В последнее время всё чаще и чаще поступают жалобы на вирус, который производит полную блокировку компьютера и вымогательство денег , на стадии ещё до загрузки операционной системы (красные буквы на черном экране). Проблема в том, что для неподготовленного пользователя ситуация может стать действительно тупиковой: компьютер не загружается ни в обычном, ни в безопасном режиме, загрузка и сканирование антивирусом с live-cd безрезультативна, даже попытка переустановки Windows может не увенчаться успехом ! Здесь я расскажу о способах как на самом деле легко и просто его удалить.
Данный вирус поражает MBR — главную загрузочную запись жёсткого диска, доступа к которой ни пользователь, ни операционная система доступа обычно не имеют. В этом и заключается вся сложность, и, одновременно простота его удаления.
Заражение обычно происходит во время клика на заражённой ссылке или загрузки зараженной веб-страницы. Далее компьютер через несколько секунд выключается, пытается перезагрузиться и показывает сообщение от том, что «Ваш компьютер заблокирован за просмотр, копирование и тиражирование видео с элементами педофилии… Необходимо платить штраф в размере… » и т.д. и т.п. Оплата осуществляется через Ibox-ы на кошельки Webmoney U338098752819, U225475893811, U250977606445, U193923440709, U255460166383, U229167721843, 380684668914 и др., либо пополнением счёта мобильного телефона. Существуют различные разновидности вируса для Украины и России:
Версия mbr-winlock для инопланетян (если они пользуются Windows) (шутка). Автору хватило ума написать и распространить вирус, а вот сделать надпись в правильной кодировке он не осилил))
Хочется так же отметить практически полную несостоятельность антивирусов против данной напасти: платные и с громкими названиями, как и два года назад, неспособны вовремя и адекватно реагировать против этой, действительно серьёзной угрозы:
Проверка вирусного файла sys3.exe на сайте virustotal.com показала, что на момент заражения из 43 антивирусов данный винлокер могло поймать только 5!
Каждый раз заражению соответствует наличие файла sys3.exe (собственно вирус ) во временных файлах браузера и netprotocol.exe в автозагрузке (создаёт брешь в операционной системе ) (версии данных файлов всё время изменяются и срабатываемость на них антивирусов остаётся крайне низкой , названия файлов злоумышленники пока не изменяли).
Уязвимость операционной системы Windows : пользователь просто сёрфит в интернете, а злоумышленники в это время модифицируют MBR и перезагружают компьютер!!!
Беспомощность нашей милиции/полиции в борьбе с данным видом преступлений: как ловить таких преступников они не знают, не умеют, не могут и не хотят, чем мошенники пользуются и будут пользоваться.
Люди, которые платят мошенникам — соучастники и спонсоры данных преступлений. Эти вирусы будут появляться вновь и вновь до тех пор, пока это экономически выгодно.
Способ 1. Восстановление MBR из резервной копии Acronis TrueImage
Если Вы относитесь к тем людям, которые после установки Windows, драйверов, программ и настроек сделали резервную копию системного диска — поздравляю, Ваши усилия не пропали даром! Для Вас эта проблема не является проблемой: нужно лишь загрузиться с загрузочного диска Acronis и восстановить mbr из своей резервной копии:
Загружаемся с диска Acronis True Image и выбираем пункт Recovery (восстановить)
Выбираем файл-образ системного диска
Выбираем пункт Restore disks or partitions (Восстановление дисков или разделов)
Выбираем из списка винчестер (системный), на котором нужно восстановить MBR
Нажать кнопку Proceed (Продолжить)
После перезагрузки от вируса не остаётся и следа, остаётся лишь провести «контрольную зачистку» компьютера свежими антивирусом и антитроянской программой.
Способ 2. С помощью утилиты CureIt от DrWeb либо Kaspersky TDSSKiller
Несмотря на то, что DrWeb данное заражение пропускает, результат заражения — модифицированый MBR он может с успехом лечить. Для этого нужно загрузиться с любого LiveCD и запустить эту утилиту . Вредоносная запись обезвреживается в считанные секунды:
Dr.Web CureIt! восстанавливает загрузочную запись в считанные секунды
При перезагрузке Windows загружается в нормальном режиме, как будто ничего и не было.
UPD (18.05.2012):
Новые модификации данного вируса изменяют разбивку диска на разделы. Скриншот консоли Windows Disk Management до лечения утилитой DrWeb CureIt:
После лечения и перезагрузки:
Способ 3. С помощью установочного диска Windows
Внимание! В свете последних модификаций данного вируса этим способом пользоваться НЕ РЕКОМЕНДУЕТСЯ!
Для Windows XP: вставляем установочный диск и включаем компьютер, жмём любую кнопку для подтверждения загрузки (Press any key to boot from CD…..). Ждём когда полностью загрузится диск и предложит выбор действий. Выбираем режим восстановления, кнопка R . Теперь система предложит выбрать какую ОС из найденных восстанавливать, нажимаем цифру и Enter (обычно 1). Теперь необходимо ввести пароль администратора, если его нет, то просто оставляем пустым и жмём Enter. Вот мы добрались до консоли восстановления. Вбиваем команду: FIXBOOT , Enter, вас попросят подтвердить, нажмите Y . Теперь вбиваем команду FIXMBR , Enter и опять подтверждаем нажатием Y . Всё теперь вбиваем EXIT и перезагружаемся. Можно грузиться с жёсткого диска. Всё.
