Министерство внутренних дел Украины блокирует компьютеры

На днях попался очередной образчик вируса-вымогателя, который от имени МВД Украины блокирует компьютеры пользователей. Тема уже изрядно набила оскомину и не раз описывалась на этом сайте, но есть в нём некоторая особенность, о которой я здесь хочу поведать, и, зная которую, вам будет легче с ними бороться.

В данный момент этот вирус детектируется практически всеми популярными антивирусами (32 из 46 по версии virustotal.com), но на момент возникновения вируса, процент его проникновения был несравненно выше.

Лечится эта зараза стандартно — загрузкой с LiveCD и анализом процессов автозапуска основной системы. Похожие случаи описаны здесь и здесь и здесь:

Особенностью данного вируса является то, что он изменяет записи в реестре Windows, отвечающие за загрузку операционной системы:

Что это означает на практике? Это означает, что просто удалив вирусный файл (вручную или антивирусом), мы мало чего добьёмся: окно с вирусом уже не появляется, но и виндовс загрузиться до конца всё равно не может. Чтобы восстановить загрузку нам необходимо исправить эти две повреждённые записи:

После чего открывается редактор реестра:

Оригинальные значения ключей реестра Shell, UIHost, Userinit:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit является «c:\windows\system32\userinit.exe,»

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell является «explorer.exe»

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost является «logonui.exe»

(для Windows XP, Vista, 7 32 и 64 bit)

Проверить ветку автозагрузки HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run на наличие там значения «1jfuweif.exe«. При наличии такого — удалить его.

После чего обновляем окно программы «Autoruns» и контролируем правильность внесённых изменений:

Обязательно нужно удалить сам вирусный файл (в нашем случае он называется 1jfuweif.exe). Обычно он находится в папке временных файлов пользователя. Пересканировать реестр на наличие других веток реестра со значением «1jfuweif.exe» и поудалять их.

Чтобы максимально упростить ситуацию скажу, что для того чтобы бы избавиться от этого вируса достаточно почистить временные папки и сделать Восстановление системы (при условии если оно было включено и не повреждено вирусами). Это даст аналогичный результат и избавит Вас от ненужного ковыряния в реестре.

После этого можно пробовать перегружаться уже в нормальном режиме и возрадоваться чудесному исцелению (а также экономии минимум 277 грн):

Резюме

1. Поражает контингент злоумышленников. Написанием и распространением такого типа вирусов занялись совсем уже малолетние задроты (формулировка предложений в баннере и расположение элементов соответствует их уровню интеллекта). В интернете появилось большое количество конструкторов данного типа вирусов — достаточно только внести туда свой текст, какую-то картинку и подумать как его пошире распространить.

2. Поражает готовность производителей антивирусов брать со всех деньги при практически нулевой их эффективности.

3. Поражают пользователи, которые ведутся на ЭТО и платят злоумышленникам (иначе никто бы этим не занимался, или по крайней мере, оно не достигло бы таких масштабов). Ни в коем случае не поддавайтесь на вымогательство и не платите им никаких денег! Кодов разблокировки не существует!

4. Поражает МВД. Откровенный плевок на их репутацию и распоясавшаяся уголовщина не производят на них никакого впечатления.

Грустно, господа…

Узнать в любой момент времени где находится Ваше транспортное средство, Вам поможет gps мониторинг от компании Саттранс-Навигатор.

P.S. (25.05.2013)

Позор нашего МВД не прекращается: