Компьютер заблокирован или жадный Winlock

Вы уже наверное догадались, о чем сейчас будет речь? Да, да, да…о тех самых вымогателях денег – вирусах под названием Winlock. По правде сказать, подобные вирусы ничего не блокируют, просто они работают поверх всех окон. Глупо, но эффективно.

Те, кто впервые сталкиваются с подобной писаниной малолетних кодеров, нередко попадаются на их удочку, отсылая на указанный номер требуемую денежную сумму. Возможно, при переводе денежных средств на номер злоумышленника вы получите ответное сообщение с кодом разблокировки. Однако школьники не всегда оснащают свою писанину функцией разблокировки системы, при вводе правильного кода разблокировки. Ну вы сами понимаете: у одних знаний маловато, другим уроки нужно учить, третьим печень тренировать. В итоге получаются подобные блокировщики системы.

Итак, сегодня я расскажу как удалять «винлокеры» самым доступным способом.

Если вы увидели на мониторе своего компьютера вот такое окно, с сообщением «ваш компьютер заблокирован за просмотр, копирование и тиражирование видеоматериалов содержащих элементы насилия»:

Не спешите пересылать злоумышленнику требуемую денежную сумму, а попытайтесь удалить этот блокиратор вручную. О том, как это сделать, я расскажу вам как можно подробней.

О вирусе Winlock

Для написания подобного вируса не требуется глубоких познаний программирования. Поэтому созданием подобных программ стали заниматься школьники, которые сумели найти на просторах Интернета подробную инструкцию по написанию вируса-вымогателя.

Надо отдать должное школьнику, написавшему столько много интересных слов, из которых в итоге получились предложения.

Однако я не совсем понял, что именно должно быть напечатано на фискальном чеке? Наверное цитата из уголовного кодекса.

Кстати о кодексе. Школьник явно не подозревал о существовании статьи 273 уголовного кодекса РФ. Название статьи и ее содержание, для малолетнего шкодера остается в качестве домашнего задания.

Выходные данные

MD5: 75bf77435316d14da5cb2b6ddae6dbcb

File name: userinit.exe

File size: 24576 байт

Publisher: BitDefender

Copyright: Copyright (C) 2011 Heaventools Software

Product: Gusno

Description: Gan

Original name: Gusn.exe

Internal name: Gsn.exe

File version: 3.0.79.4

Удаление вируса Winlock

Для удаления блокировщика понадобится любой LiveCD, умеющий работать с файловой системой NTFS. Если у вас имеется возможность подсоединить свой жесткий диск к другому компьютеру, то можете не возиться в LiveCD и читать дальше. Все действия, описываемые ниже, практически ничем не отличаются как при работе с LiveCD, так и при подключении жесткого диска к другому компьютеру.

Итак, вы получили доступ к файловой системе своего жесткого диска. Первым делом нам нужно удалить либо переименовать файл userinit.exe, который находится в C:\Windows\System32. Сразу же можете удалить и файл taskmgr.exe в той же папке. На рисунке ниже, показаны два этих файла. Обратите внимание на иконку этих файлов:

Подлинный файл userinit.exe имеет совершенно иную иконку.

Теперь нам нужно вернуть прежнее имя файлу 03014DF3F.exe, который находится в C:\Windows\System32. Прежнее имя этого файла userinit.exe. Да, вы не ослышались. Именно userinit.exe.

Вся соль в том, что вирус переименовал оригинальный файл userinit.exe в 03014DF3F.exe. После этого, вирус поместил свою копию в директорию C:\Windows\System32, присвоив при этом имя userinit.exe. Диспетчер задач был также заменен на копию вируса.

Теперь необходимо скопировать оригинальный файл userinit.exe в папку C:\Windows\System32\dllcache\.

Стоп. В этой папке уже есть такой файл. Да, все верно. Дело в том, что вирус даже в этой папке затер userinit.exe. Заменяем старый файл оригинальным userinit.exe.

Давайте удалим и файл taskmgr.exe. Этот файл был также перезаписан вирусом-вымогателем.

После этого, перейдите в директорию C:\Documents and Settings\ All Users \Application Data\. Найдите там файл 22CC6C32.exe и удалите его.

