На днях попался очередной образчик вируса-вымогателя, который от имени МВД Украины блокирует компьютеры пользователей. Тема уже изрядно набила оскомину и не раз описывалась на этом сайте, но есть в нём некоторая особенность, о которой я здесь хочу поведать, и, зная которую, вам будет легче с ними бороться.
В данный момент этот вирус детектируется практически всеми популярными антивирусами (32 из 46 по версии virustotal.com), но на момент возникновения вируса, процент его проникновения был несравненно выше.
Лечится эта зараза стандартно — загрузкой с LiveCD и анализом процессов автозапуска основной системы. Похожие случаи описаны здесь и здесь и здесь:

Анализируем объекты автозапуска основной системы при помощи программы Autoruns (File — Analyse Offline System… )
Особенностью данного вируса является то, что он изменяет записи в реестре Windows, отвечающие за загрузку операционной системы:
Что это означает на практике? Это означает, что просто удалив вирусный файл (вручную или антивирусом), мы мало чего добьёмся: окно с вирусом уже не появляется, но и виндовс загрузиться до конца всё равно не может. Чтобы восстановить загрузку нам необходимо исправить эти две повреждённые записи:

Для того чтобы исправить неверную запись в программе Autoruns нажимаем правой клавишей на записи и выбираем пункт Jump to Entry… после чего переходим в редактор реестра
После чего открывается редактор реестра:

Исправляем редактором реестра неверные записи
Оригинальные значения ключей реестра Shell, UIHost, Userinit:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit является «c:\windows\system32\userinit.exe,»
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell является «explorer.exe»
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost является «logonui.exe»
(для Windows XP, Vista, 7 32 и 64 bit)
Проверить ветку автозагрузки HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run на наличие там значения «1jfuweif.exe«. При наличии такого — удалить его.
После чего обновляем окно программы «Autoruns» и контролируем правильность внесённых изменений:
Обязательно нужно удалить сам вирусный файл (в нашем случае он называется 1jfuweif.exe). Обычно он находится в папке временных файлов пользователя. Пересканировать реестр на наличие других веток реестра со значением «1jfuweif.exe» и поудалять их.
Чтобы максимально упростить ситуацию скажу, что для того чтобы бы избавиться от этого вируса достаточно почистить временные папки и сделать Восстановление системы (при условии если оно было включено и не повреждено вирусами). Это даст аналогичный результат и избавит Вас от ненужного ковыряния в реестре.
После этого можно пробовать перегружаться уже в нормальном режиме и возрадоваться чудесному исцелению (а также экономии минимум 277 грн):
Резюме
1. Поражает контингент злоумышленников. Написанием и распространением такого типа вирусов занялись совсем уже малолетние задроты (формулировка предложений в баннере и расположение элементов соответствует их уровню интеллекта). В интернете появилось большое количество конструкторов данного типа вирусов — достаточно только внести туда свой текст, какую-то картинку и подумать как его пошире распространить.
2. Поражает готовность производителей антивирусов брать со всех деньги при практически нулевой их эффективности.
3. Поражают пользователи, которые ведутся на ЭТО и платят злоумышленникам (иначе никто бы этим не занимался, или по крайней мере, оно не достигло бы таких масштабов). Ни в коем случае не поддавайтесь на вымогательство и не платите им никаких денег! Кодов разблокировки не существует!
4. Поражает МВД. Откровенный плевок на их репутацию и распоясавшаяся уголовщина не производят на них никакого впечатления.
Грустно, господа…
Узнать в любой момент времени где находится Ваше транспортное средство, Вам поможет gps мониторинг от компании Саттранс-Навигатор.
P.S. (25.05.2013)
Позор нашего МВД не прекращается:
штампуют кошельки только так…. у меня на 3,06.2013 кошелек на едничку больше-U380961285687, справился как никогда легко- через реэстр удалил автозагрузку.,а потом прогой 9 файлов…что интересно- что с первого раза неполучилось, лишь когда с автозагрузки убрал нод32, то файлы вируса не востанавливались (или может я что-то не так делал),но нод уже 2й раз на моей практике позволяет такие вещи, первый раз-то сам сам антивирусник «заразился» вирусами(хз почему так, но доверие к нему пропадает)
Да блин поймал заразу за (25.05.2013) неожиданно сел в яндексе в поиск, про клацал несколько страничек и тут трах-бах Ваш Компьютер Заблокирован МВД за мол типа какие то нарушения)) я аж заплакал от смеха.
Хорошо что хоть Диспетчер Задач не заблокировался а то так долго бы сидел.. а вирусняк так и не удалили, сейчас буду пробовать))
а что делать если он токо сидить в браузере а не на компе?
Попробуйте почистить браузеры как описано в этой статье http://www.1st.rv.ua/slow-browser/
А если сидит в смартфоне?????????
А что если правда смотрел поруху??????? И такое выскочило как на P.S. (25.05.2013)????? Меня не посадят?????? Это не может быть правдой???
Не посадят)) Во-первых смотреть порнуху — не правонарушение, всё это — это чистая самодеятельность вирусописателей, во-вторых правоохранительные органы действуют совершенно по другому, а писать вирусы они точно не будут
а что делать если сидит на планшете ?
Искать решение в интернете. Советы из статьи применимы только для компьютеров с windows
Реально смотрел порно. Тут выскочило 3 окна на белом фоне типа МВД. Вами нарушен закон! дпльше текст как у всех. Но вид имеет другой. Второе окно «подтвердить обновления страницы. Ваш комп. Заблокированно МВДУ согласно постановлению 56 АН номер:197_971689 от 29.12.2014. за нарушение закона при просмотре порнографии. Вся инф. о просмотренных Вами веб-страницах передана в МВДУ по городу Kiev.
Короче штраф в розмере 1140 грн. Терминал оплаты сотовой связи Киевстар и номер на который надо положыть деньги. Дали 12 часов. В третем окне вся инф. О ноуте. Реально стремно что посадят.
Это лечится легко: 1. Запустите Диспетчер задач. 2. Закройте из него браузер (снять задачу). 3. Запустите браузер (Вкладки не восстанавливать!)
тоже самое но я не смотрел
а если не заплатил штраф то компьютер навсегда будет заблокирован ???
Если вы им хоть 100 раз подряд им заплатите, компьютер от этого никак не разблокируется)) Компьютер необходимо разблокировать другими путями (например, как описано в статье)
А что если выскочило это окно.Я перезагрузил виндовс.После того как перезагрузил-окно исчезло.Это же значит, что все нормально???