Для Windows 7: загрузиться с установочного диска или флешки с windows 7 — восстановление системы — коммандная строка — bootsect /mbr All
Способ 4. Переустановка Windows
При переустановке Windows необходимо полностью удалить системный раздел, а потом создать его вновь. При этом пересоздастся и MBR.
UPD (26.01.2012):
Сегодня обнаружил тело вируса — файл
«Ваш компьютер заблокирован Internet Police за поиск и просмотр видеоматериалов содержащих педофилию, извращения, сексуальное насилие над детьми… Webmoney 380971559633 на 850 гривен»
Ситуация с обнаружением данной разновидности антивирусами пока что очень печальна . Кому интнресно, тело вируса можно взять здесь (пароль к архиву — infected):
UPD (13.07.2012):
Вчера разблокировал свежую версию, примечательной особенностью которой является почти 100% «слепота» антивирусов (в т.ч. Касперского). Рассылка данного образца по антивирусам возымела некоторое действие . Скачать тело вируса (пароль к архиву — infected):
В моем случае эту ошибку выдал антивирус Касперского, но так же ее может выдать любая программа использующая Microsoft .Net Framework 4.0, которая при запуске не смогла его обнаружить. Для исправления ошибки нужно переустановить Microsoft .Net Framework 4.0 или выполнить его восстановление. Предварительно создайте точку восстановления системы или сделайте образ системного диска чтоб можно было откатиться назад если что-то пойдет не так.
Для этого будем использовать наиболее эффективную в подобных случаях утилиту — .NET Framework cleanup tool, которая в большинстве случаев решает любые проблемы с.NET Framework, актуальных на сегодняшний день версий. Скачать ее можно или , затем нужно распаковать архив и запустить файл cleanup_tool.exe, соглашаемся с запуском, жмем да, затем жмем Yes и принимаем лицензионное соглашение:
Выбираем нужную версию.Net Framework в выпадающем списке:
И жмем кнопку Cleanup now
Соглашаемся с удалением и изменением системных файлов:
Дожидаемся появления надписи (некоторые версии удаляются с перезагрузкой, она может выполниться автоматически, либо вы получите запрос):
Для успешного восстановления Microsoft .Net Framework 4.0 так же нужно удалить 4.5.1 и 4.5.2:
Выделяем их по одной и удаляем. После того как всё удалено, можно (но не обязательно) перегрузиться, почистить временный файлы, скачать полный или online-установщик Microsoft .Net Framework 4.0 и запустить установку. Соглашаемся с лицензионным соглашением и ждем пока завершится установка:
Если все сделали верно, установка завершится успешно, и все приложения которым требуется Microsoft .Net Framework 4.0 начнут работать без ошибок. По аналогии исправляются ошибки и в других версиях Microsoft .NET Framerwork.
Microsoft .NET Framework - это компонент, без которого могут не работать некоторые программы. А точнее - это платформа, которая предоставляет широкий выбор сервисов для приложений, которые под нее написаны. Она состоит из 2 главных частей: CLR (среда исполнения для всех популярных языков программирования) и.NET Framework Class Library (библиотеки с готовыми функциями, которые могут вызываться из программы).
Главными преимуществами.NET Framework для программистов являются:
Управление памятью
Во многих языках программирования разработчики ответственны за выделение и очистку памяти под объекты. В.NET Framework-приложениях CLR предоставляет эти сервисы от имени приложения.
Универсальные типы данных
В традиционных языках программирования типы данных определяются компилятором, в то время как.NET Framework делает типы данных универсальными для все приложений, под нее написанных.
Большая база библиотек
Вместо того, чтобы писать сотни или тысячи строк кода для обработки типичных операций, вы можете использовать множество готовых функций из библиотек.
Удобная среда разработки
Платформа содержит библиотеки для специфичных областей разработки приложений: ASP.NET для веб-приложений, ADO.NET для баз данных, Windows Communication Foundation для сервисных приложений.
Совместимость языков
Компиляторы языков, которые создают программы под данную среду исполнения «эмитируют» код, названный Common Intermediate Language (CIL), который также компилируется во время запуска в CLR. С этой функцией рутинные коды, написанные на одном языке, могут быть доступны другим языкам, и эффективность разработчика повышается.
Совместимость с версиями
За редким исключением приложения, написанные под более ранние версии.NET Framework, будут нормально работать и с новыми версиями.
Специальные требования
- процессор с частотой 1 ГГц;
- 512 Мб оперативной памяти;
- 4,5 Гб свободного места на жестком диске.
Что нового в этой версии?
4.5.2 Final (10.11.2014)
- добавлен новый метод HostingEnvironment.QueueBackgroundWorkItem;
- новые методы HttpResponse.AddOnSendingHeaders и HttpResponseBase.AddOnSendingHeaders более надежны и эффективны, чем HttpApplication.PreSendRequestContent и HttpApplication.PreSendRequestHeaders;
- добавлены новые свойства HttpResponse.HeadersWritten и HttpResponseBase.HeadersWritten, которые возвращают значение типа Boolean и определяют были ли записаны заголовки ответов;
- такие элементы формы, как DataGridView, ComboBox получили возможность изменения размера с учетом разрешения экрана;
- некоторые другие изменения.
