Новый блокировщик-вымогатель (фото). Как бороться?

5

С блокировщиками-вымогателями, которые запускаются из-под Windows, метод борьбы найден:

Новый блокировщик-вымогатель ( фото ). Как бороться?

Новый блокировщик-вымогатель ( фото ). Как бороться?

Новый блокировщик-вымогатель ( фото ). Как бороться?

А вот сегодня обратились к нашему компьютерщику с вот такой проблемой:

Новый блокировщик-вымогатель ( фото ). Как бороться?

А это чудо-юдо запускается из-под DOS… Кто-нибудь знает методы борьбы с этим змеем, кроме переустановки ОС?

Ответов: 11

Вообще DOS и Windows существовали вместе только в версии 3.хх. Когда виндоус была лишь графической оболочкой к реальной операционной системе DOS. Вообще это очередной Winlocker. Одно из решений здесь, а надежней здесь!)

2 Нравится
То есть насколько я понимаю запуск винлокера идет после запуска компьютера, но до запуска Windows? Можно ли выйти в безопасный режим через F8 ?
Спасибо! Будем пробовать.)+
Увы, разблокировать не удалось. На сайте Dr. Web ввели номер и получили пароль:
http://i069.radikal.­ru/1203/47/8b9605394­c09.jpg
Но все безрезультатно…(((
Попробуйте Dr. Web LiveCD (https://support.drw­eb.com/show_faq?qid=­46 453 417&lng=ru) или Dr. Web LiveUSB (https://support.drw­eb.com/show_faq?qid=­46 454 236&lng=ru)­!

Описанный способ борьбы не верен. Стандартный редактор реестра покажет вам реестр live-системы, а не той, что стоит на вашем жестком диске.

Самый простой способ борьбы с вымогателями — загрузка с live-диска и последующая очистка временных папок системы и всех пользователей (в профиле каждого пользователя), затем потребуется утилита для редактирования подключаемого реестра (например RegEditPE0.2b.exe).

И потом, практически согласно вашим скриншотам.

P. S. Чем постоянно заниматься лечением, подумайте о защите. Один из способов — создание учетной записи с ограниченными правами и работа в ней — нет прав для доступа — нет вирусов. Второй способ поставить программу sandboxie и запускать обозреватель и любое опасное/подозрительное содержимое только в ней (плюс этого способа — полный отказ от антивируса и нет необходимости обновлять базы через интернет).

1 Нравится

В вашем случае метод борьбы не подойдет, так как вы редактор реестра не увидите, и не сможете открыть не редактор реестра, не диспетчер задач так как они заблокированы вирусом., придется в слепую делать. Это очередной Winlocker, который своим баннером, похожим на досовское разрешение, загораживает вам экран.

Созваниваетесь со знакомым, попросите открыть сайт ДрВеба или Касперского и перейти в раздел «Разблокировка Winlocker», сообщаете ему номер телефона или описываете как выглядит картинка на вашем экране, он вам находит код, который надо ввести, или комбинацию клавиш, которую надо нажать. Далее нужно скачать утилиту Курейт, на вашем компьютере открыть сайт не удастся при заражении, придется качать на другом компьютере и переносить на ваш. (если ваш антивирусник установленный на компьютере этот вирус пропустил, то можете спокойно его удалять и искать другой, помнится вы как-то отзывались о касперском в каком-то вопросе, то я вам советую Avira Free).

После проверки компьютера на вирусы, открываете консоль CMD через пункт в главном меню «Выполнить», набираете «route -f» без кавычек, нажимаете enter и перезагружаете компьютер, это действие разблокирует доступ к сайтам.

1 Нравится

Не знаю насколько это поможет или нет, можете попробовать сделать загрузочную флешку с касперским вот здесь можно узнать как сделать загрузочную флешку с касперским. Хотелось бы попробовать самому- но мне пока не попадался винлокер и знакомым тоже. :((Отпишитесь пожалуйста, если будете пробовать, хотелось бы знать результат.

1 Нравится

Просто винлокер новый.

Он не так страшен и прописывается в MBR. Именно поэтому и запускается из-под ДОС

Лечимся: загружаетесь с live-диска и… восстанавливаете MBR (master boot record)

Или с того же загрузочного диска тоже можете через консоль восстановить мастер бут рекорд

Две минуты, и Ваш друг компьютер здоров. Никаких кодов прописывать не нужно

з.ы. в роли доктора выступал муж (это он у нас умный). За последнюю неделю у четырёх друзей вылечил их технику).

Ну и не болейте)))

2 Нравится
Спасибо большое за совет! Будем пробовать.)+
напишите потом о рез-те, удачи)!

А я в таком случае не стал запариваться, потому что важного человек на компе ничего не хранил.

У меня вызвало подозрение то, что у того парня не высвечивался даже БИОС, оказалось просто у него так оно всегда. Впрочем я считаю лучше выдернуть из винды все нужное и переустановить — так однозначно надежнее, кто знает какая ещё там зараза могла быть вместе с ним.