Следующим шагом будет перезагрузка компьютера, с последующим включением режима: «Безопасный режим с поддержкой командной строки». Вы помните, что этот режим включается по нажатии кнопки F8?

Выберите свою учетную запись и вместо привычного рабочего стола, перед нами будет красоваться командная строка. Именно этого мы и добивались.

Запустите редактор системного реестра, введя в командую строку: regedit. Найдите следующий ключ: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Находим ключ Shell и кликам правой кнопкой, выбрав действие «Изменить». Появляется следующее окно:

Как ни печально, но это и есть тот самый вирус, даже правильней сказать - троянец.

Вместо значения C:\Documents and Settings\All Users\Application Data\22CC6C32.exe введите explorer.exe. Нажимаем OK и закрываем редактор реестра.

Давайте теперь откроем Проводник, набрав в командной строке explorer. На появившийся диалог отвечаем положительно и, свернув командную строку мы увидим свой рабочий стол.

Немного полюбовавшись на рабочий стол без фонового рисунка, перезагрузим компьютер привычным способом: Пуск – Выключение – Перезагрузка.

Осталось сделать последние штрихи: восстановить Диспетчер задач.

Предупреждаю, не стоит сейчас пытаться его запустить. Иначе вам придется проделывать все действия заново.

Нам понадобится загрузочный диск Windows XP. Вставьте его в дисковод и найдите на диске директорию E:\I386\SYSTEM32. Где E – буква привода вашего дисковода. Находим в этой директории файл файл taskmgr.exe и копируем его в в каталог C:\Windows\System32. В ответ на это появится окно «Защита файлов Windows». Закрываем его и в ответном окне подтверждаем сохранение нераспознанных версий файлов.

Не стоит волноваться, это типичная защита Windows от перезаписи файлов. Жаль, что эта защита не сработала, когда троянец перезаписывал файлы.

Теперь копируем этот же файл в каталог C:\Windows\System32\dllcache\.

Вот и все. Вирус удален, а деньги остались нетронутыми.

Дополнительная информация

О чем думал школьник-кодер, когда писал эти строки: «Перезагрузка или выключение компьютера приведет к незамедлительному удалению ВСЕХ данных, включая код операционной системы и BIOS, с невозможностью дальнейшего восстановления»?

Наверно он подумал, что это будет круто. И написал этот бред.

Вот еще интересней: «Если в течение 12 часов штраф не будет оплачен, все данные на Вашем персональном компьютере будут безвозвратно удалены, а дело будет передано в суд для разбирательства по статье 242 ч. 1 УК РФ».

Хочется спросить: какое такое «дело», если все данные будут удалены, включая «код операционной системы и BIOS»?

Кстати, текст однозначно был набран сначала в текстовом редакторе Word, а потом перенесен на форму разрабатываемого троянца. Вот если бы Word умел не только выделять грамматические ошибки, но и выделял бы текст, противоречащий логике, то не появлялось бы таких опусов в виде надписей на детском конструкторе «вирус Winlock».

И еще: рассматриваемый нами вирус-шантажист, просит отправить денежную сумму, в размере 400 рублей на следующие номера: 8-918-600-89-76, 8-988-160-94-63, 8-988-161-21-06, 8-918-200-87-40, 8-988-161-21-08.

Выводы

Можете себя поздравить. Вы самостоятельно справились с вирусом Winlock и не заплатили за это ни копейки.

Я же, в свою очередь, поместил этот вирус в свою коллекцию побежденных вирусов.

Собранные материалы, полученные в ходе поверхностного рассмотрения вируса, были направлены в службу безопасности оператора сотовой связи МТС, для дальнейшего разбирательства. В собранном деле, были все снимки экрана с номерами телефонов, указанных для пополнения счета.

На этот раз не повезло школьнику, написавшему этот вирус. Не завидую я ему, когда к нему в дом постучатся люди в форме. Потому как, во-первых, он получит подзатыльников от матери, за то что она на работе подцепила этот вирус, в тот момент, когда босс проходил мимо и видел все это. А во-вторых, если этому школьнику лет так 20-30, то люди в погонах сопроводят этого джентльмена до его нового места жительства на ближайшие 3-4 года.

2011-06-11 12:43

Понравился сайт? Расскажи о нем друзьям:

Comments to Notes: 3