее известных методов. Хотя уже начинаю сомневаться. Делаю бекап системы акронисом, потом посмотрим.
      Один вывод сделал, шерстят инет эти падлюки, и придумывают очередную мозго…кроссворд для пользователя. Да и при том, что найдутся чуваки, которые отошлют бабло в никуда. Нах-на спаршивается, сколько не обясняй.
      Целый монолог, просто начинает напрягать… Антивири, хвалебные, почему-то НОЛЬ эмоций. Надо, наверное, изучать мат часть.!

  6. Кстати, ставки растут ;) В моем случае сумма составила 1500 грн.

  7. помогите.выдает черный екран с краными буквами.требует 1500 на u380679073090.безопасный режим не работет.
    как удалить винду?

    • Винду удалять не нужно. Она здесь не при чём. Удаляйте вирус из загрузочного сектора как описано выше.

  8. Подхватил этот вирус. Решил разобраться как всегда удалил винду, форматнул диск. Установил по новой. В конце установки черный экран вместо завершения. Установил ХР все норм пашет. Пробовал fixmbr на ХР непроканало на 7ке нет возможности (любительская сборка установка идет сразу) Пробовал 2ой способ. Вирусов НЕТ. вообщем 2,3,4 способы не проканали. Ща пробую найти где нибудь оригинальный mbr (просто не знаю ГДЕ ЕЩЕ может прятаться эта гадость)

    • Способ 4 должен помочь. Нужно именно УДАЛЯТЬ диск С, а затем создавать его вновь. При этом создаётся новый МБР. В комментариях выше конвертация раздела в ФАТ а затем обратно в НТФС тоже помогала

  9. Блииинн, где взять установочный диск С ?!!! мне просят 100 рублей яндекс 410011487021608 !!!!!!!!!! Я УЖЕ ПОЛОЖИЛ И НЕ ЧЕГО!!!!!!!!!! ЧТО ДЕЛАТЬ!????? ПОМОГИТЕ ПЛИЗ!!! МОЙ НОМЕР 89641221366

  10. Дмитрий

    Всем привет!!Столкнулся с этой проблеммой уже у двух людей!!И самое интересное при сносе диска с и снова установки виндовс винда держится ровно неделю затем повторяется вирус!Решение(как это не печально)снос всех дисков(в моем случае 500гиг на дисках с д е затем переустановкой винды и форматированием остальных дисков!!!У одного клиента както эта зараза проникла на диск д а у другого на е!силён вирус зараза!!!

    • Если под «сносом диска» имеется в виду форматирование — тогда да, это не поможет. Нужно удалять раздел, а затем создавать вновь

      • Дмитрий

        Вот именно пришлось удалить все разделы и создать новые-только это помогло!Я имею ввиду что оказывается не всегда помогает удалять только раздел С!!

  11. принесли ноут ОС WinXP , вариант с красными буквами, загрузился диском зверя winXP и запустил Kaspersky TDSSKiller, очистил tmp каталоги, помогло, не спешите трогать разделы, пробуйте 2 способ

  12. Огромное спасибо! Я вас просто обожаю! Перепробовал все! Как раз у меня резервная копия акрониса и я сидел восстанавливал ЖД потом пытался антивирусы загрузочные ставить качал кучу всего потратил час даже винду переустановил (о чем жалею, потомучто много чего потерял) зашел сюда и за 5 минут восстановил! Огромное спасибо!!!!!

  13. Константин

    Столкнулся сегодня у клиента win7, команда из recovery — bootsect /mbr All не помогла, сделал bootrec.exe /FixMbr и bootrec.exe /FixBoot — помоглось. Всем удачи.

    • windows 7, команды из recovery — bootsect /mbr All затем bootrec.exe /FixMbr и bootrec.exe /FixBoot — помогло.
      Зашел в систему, написало: Вход в систему был выполнен с временным пользователем. На экране 4 ошибки в виде окна Безопасности Windows С текстом: Эти файлы открыть нельзя. Путь указанный в ошибке: C:\windows\system32\dinotify.exe
      на компе был установлен Avast home edition v4.8

      • Путь указанный в ошибке может свидетельствовать об каком-то недоустановленном USB-устройстве. На сколько я знаю, Avast home edition v4.8 уже не поддерживается производителем (уже давно актуальна 7-я версия). Вполне возможно что из-за этого у Вас там и других вирусов хватает, отсюда и разные глюки. Возможно стоит задуматься о комплексном лечении или полной переустановке Windows.

  14. nevermind, большое вам спасибо за статью.

    В последнее время частота заражений именно винлоками и мбрлоками резко пошла на спад. Не знаю, с чем именно это связано, но думаю, что где-то в виндовсе поставили заплату. Возможно, на общую статистику влиял тот момент, что большая часть пользователей перешла с WinXP на Win7 и Win8 (Win8.1), в которых эксплуатируемой этой разновизностью троянов уязвимости уже не стало. Также возможны варианты «не модно» и «антивирусы бдят».

    Но страничку таки сохранил в закладки.

    PS. линуксоиды весело хрустят попкорном.

    • Я более склонен думать что зачинщиков этого беспредела (а их на самом деле не так много: 1-2 группы) всё-таки звяли за ж*пу правоохранители. Судя по предыдущему опыту, надежды на патчи, новые версии Windows, антивирусы крайне мало. 7-ку они ломали не менее успешно чем ХР.
      PS. Как показывает опыт Андроида, линуксоиды могут хрустеть попкорном и патчить KDE2 под FreeBSD пока их доля не выйдет за 1%

Оставить комментарий

Ваш email нигде не будет показан. Обязательные для заполнения поля помечены *

*