Главная » Безопасность » Компьютер заблокирован: удалить вирус win.lock становится всё сложнее…

Компьютер заблокирован: удалить вирус win.lock становится всё сложнее…

Компьютер заблокирован за просмотр, копирование и тиражирование видеоматериалов содержащих элементы педофилии и насилия над детьми. Для снятия блокировки Вам необходимо оплатить штраф в размере 300 гривен в WebMoney кошелёк U383593510183 . В случае оплаты суммы равной штрафу либо превышающей ее на фискальном чеке терминала будет напечатан код разблокировки. Его нужно ввести в поле в нижней части окна и нажать кнопку Разблокировать. После снятия блокировки Вы должны удалить все материалы содержащие элементы насилия и педофилии. Если в течение 12 часов штраф не будет оплачен, все даные на Вашем персональном компьютере будут безвозвратно удалены, а дело будет передано в суд для разбирательства по статье 301 ч.2 УК У. Перезагрузка или выключение компьютера приведёт к незамедлительному удалению ВСЕХ данных, включая код операционной системы и BIOS, с невозможностью дальнейшего восстановления.Прогресс вирусописательства не стоит на месте, а движется семимильными шагами, это особенно заметно на примере вирусов-вымогателей, блокирующих Windows. Полная безнаказанность и поток денег от недалёких жертв делают своё дело. Недавно разблокировали один компьютер от очередного winlock-ера и столкнулись с некоторыми неприятными неожиданностями, о которых и хотим поведать здесь.


Заражение компьютера случилось при клике на совершенно безобидной ссылке во время поиска фотографий. При чём блокировка компьютера произошла практически моментально. Как показал последующий анализ, данный образец вируса на момент заражения не определялся никакими антивирусами за исключением Касперского:

Антивирус Касперского оказался в числе единственнных, кто может противостоять данной угрозе на ранних стадиях возникновения

Антивирус Касперского оказался в числе единственных, кто смог противостоять данной угрозе на ранних этапах возникновения

Через день ситуация конечно немного исправилась: к числу определяющих присоединились DrWeb, NOD32 и несколько других антивирусов, но полная их неспособностьхоть как-то противостоять новым, неизвестным угрозам наводит на грустные размышления — тест на эвристический анализ провален ими полностью…

Далее загружаемся с Live-CD и подгружаем реестр нашего заражённого компьютера:

Сразу в глаза бросается присутствие а автозагрузке файла 22CC6C32.exe

Сразу в глаза бросается присутствие а автозагрузке файла 22CC6C32.exe и отсутствие цифровой подписи Microsoft у файла userinit.exe (не заполнены поля Description и Publisher)

Сразу в глаза бросается присутствие а автозагрузке файла 22CC6C32.exe и отсутствие цифровой подписи Microsoft у файла userinit.exe. Если раньше удаление вируса ограничивалось только удалением этой записи из реестра и самого файла 22CC6C32.exe с диска С:, то в нашем случае этого уже не достаточно и после перезагрузки мы будем снова лицезреть ненавистное окошко вируса-блокиратора. Значит система вычищена не до конца и зараза прячется где-то ещё.

Снова загружаемся с Live-CD, но уже вооружившись антивирусом, который может лечить/удалять данную заразу (а это мы узнали из результатов анализа файла 22CC6C32.exe на сайте virustotal.com) и запускаем полное сканирование системного диска. В результате мы видим, что вирус заменил собой такие системные файлы:

«С:\WINDOWS\System32\userinit.exe » (Отвечает за процесс загрузки системы),
«С:\WINDOWS\System32\taskmgr.exe» (Диспетчер задач Windows. После заражения комбинация клавиш Ctrl+Alt+Del запускает лишь очередную копию вируса),
а так же их резервные копии
«С:\WINDOWS\System32\dllcache\userinit.exe «, «С:\WINDOWS\System32\dllcache\taskmgr.exe«,
чего в принципе быть не должно так как это важные системные файлы и, по идее, должны быть надёжно защищены системой от любых посягательств как извне так и изнутри, и это является своеобразным ноу-хау данного вируса.
Кроме того он создал свою копию по адресу «C:\Documents and Settings\All Users\Application Data\22CC6C32.exe» и поместил в автозагрузку через реестр.

Антивирус все эти файлы конечно удалил:

Результаты лечения системного диска при помощи Сканера для Windows от DrWeb

Результаты лечения системного диска при помощи Сканера для Windows от DrWeb

Что это будет обозначать на практике? А то, что «исцелённый» Windows теперь уже не загрузится пока мы не восстановим на место оригинальные файлы userinit.exe, а так же taskmgr.exe (диспетчер задач тоже иногда нужен).

Для этого нам понадобится установочный диск Windows. Находим на нём файлы userinit.ex_ и taskmgr.ex_. Это файлы-архивы, из них необходимо распаковать оригинальные файлы и положить на место уничтоженных сначала вирусом, а за тем антивирусом.

Извлечение файла userinit.exe из архива userinit.ex_ на установочном диске Windows

Извлечение файла userinit.exe из архива userinit.ex_ на установочном диске Windows

Только теперь можно считать, что угроза преодолена и виндовс загрузится как положено.

