Страницы

Разлочить Winlocker

Собственно многие из нас когда-либо натыкались на подобное сообщение на экранах ноутбуков друзей и родственников:
Современные winlocker'ы эволюционируют на глазах: активно используют соц.инженерию (обвинение в нарушении УК и правил Микрософт), используют для кражи денег номера сотовых телефонов, которые периодически меняются даже если вирус не подключён к Интернету, успешно обходят антивирусный софт со свежими базами и т.д.

Как разблокировать компьютер?
1. Первым делом идем на сайт Касперского sms.kaspersky.ru и пробуем "пробить по базе" номер телефона винлокера. У меня не сработало. Идём дальше...
2. Скачиваем на незаражённый компьютер образ Kaspersky Rescue Disk и программу для записи образа. Устанавливаем всё на флешку и загружаемся на заражённом компьютере с помощью флешки в среду Kaspersky Rescue. 
В моём случае старый ноутбук отказывался загружаться с флешки первое время. Пришлось искать старую флешку на 2 Гб с которой получилось загрузиться. 
Образ Kaspersky Rescue Disk содержит актуальные базы для антивируса, поэтому каждый раз лучше иметь свежий образ под рукой.
3. Загрузившись, если есть время, запускаем проверку диска.

4. После проверки, запускаем WindowsUnlocker из командной строки.
Анлокер нашёл точку загрузки винлокера и восстановил всё как было.

Перезагружаемся и наблюдаем винлокер снова =(...

5. Идём читать соответствующий форум Касперского.

В моём случае помогла ручная очистка веток реестра
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\<Имя проблемной учетки>\Software\Microsoft\Windows\CurrentVersion\Run

Удалять ключи реестра из этих веток можно спокойно. Ничего критически важного там нет.
В автозагрузке обнаружилась ссылка на файл ms.exe, который я загрузил на VirusTotal.
Сделать это стоит по 2 причинам:
1. сайт поможет определить антивирус, который умеет находить этот вирус (т.к. мы по-прежнему точно не знаем как вирус попал на ПК);
2. файлы, загруженные на этот сайт, попадают на стол к исследователям вирусов, что поможет им в поиске хозяев.

Вирус не ловится Касперским главным образом потому, что задача вирусописателей - скрыть вирус от наиболее распространённых антивирусов для определённого региона.
Зато вирус должен поймать бесплатный антивирус Microsoft Security Essentials, что хорошо.
Из последнего скриншота видно, что вирус постоянно эволюционирует и исследуемый ПК был заражён последней модификацией вируса, которая на момент заражения еще не была известна VirusTotal.
Как правило, основной источник вирусов - это использование непропатченного ПО  - в частности старых версий браузеров, Flash, Java и Acrobat Reader. 
Поэтому очень рекомендую поставить такую галку в Chrome (есть подобная и в Firefox):
Которая будет запускать Java и Flash сценарии только по щелчку мыши.

[ВАЖНО!] После удаления заразы очень рекомендую сменить все важные пароли!

2 комментария:

  1. http://www.antiwinlocker.ru/ - все очень быстро, можно файл вообще будете перенести на свой любимый загрузочный диск =)
    http://forum.virlab.info/index.php

    ОтветитьУдалить
    Ответы
    1. Я больше верю Касперу (либо другой крупной антивирусной конторе). Хотя тут больше дело вкуса..

      Удалить