Останнім часом різко почастішали випадки зараження, на жаль навіть знаходяться під захистом хороших антивірусів, компьтеров вірусом-здирником, так званому winlocker або по-простому - банер-блокувальник. Основною причиною зараження є дуже швидке "мутирование" даного вірусу. Особисто моя думка - це результат легкодоступності вихідного коду зловреда і в більшості випадків банальна цікавість або-ж просто бажання виділитися (я б навіть сказав "випендритися") ну і банальний "розлучення" на гроші. Так-же поширенню цієї "зарази" сприяє масове захоплення безкоштовними продуктами, що дозволяють заощадити аж цілих 6 (шість) центів в день. Ну да ладно, вистачить теорії, переходимо до практики.
Якщо раптом Ви стали "щасливим" власником якогось антикваріату з серії блокаторів (а це можливо мабуть тільки при повній відсутності антивірусного захисту), то Вам може допомогти компанія "Dr.Web". зі своїм сервісом підбору коду розблокування.
Варто для початку спробувати Kaspersky Rescue Disk. Якщо у Вас варіант примітивного типу - це допоможе легко і швидко. Що нам для цього знадобиться:- Можна обійтися і звичайною CD- "болванкою", але краще взяти будь-яку флешку
- Якщо болванка - просто "пропалюємо" образ. якщо флешка - ще додатково качаємо і запускаємо rescue2usb
Все зайве просто видаляємо або якщо щось не правильно - правимо. У більшості випадків цього достатньо для успішного завантаження без вимагача, але якщо Ви пробували варіант №2 і він Вам не допоміг - то продовжуємо більш глибоке чищення реєстру. HКЕY_СURRЕNT_USЕR \ SOFTWARE \ Microsfot \ Windows NT \ CurrentVersion \ Windows Якщо в цій гілці Ви виявите такі ключі реєстру Userinit, Shell, UIHost - їх потрібно просто видалити.
У мене був випадок ну дуже "шкідливого" зловредів, якщо при спробі видалення Ви отримаєте повідомлення про неможливість через відсутність прав, то просто клацніть правою клавішею мишки (ПКМ) по гілці реєстру в лівій частині вікна, виберіть пункт меню "Дозволи." і просто отримаєте повні права на цю гілку.
Гілки автозапуску: HКЕY_LОCАL_MАCHINЕ \ SOFTWARE \ Microsfot \ Windows \ CurrentVersion \ Run і HКЕY_СURRЕNT_USЕR \ SOFTWARE \ Microsfot \ Windows \ CurrentVersion \ Run У правій частині Ви побачите все, що завантажується при старті системи. Видаліть всі підозрілі записи. Як правило вони мають не читане назву і (або) дивляться на тимчасовий каталог.
Гілки відповідають за одноразовий запуск: HКЕY_LОCАL_MАCHINЕ \ SOFTWARE \ Microsfot \ Windows \ CurrentVersion \ RunOnce і HКЕY_СURRЕNT_USЕR \ SOFTWARE \ Microsfot \ Windows \ CurrentVersion \ RunOnce Тут можна взагалі не церімоній - все що там є сміливо видаляйте.
Наша наступна мета (може бути відсутнім зовсім): HКЕY_LОCАL_MАCHINЕ \ SOFTWARE \ Microsfot \ Windows \ CurrentVersion \ Policies \ Explorer \ Run і HКЕY_СURRЕNT_USЕR \ SOFTWARE \ Microsfot \ Windows \ CurrentVersion \ Policies \ Explorer \ Run Все що є видаляємо.
Якщо виявите наступні папки в реєстрі HКЕY_LОCАL_MАCHINЕ \ SOFTWARE \ Microsfot \ Windows NT \ CurrentVersion \ ImageFileExecutionOptions \ userinit.exe і HКЕY_LОCАL_MАCHINЕ \ SOFTWARE \ Microsfot \ Windows NT \ CurrentVersion \ ImageFileExecutionOptions \ explorer.exe видаліть їх.
Далі: HКЕY_LОCАL_MАCHINЕ \ SYSTEM \ CurrentControl \ Control \ SessionManager Перевірте, правильне значення має бути autocheck autochk *
Якщо у Вас Windows 7 x64, то може бути присутнім ключик автозапуску програм: HКЕY_LОCАL_MАCHINЕ \ Software \ Wow6432node \ Microsoft \ Windows \ CurrentVersion \ Run
У зазначеному шляху до файлу або папці комбінацію слід замінити на відповідну букву розділів Вашого диску, а під комбінацією% user name% слід розуміти ім'я користувача, зареєстрованого в системі, наприклад: Гриша, Петя або просто Оператор.
Ось перелік папок для чищення:: \ RECYCLER
: \ WINDOWS \ TEMP
: \ WINDOWS \ system32 \ config \ systemprofile \ LocalSettings \ Temp
: \ WINDOWS \ system32 \ config \ systemprofile \ LocalSettings \ TemporaryInternetFiles
: \ DocumentAndSettings \% user name% \ LocalSettings \ Temp | : \ Users \% user name% \ AppData \ Local \ Temp
: \ DocumentAndSettings \% user name% \ LocalSettings \ TemporaryInternetFiles
: \ DocumentAndSettings \ AllUsers | : \ ProgramData (ntuser.pol слід залишити)
: \ DocumentAndSettings \% user name% | : \ Users \% user name% (залишимо тільки ntuser.) З наступних папок чистимо тільки підозрілі і (або) не сподобалися Вам файли:: \ DocumentAndSettings \% user name% \ ApplicationData | : \ Users \% user name% \ AppData \ Roaming
: \ DocumentAndSettings \ AllUsers \ ApplicationData Перевіряємо папку автозавантаження, не забуваючи, що її можна легко перопределіть через реєстр HКЕY_СURRЕNT_USЕR \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ UserShellFolders: \ DocumentAndSettings \% user name% \ ГлавноеМеню \ Програми \ Автозавантаження | : \ Users \% user name% \ AppData \ Roaming \ Microsoft \ Start Перемістіть куди-небудь все підозрілі завдання з папки: \ WINDOWS \ Tasks Якщо прибрали зайве, потім зможете повернути назад.
Для досвідчених користувачів можна подивитися на предмет підозрілих файлів ще і в цих папках, тільки акуратно. : \ Windows, Windows \ System32, Windows \ apppatch Готово, перевантажуйтеся і обов'язково проведіть повну перевірку будь-яким хорошим антивірусом.
Це один з варіантів напівавтоматичного видалення шкідника. Робота буде виконана як і по Варіанту №3. але з тією лише різницею, що більшу частину ручної роботи виконає утиліта AVZ. Читаємо тут.
Варіант №5.
Найкращий захист - напад. Переходимо до превентивних заходів, ставимо універсальний захист від всіх видів блокаторів-вимагачів AntiWinLocker.