Главная » Безопасность » Министерство внутренних дел Украины блокирует компьютеры

Министерство внутренних дел Украины блокирует компьютеры

МВД Украины блокирует компьютеры Гаманець Qiwi +380679964610

На днях попался очередной образчик вируса-вымогателя, который от имени МВД Украины блокирует компьютеры пользователей. Тема уже изрядно набила оскомину и не раз описывалась на этом сайте, но есть в нём некоторая особенность, о которой я здесь хочу поведать, и, зная которую, вам будет легче с ними бороться.

В данный момент этот вирус детектируется практически всеми популярными антивирусами (32 из 46 по версии virustotal.com), но на момент возникновения вируса, процент его проникновения был несравненно выше.

Лечится эта зараза стандартно — загрузкой с LiveCD и анализом процессов автозапуска основной системы. Похожие случаи описаны здесь и здесь и здесь:

Анализ автозапуска основной системы

Анализируем объекты автозапуска основной системы при помощи программы Autoruns (File — Analyse Offline System… )

Особенностью данного вируса является то, что он изменяет записи в реестре Windows, отвечающие за загрузку операционной системы:

изменены оригинальные значения Userinit и Shell

Видим, что изменены оригинальные значения Userinit и Shell

Что это означает на практике? Это означает, что просто удалив вирусный файл (вручную или антивирусом), мы мало чего добьёмся: окно с вирусом уже не появляется, но и виндовс загрузиться до конца всё равно не может. Чтобы восстановить загрузку нам необходимо исправить эти две повреждённые записи:

исправить неверную запись удалённого реестра программой Autoruns

Для того чтобы исправить неверную запись в программе Autoruns нажимаем правой клавишей на записи и выбираем пункт Jump to Entry… после чего переходим в редактор реестра

После чего открывается редактор реестра:

Исправляем редактором реестра повреждённые записи

Исправляем редактором реестра неверные записи

Оригинальные значения ключей реестра Shell, UIHost, Userinit:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit является «c:\windows\system32\userinit.exe,»

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell является «explorer.exe»

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost является «logonui.exe»

(для Windows XP, Vista, 7 32 и 64 bit)

Проверить ветку автозагрузки HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run на наличие там значения «1jfuweif.exe«. При наличии такого — удалить его.

После чего обновляем окно программы «Autoruns» и контролируем правильность внесённых изменений:

Обновляем окно программы Autoruns и контролируем правильность внесённых изменений

Обновляем окно программы и контролируем правильность внесённых изменений

Обязательно нужно удалить сам вирусный файл (в нашем случае он называется 1jfuweif.exe). Обычно он находится в папке временных файлов пользователя. Пересканировать реестр на наличие других веток реестра со значением «1jfuweif.exe» и поудалять их.

Чтобы максимально упростить ситуацию скажу, что для того чтобы бы избавиться от этого вируса достаточно почистить временные папки и сделать Восстановление системы (при условии если оно было включено и не повреждено вирусами). Это даст аналогичный результат и избавит Вас от ненужного ковыряния в реестре.

После этого можно пробовать перегружаться уже в нормальном режиме и возрадоваться чудесному исцелению (а также экономии минимум 277 грн):

Нормальная загрузка Windows XP после лечения

Резюме

1. Поражает контингент злоумышленников. Написанием и распространением такого типа вирусов занялись совсем уже малолетние задроты (формулировка предложений в баннере и расположение элементов соответствует их уровню интеллекта). В интернете появилось большое количество конструкторов данного типа вирусов — достаточно только внести туда свой текст, какую-то картинку и подумать как его пошире распространить.

2. Поражает готовность производителей антивирусов брать со всех деньги при практически нулевой их эффективности.

3. Поражают пользователи, которые ведутся на ЭТО и платят злоумышленникам (иначе никто бы этим не занимался, или по крайней мере, оно не достигло бы таких масштабов). Ни в коем случае не поддавайтесь на вымогательство и не платите им никаких денег! Кодов разблокировки не существует!

4. Поражает МВД. Откровенный плевок на их репутацию и распоясавшаяся уголовщина не производят на них никакого впечатления.

Грустно, господа…

Узнать в любой момент времени где находится Ваше транспортное средство, Вам поможет gps мониторинг от компании Саттранс-Навигатор.

P.S. (25.05.2013)

Позор нашего МВД не прекращается:

ministry-of-internal-affairs-of-ukraine-lols

Понравилась статья - поддержи проект материально:
Понравилась статья - поделись с друзьями:

Похожие записи:

15 комментариев

  1. штампуют кошельки только так…. у меня на 3,06.2013 кошелек на едничку больше-U380961285687, справился как никогда легко- через реэстр удалил автозагрузку.,а потом прогой 9 файлов…что интересно- что с первого раза неполучилось, лишь когда с автозагрузки убрал нод32, то файлы вируса не востанавливались (или может я что-то не так делал),но нод уже 2й раз на моей практике позволяет такие вещи, первый раз-то сам сам антивирусник «заразился» вирусами(хз почему так, но доверие к нему пропадает)

  2. Дмитрий

    Да блин поймал заразу за (25.05.2013) неожиданно сел в яндексе в поиск, про клацал несколько страничек и тут трах-бах Ваш Компьютер Заблокирован МВД за мол типа какие то нарушения)) я аж заплакал от смеха.

    Хорошо что хоть Диспетчер Задач не заблокировался а то так долго бы сидел.. а вирусняк так и не удалили, сейчас буду пробовать))

  3. а что делать если он токо сидить в браузере а не на компе?

  4. А если сидит в смартфоне?????????

  5. Андрей

    А что если правда смотрел поруху??????? И такое выскочило как на P.S. (25.05.2013)????? Меня не посадят?????? Это не может быть правдой???

    • Не посадят)) Во-первых смотреть порнуху — не правонарушение, всё это — это чистая самодеятельность вирусописателей, во-вторых правоохранительные органы действуют совершенно по другому, а писать вирусы они точно не будут

  6. а что делать если сидит на планшете ?

  7. андрей

    Реально смотрел порно. Тут выскочило 3 окна на белом фоне типа МВД. Вами нарушен закон! дпльше текст как у всех. Но вид имеет другой. Второе окно «подтвердить обновления страницы. Ваш комп. Заблокированно МВДУ согласно постановлению 56 АН номер:197_971689 от 29.12.2014. за нарушение закона при просмотре порнографии. Вся инф. о просмотренных Вами веб-страницах передана в МВДУ по городу Kiev.
    Короче штраф в розмере 1140 грн. Терминал оплаты сотовой связи Киевстар и номер на который надо положыть деньги. Дали 12 часов. В третем окне вся инф. О ноуте. Реально стремно что посадят.

    • Это лечится легко: 1. Запустите Диспетчер задач. 2. Закройте из него браузер (снять задачу). 3. Запустите браузер (Вкладки не восстанавливать!)

    • тоже самое но я не смотрел

      • Андрей

        а если не заплатил штраф то компьютер навсегда будет заблокирован ???

        • Если вы им хоть 100 раз подряд им заплатите, компьютер от этого никак не разблокируется)) Компьютер необходимо разблокировать другими путями (например, как описано в статье)

  8. А что если выскочило это окно.Я перезагрузил виндовс.После того как перезагрузил-окно исчезло.Это же значит, что все нормально???

Оставить комментарий

Ваш email нигде не будет показанОбязательные для заполнения поля помечены *

*