Разблокировка Windows без переустановки
Налог на имущество. Налог на прибыль. А Вы слышали что-нибудь про налог на интернет? Так мы в шутку называем последствия заражения компьютера трояном группы Trojan.winlock. Именно после такого заражения проводится разблокировка windows. Если Ваш компьютер инфицирован, то первым делом он попросит Вас отправить SMS на короткий номер или пополнить через терминал счет абонента и укажет номер этого абонента. Налогом же на интернет мы называет этот троян потому, что только пользователи интернета рискуют его подцепить. Через накопители данных (флэшки, внешние ж.д.) этот троян ПОКА не умеет проникать на компьютер.
Примечательна история появления и развития данного рода троянов. Их первые образцы имели вид очень похожий на стандартные окна Windows и уведомляли пользователя о том, что он использует нелицензионную версию Windows, поэтому она заблокирована. Предлагалось активировать ее путем отправки SMS сообщения на короткий номер. Предполагалось, что в ответном SMS пользователь получит код разблокировки. На удочку этого хитрого трояна попались тогда многие пользователи, т.к. еще пользовались льготными версиями операционной системы Windows. Описываемая версия троян винлок была первой в своем роде и появилась осенью 2009 года.
С этого момента разработчики "зверя" поняли насколько это выгодный бизнес и различные инкарнации winlock начали появляться с регулярной периодичностью, опережая антивирусные компании, которые должны были добавлять в свои антивирусные базы все новые и новые сигнатуры.
С конца 2011 года и по сей день действуют блокировщики, которые предлагают пополнить баланс злоумешленника через терминал и тот, якобы, выдаст чек и на нем будет напечатан код разблокировки. Это не соответствует действительности - на чеке терминала никакого кода разблокировки нет. Это лишь хитрая уловка.
В стремлении выжить на компьютерах, защищенных антивирусом, троян очень быстро развивался и появлялись все новые и новые его версии различного содержания и раскраски. Но смысл оставался прежним - необходимо было отправить sms на короткий номер для разблокировки. Первые трояны честно выдавали код разблокировки при отправке sms. А вот следующие версии были уже похитрее - некоторые просто не присылали код разблокировки, некоторые не деактивировались полученный кодом, а некоторые для "полной и окончательной" разблокировки предлагали в сообщении, отвечавшем на 1 sms пользователя, отправить еще одно сообщение. Т.о. деньги со счета снимались дважды. А дальше как повезет - может Windows разблокируется, а может и нет кодом ответного сообщения.
Это была первая волна trojan-winlock. Выполнять разблокировку windows, заражённую троянцами "первой волны" было довольно просто. Все версии троянца первой волны требовали отправки sms на короткий номер. Операторы сотовой связи получали множество претензий от абонентов, потерявших деньги. В конечном итоге операторы сотовой связи пошли навстречу абонентам и прекратили перевод денег на скомпроментировавшие себя короткие номера. Однако разработчиков "зверька" это не смутило - не момент написания данного обзора большинство троянцев требуют пополнить счет конкретного абонента (т.к. указывается десятизначный номер абонента). Номера для пополнения постоянно меняются. Т.о. понимаем, что разработчики "зверька" не сидят на месте и развивают свое прибыльное детище. Правда, последние версии трояна никогда в ответ на проведенный платеж не присылают кода разблокировки. Поэтому для борьбы с ним приходится искать другие пути. Тех зловредов, которые просят пополнять не короткие номера, а обычные десятизнаки мы условно относим ко 2 волне trojan winlock. Разблокировать windows, зараженный троянами второго поколения, посложнее, но все же возможно.
Почему же trojan winlock так сложно удалить? Все просто. Он грамотно себя защищает.-
Способы самозащиты trojan-winlock
- Отключение диспетчера задач
- Отключение редактора реестра
- Удаление точек восстановления Windows
- Отключение безопасного режима
- Множество ключей автозапуска в разных ветках реестра
- Подмена системных файлов - userinit.exe explorer.exe taskmgr.exe и еще парочки. Причем заменяются на вирусные не только актуальные версии системных файлов, но и резервные копии этих файлов из папки "dllcache"
- Использование 2-ух и 3-ех файловых конфигураций трояна, когда одна из частей, обнаруживая, что другая часть удалена вновь ее пересоздает и прописывает в реестр команду на запуск. Такие версии трояна удалять наиболее сложно.
-
За несколько лет существования trojan-winlock нашлись способы самостоятельной разблокировки windows (без обращения к специалистам) и борьбы со зловредом
- Использование разблокировщика от Kaspersky, Nod32 или Dr.Web. Этот способ применим, если под рукой есть другой не инфицированный трояном компьютер. На сайтах указанных выше антивирусных компаний есть раздел в котором можно подобрать код разблокировки, соответствующий тому номеру, баланс которого троян требует пополнить.
- Использование Live CD от Kaspersky или Dr.Web. Такой метод позволяет проверить диски компьютера на наличие вирусов даже на заблокированной системе.
- Ручная правка файлов реестра Windows
После выполнния разблокировки компьютера при помощи антивирусного программного обеспечения необходимо защитить от записи ряд ключей реестра, основные из них:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe\* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe\* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\* HKEY_USERS\*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\* Такая защита выполняется при помощи специальных программ-защитников реестра. После разблокировки windows наш специалист такую программу устанавливает.
На компьютеры троян проникает через зараженные web-сайты. Как правило это сайты с, условно говоря, "сомнительным содержимым". Часть этих сайтов инфицирована с согласия из владельцев, часть - без их ведома. Так или иначе с такого инфицированного сайта банер рабочего стола проникает на ваш компьютер (хранятся его файлы чаще всего в папке временных файлов пользователя или windows или в кэше интернет браузера). После проникновения блокировщик добавляет себя в автозапуск, чтобы при следующем включении компьютера запуститься вместе с Windows. И вот вуаля - после перезагрузки или включения-выключения компьютера вы получаете на рабочем столе блокирующий банер.
С 2009 года мы накопили значительный опыт по борьбе с trojan-winlock и можем без переустановки Windows и с сохранением всех данных удалить его и разблокировать Ваш Windows. Заказать разблокировку Windows вы можете, позвонив по тел. +7(905)40-24-600. Евгений.
Выезд специалиста по г. Краснодару и пригороду.
Открытым остается вопрос эффективности антивирусов в борьбе с trojan-winlock. Опыт показывает, что все антивирусы большой тройки (Dr.Web, Kaspersky, Nod32) пропускают зловредов типа trojan-winlock. Так что лучшим способом уберечься от заражения trojan-winlock до сих пор остается не заходить на сайты с сомнительным содержанием. Если Вы все же подцепили зловреда - обращайтеcь к нам - разблокируем Ваш windows и удалим блокирующий банер с компьютера.
Подключение к интернету, настройка интернет подключения, настройка интернет соединения,
настройка VPN, настройка PPPOE, удаление вирусов, настройка антивирусной защиты. Перенос данных.
Восстановление паролей. Установка ОС, необходимых программ и др.
Компьютеры, ноутбуки, другая вычислительная техника - настройка и ремонт.