Видеоурок на данную тему можно посмотреть здесь.

Что же мы имеем на выходе? Маленький файлик размером 161 килобайт без проблем обходит все антивирусные защиты, модифицирует, удаляет по своему усмотрению системные файлы и вносит изменения в реестр! Хочется лишь сказать хакерам «браво» и посочувствовать пользователям, так как они не защищены от данных угроз НИКАК! Только резервное копирование данных может дать хоть какую-то уверенность в завтрашнем дне…

Да, а ещё хакерам можно сказать спасибо за то, что они, вопреки своим угрозам не удаляют пользовательские данные. Хотя эти действия, по моему мнению, продиктованы скорее страхом, чем человеколюбием. Ведь ущерб от их деятельности в таком случае возрастёт до космических размеров, а вместе с ним и количество желающих их выловить. И совсем не обязательно это будут представители правоохранительных органов… Умереть от «ректального криптоанализа» — совершенно реальная в таком случае перспектива!

UPD (14.10.2011):

Сегодня попался очередной образец данного «шедевра». Название файла то же: 22CC6C32.exe, только версия другая. Точно так же заменяются файлы userinit.exe и taskmgr.exe. Удивительной особенностью данного образца является абсолютная пробиваемость всех антивирусных защит:

22CC6C32.exe on virustotal.com

Ни один из известных антивирусов не может противостоять данному заражению (состоянием на сегодняшнее число)

Похожие материалы:

Что делать, если «Операционная система Windows заблокирована» Что делать, если «Операционная система Windows заблокирована». Здесь описан более простой случай, из разряда «как хорошо всё начиналось…»
Вирус mbr.lockВирус mbr-winlock: быстрое его удаление и восстановление доступа к компьютеру. Другая, но не менее опасная разновидность программ-блокировщиков
Громкие провалы в борьбе с вирусописателямиГромкие провалы в борьбе с вирусописателями — о том, что наличие антивируса на компьютере — далеко не обязательно обозначает полную его безопасность… Борьба добра со злом — процесс безпрерывный)
Как удалить троянскую программуКак удалить троянскую программу – описание борьбы с вирусом, который в данное время терроризирует множество пользователей, когда на флешке пропадают папки, а вместо них появляются ярлыки.
Понравилась статья - поддержи проект материально:
Понравилась статья - поделись с друзьями:

10 комментариев

  1. Сергей

    Огромное спасибо!
    Целый день потратил на эту заразу. Как только прочитал эту статью, сразу решил проблему.

  2. Большое спасибо, сделали всё как Вы описали и помогло, но не загружались ярлыки с рабочего стола. Тогда сделали ещё восстановление системы (вернули на два дня назад) и все ярлыки обратно появились. Теперь всё ок!

  3. В Windows 7 данная зараза прячется в C:\Users\username\AppData либо C:\Users\user\AppData\Roaming и прописывается в автозагрузку. Лечение состоит в удалении от туда данного файла 22CC6C32.exe. Системные файлы испорчены не были.

  4. Очень хорошая статья. Еще статья есть замечательная http://luchshii-antivirus-free.ru/articles/banner-zablokirovan-kompyuter.html, как бы их совместить… )

  5. Дуже дякую. Вже боровся з такими різновидностями, але в такі подробиці не влазив. Цікава інфа.

  6. У меня эта ботва пролезла через Nod (12.10.2011), оффициально купленный и ежедневно обновляемый.

    • Проблема в том, что сейчас никакой антивирус не даёт никакой гарантии против винлокеров: честно купленный или бесплантый… пропускают все за исключением касперского. Из всех виденных мною случаев касперский ловит около 95% винлокеров, у остальных ситуация настолько плачевная, что просто ужас: от 0% до 40%. Возможно касперский действительно хороший антивирус, а может они у них в доле… Других объяснений этой ситуации у меня нет

  7. Спасибо! помогло, пролез зараза на ХРени через Нод, почистил Вебом, ничего нигде не заменял, все работает!

  8. после клика на какую то ссылку,комп завис и выдал надпись что компьютер заблокирован. Просят оплатить на номер 500р. Я знаю что это хаккерская разводка. Посоветуйте самый простой способ удаления этой хрени. В компе я разбираюсь не очень.

  9. Евгений

    Народ!!!!!Я столкнулся с той же проблемой(вымогали деньги),перепробовал много,livecd мне не помог от dr.web и каспер))но вот сайт который реально помог
    http://pulsepc.ru/itnews/virus-netprotocol.exe.-opisanie-udalenie-lechenie.html у меня windows 7,через поиск искал все что там предлагали все удалил и все работает,если не уверены удалять фаил или нет посоветуйтесь с гуглом,если он не знает такого файла в риестре— смело удаляйте!!!
    Так же спасибо вот этому человеку
    http://www.ixbit.ru/forum?open=1278486120_9008 (пишет Тема: Re: Re: УБЕРУ ЛЮБОЙ БАННЕР БЕСПЛАТНО
    Автор: Damien E-mail: dampire5@rambler.ru) сделайте все тоже самое и надеюсь все у вас получиться,удачи всем не болейте))

Оставить комментарий

Ваш email нигде не будет показан. Обязательные для заполнения поля помечены *

*