1 Нравится

Фотка экрана есть? Отлично. Заходим на сайт мобильного оператора (в данном конкретном случае это Билайн Украина) и в чате с консультантом выкладываем суть проблемы: развод на бабло. С иллюстрациями. Конкретный номер абонента у вас на экране: этот «на бронепоезде» забыл, наверно, что номер QIWI-кошелька — это номер его мобильного телефона, т. е. телефон у него +38−068−913−27−15. В принципе, этой инфы достаточно даже для судебного иска о компенсации материальных и моральных…

А что касается восстановления системы… После нескольких факов по фейсу я отработал себе дешёвый способ. В состав МЧС-диска я включил небольшую софтинушку по кличке HxD. exe — шестнадцатеричный редактор дисков. А на флешке, связанной с этим диском (в буквальном смысле связанной — с конвертом) — создал папочку CHEKPOINT. В этой папочке — вложенные папочки с именами владельцев компов, которым я ставил Форточки.

«Спасение утопающих» состоит из двух этапов. Первый отрабатываю в момент установки системы. Сразу же после установки Форточек (ещё до антивирей, оффисов, геймушек и прочего дрэка) запускаю HxD. exe, открываю жесткий диск как физический и экспортирую в текстовый файл первые 64 сектора ЖД. Файло, естественно, в соответствующую папочку на флэшке. Туда же — копию файлов реестра. Всё, стартпойнт сохранён. Продолжаю установку необходимого софта. После завершения установки и настроек — опять копию файлов реестра в папочку: чекпойнт1 — состояние компа в момент установленного работоспособного софта. Если владельцу компа не в лом потратиться на флэшку для резервного копирования — честь ему и хвала. Резервную копию системного диска — на бэкап-флешку, флэшку двусторонним скотчем к основанию внутри корпуса… Работай спокойно, дАрагой тАвариШШЬ!

Второй этап наступает в случае облома (и не только наподобие приведеного в вопросе) — запускаю HxD. exe, импортирую первые 64 сектора из соответствующей папочки на диск: вирусяки, локеры и прочий дрэк дАсвидания. Последнее рабочее состояние реестра из папочки на диск — считай, вирус не буянил в системе. Если есть бэкап-флешка — восстанавливаю системный диск до исходного состояния. Фсьо, система функционирен…

Естественно, что такое обращение требует первоначального разбиения ЖД на два диска — системный и рабочий, чтобы не образовывался винегрет из системных и пользовательских файлов.

Эксперимента ради полгода работал на одном ноуте без антивири. Восемь раз пришлось восстанавливать систему. Каждый раз затраты времени составили около 7 минут (тактовая процессора 1Ггц, ОЗУ 512М).

Прикинем стоимость лицензии на антивирь — 100 американских рублей. Отсюда 56 минут моей «работы» стоят 50 уёв. 53,57 бакса в час…

Да если бы мне кто платил 50 баксов в час — я бы ему побайтно и врукопашную восстанавливал бы инфу!

2 Нравится
Можно делать образ системного диска («С») Акронисом. Время восстановление составляет также примерно 7 минут.
Абсолютно согласен.
Упрощенное (без бэкапа системного диска) восстановление системы (см. выше) оставляет на харде кучу мусора — файлов «неинсталлирова­нных» программ. Если быть точным — инсталлированных после чекпойнт1. Но поскольку восстанавливается состояние системного регистра, имевшее место в момент создания чекпойнт1 — на файлы прог, инсталлированных после чекпойнт1, в системном регистре нет ссылок. То есть — для системы они не существуют. А место на носителе — юзают.

Была у меня пару раз такая байда. первый раз отнес нашим компьютерщикам на работу, они мне за полчаса и бутылку водки все сделали и сказали, что б по порносайтам меньше лазил. А второй раз лень было нести и решил сам в инете покапаться и нашел простое решение вопроса. Правда я попался российским хакерам и они просили перевести сразу на телефон от этого немного изменился текст, но суть та же. Точно не помню на какое словосочетание или сочетание букв надо подвести курсор мышки (в пределах этого окна это возможно) и просто кликнуть, банер пропадет. Не доработали ребята маленько. Попробуйте поочередно к каждой букве подводить и кликать

1 Нравится

Windows7- загрузка с любого загрузочного live-диска или любой тотал командер вобщем лишь бы работа с файлами была, taskmgr и userinit удаляем эти два файла в двух папках :\Windows\System32 и Windows\SysWOW64 перезагружаем компьютер выбираем пункт востановление системы и 7 винда сама востанавливаеться не удаляя ни чего лишнего…))) всем спасибо кто обратил внимание ;))

2 Нравится
уходит на это всё про всё, я засекал, 20минут)) щас уже с самой винды научился избавляться, но надо чтоб контрольная точка была обязательно, и только стоит перезагрузиться и всё готово :)) каждый раз думаю чтобы оптимальнее и быстрее проходило избавление…)) К стате ещё вроде слыхал что касперски с такими вирусыми хорошо работает… хотя сам от каспера отвык: D

всё до банальности просто, как описала выше Виктория, самый простой способ подцепить большой HDD к компу с антивирем, антивирус убивает локера и всё =)

Нравится

Почему-то не получилось справиться с аналогичной проблемой перечисленными способами. И утилита с сайта Касперского для борьбы с баннерами-вымогателями тоже не помогла. Пришлось полностью переустанавливать оперативную систему… Видимо, вирусы бывают разные.

Нравится