Объявления
Удаление вируса mbr-winlock: восстановление доступа к компьютеру

В последнее время всё чаще и чаще поступают жалобы на вирус, который производитполную блокировку компьютера и вымогательство денег, на стадии ещё до загрузки операционной системы (красные буквы на черном экране). Проблема в том, что для неподготовленного пользователя ситуация может стать действительно тупиковой: компьютер не загружается ни в обычном, ни в безопасном режиме, загрузка и сканирование антивирусом с live-cd безрезультативна, даже попытка переустановки Windows может не увенчаться успехом! Здесь я расскажу о способах как на самом деле легко и просто его удалить.

Данный вирус поражает MBR — главную загрузочную запись жёсткого диска, доступа к которой ни пользователь, ни операционная система доступа обычно не имеют. В этом и заключается вся сложность, и, одновременно простота его удаления.

Заражение обычно происходит во время клика на заражённой ссылке или загрузки зараженной веб-страницы. Далее компьютер через несколько секунд выключается, пытается перезагрузиться и показывает сообщение от том, что «Ваш компьютер заблокирован за просмотр, копирование и тиражирование видео с элементами педофилии… Необходимо платить штраф в размере… » и т.д. и т.п. Оплата осуществляется через Ibox-ы на кошельки Webmoney U338098752819, U225475893811, U250977606445, U193923440709, U255460166383, U229167721843, 380684668914 и др., либо пополнением счёта мобильного телефона. Существуют различные разновидности вируса для Украины и России:

Удаление вируса mbr-winlock: восстановление доступа к компьютеру

Версия mbr-winlock для Украины

Версия mbr-winlock для инопланетян (если они пользуются Windows) (шутка). Автору хватило ума написать и распространить вирус, а вот сделать надпись в правильной кодировке он не осилил))

Хочется так же отметить практически полную несостоятельность антивирусовпротив данной напасти: платные и с громкими названиями, как и два года назад, неспособны вовремя и адекватно реагировать против этой, действительно серьёзной угрозы:

Удаление вируса mbr-winlock: восстановление доступа к компьютеру

Проверка вирусного файла sys3.exe на сайте virustotal.com показала, что на момент заражения из 43 антивирусов данный винлокер могло поймать только 5!

Каждый раз заражению соответствует наличие файла sys3.exe (собственно вирус) во временных файлах браузера и netprotocol.exe в автозагрузке (создаёт брешь в операционной системе) (версии данных файлов всё время изменяются и срабатываемость на них антивирусов остаётся крайне низкой, названия файлов злоумышленники пока не изменяли).

Уязвимость операционной системы Windows: пользователь просто сёрфит в интернете, а злоумышленники в это время модифицируют MBR и перезагружают компьютер!!!

Беспомощность нашей милиции/полиции в борьбе с данным видом преступлений: как  ловить таких преступников они не знают, не  умеют, не могут и не хотят, чем мошенники пользуются и будут пользоваться.

Люди, которые платят мошенникам — соучастники и спонсоры данных преступлений. Эти вирусы будут появляться вновь и вновь до тех пор, пока это экономически выгодно.

Способ 1. Восстановление MBR из резервной копии Acronis TrueImage

Люди делятся на две категории: на тех, которые делают резервные копии, и на тех, которые  уже делают…

Если Вы относитесь к тем людям, которые после установки Windows, драйверов, программ и настроек сделали резервную копию системного диска — поздравляю, Ваши усилия не пропали даром! Для Вас эта проблема не является проблемой: нужно лишь загрузиться с загрузочного диска Acronis и восстановить mbr из своей резервной копии:

Удаление вируса mbr-winlock: восстановление доступа к компьютеру

Загружаемся с диска Acronis True Image и выбираем пункт Recovery (восстановить)


Выбираем файл-образ системного диска


Выбираем пункт Restore disks or partitions (Восстановление дисков или разделов)


Выбираем MBR and Track 0 (MBR и Дорожка 0)


Выбираем из списка винчестер (системный), на котором нужно восстановить MBR


Нажать кнопку Proceed (Продолжить)

После перезагрузки от вируса не остаётся и следа, остаётся лишь провести «контрольную зачистку» компьютера свежими антивирусом и антитроянской программой.

Способ 2. С помощью утилиты CureIt от DrWeb

Несмотря на то, что DrWeb данное заражение пропускает, результат заражения — модифицированый MBR он может с успехом лечить. Для этого нужно загрузиться с любого LiveCD и запустить эту утилиту. Вредоносная запись обезвреживается в считанные секунды:

Удаление вируса mbr-winlock: восстановление доступа к компьютеру

Dr.Web CureIt! восстанавливает загрузочную запись в считанные секунды

При перезагрузке Windows загружается в нормальном режиме, как будто ничего и не было.

Способ 3. С помощью установочного диска Windows

Для Windows XP: вставляем установочный диск и включаем компьютер,  жмём любую кнопку для подтверждения загрузки  (Press any key to boot from CD…..). Ждём когда полностью загрузится диск и предложит выбор действий. Выбираем режим восстановления, кнопка R. Теперь система предложит выбрать какую ОС из найденных восстанавливать, нажимаем цифру и Enter (обычно 1). Теперь необходимо ввести пароль администратора, если его нет, то просто оставляем пустым и жмём Enter. Вот мы добрались до консоли восстановления. Вбиваем команду: FIXBOOT, Enter, вас попросят подтвердить, нажмите Y. Теперь вбиваем команду FIXMBR, Enter и  опять подтверждаем нажатием Y. Всё теперь вбиваем EXIT и перезагружаемся. Можно грузиться с жёсткого диска.  Всё.

Для Windows 7: загрузиться с установочного диска или флешки с windows 7 — восстановление системы — коммандная строка — 

Bootrec.exe /FixMbr
Bootrec.exe /FixBoot

Способ 4. Переустановка Windows

При переустановке Windows необходимо полностью удалить системный раздел, а потом создать его вновь. При этом пересоздастся и MBR.

UPD (26.01.2012):

Сегодня обнаружил тело вируса — файл full_porno.avi.exe (17920 кб)

Удаление вируса mbr-winlock: восстановление доступа к компьютеру

Файл full_porno.avi.exe "в действии"

Для интересующихся вирусный файл можно взять здесь. Пароль на архив — «virus».

источник

Поделитесь полезным материалом с друзьями:


Вам помог этот совет? Вы можете помочь проекту, пожертвовав на его развитие любую сумму по своему усмотрению. Например, 20 рублей. Или больше :)

Передать $пасибо! нашему сайту через систему Webmoney
Добавление комментария:
Ваше Имя:
Ваш E-Mail:

Полужирный Наклонный текст Подчёркнутый текст Зачёркнутый текст | Выравнивание по левому краю По центру Выравнивание по правому краю | Вставка смайликов Вставка ссылкиВставка защищённой ссылки Выбор цвета | Скрытый текст Вставка цитаты Преобразовать выбранный текст из транслитерации в кириллицу Вставка спойлера
Код:
Включите эту картинку для отображения кода безопасности
обновлять капчу