На днях попался очередной образчик вируса-вымогателя, который от имени МВД Украины блокирует компьютеры пользователей. Тема уже изрядно набила оскомину и не раз описывалась на этом сайте, но есть в нём некоторая особенность, о которой я здесь хочу поведать, и, зная которую, вам будет легче с ними бороться.
В данный момент этот вирус детектируется практически всеми популярными антивирусами (32 из 46 по версии virustotal.com), но на момент возникновения вируса, процент его проникновения был несравненно выше.
Лечится эта зараза стандартно — загрузкой с LiveCD и анализом процессов автозапуска основной системы. Похожие случаи описаны здесь и здесь и здесь:

Анализируем объекты автозапуска основной системы при помощи программы Autoruns (File — Analyse Offline System… )
Особенностью данного вируса является то, что он изменяет записи в реестре Windows, отвечающие за загрузку операционной системы:
Что это означает на практике? Это означает, что просто удалив вирусный файл (вручную или антивирусом), мы мало чего добьёмся: окно с вирусом уже не появляется, но и виндовс загрузиться до конца всё равно не может. Чтобы восстановить загрузку нам необходимо исправить эти две повреждённые записи:

Для того чтобы исправить неверную запись в программе Autoruns нажимаем правой клавишей на записи и выбираем пункт Jump to Entry… после чего переходим в редактор реестра
После чего открывается редактор реестра:

Исправляем редактором реестра неверные записи
Оригинальные значения ключей реестра Shell, UIHost, Userinit:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit является «c:\windows\system32\userinit.exe,»
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell является «explorer.exe»
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost является «logonui.exe»
(для Windows XP, Vista, 7 32 и 64 bit)
Проверить ветку автозагрузки HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run на наличие там значения «1jfuweif.exe«. При наличии такого — удалить его.
После чего обновляем окно программы «Autoruns» и контролируем правильность внесённых изменений:
Обязательно нужно удалить сам вирусный файл (в нашем случае он называется 1jfuweif.exe). Обычно он находится в папке временных файлов пользователя. Пересканировать реестр на наличие других веток реестра со значением «1jfuweif.exe» и поудалять их.
Чтобы максимально упростить ситуацию скажу, что для того чтобы бы избавиться от этого вируса достаточно почистить временные папки и сделать Восстановление системы (при условии если оно было включено и не повреждено вирусами). Это даст аналогичный результат и избавит Вас от ненужного ковыряния в реестре.
После этого можно пробовать перегружаться уже в нормальном режиме и возрадоваться чудесному исцелению (а также экономии минимум 277 грн):
Резюме
1. Поражает контингент злоумышленников. Написанием и распространением такого типа вирусов занялись совсем уже малолетние задроты (формулировка предложений в баннере и расположение элементов соответствует их уровню интеллекта). В интернете появилось большое количество конструкторов данного типа вирусов — достаточно только внести туда свой текст, какую-то картинку и подумать как его пошире распространить.
2. Поражает готовность производителей антивирусов брать со всех деньги при практически нулевой их эффективности.
3. Поражают пользователи, которые ведутся на ЭТО и платят злоумышленникам (иначе никто бы этим не занимался, или по крайней мере, оно не достигло бы таких масштабов). Ни в коем случае не поддавайтесь на вымогательство и не платите им никаких денег! Кодов разблокировки не существует!
4. Поражает МВД. Откровенный плевок на их репутацию и распоясавшаяся уголовщина не производят на них никакого впечатления.
Грустно, господа…
Узнать в любой момент времени где находится Ваше транспортное средство, Вам поможет gps мониторинг от компании Саттранс-Навигатор.
P.S. (25.05.2013)
Позор нашего МВД не прекращается: