#1
RUS_D
Отправлено
26 August 2011 - 12:21
RUS_D
КПК - Сталкера
-
-
Регистрация:
08-December 08
-
884 Cообщений
Пропуск №: 2
-
Skype:rus_did
-
Страна проживания:Украина
-
Реальное имя:Руслан
-
Пол:Мужчина
-
Город:Полтавская обл.
В последнее время всё чаще и чаще поступают жалобы на вирус, который производит
полную блокировку компьютера и вымогательство денег, на стадии ещё до загрузки операционной системы (красные буквы на черном экране). Проблема в том, что для неподготовленного пользователя ситуация может стать действительно тупиковой:
компьютер не загружается ни в обычном, ни в безопасном режиме, загрузка и сканирование антивирусом с live-cd безрезультативна, даже попытка переустановки Windows может не увенчаться успехом! Здесь я расскажу о способах как на самом деле легко и просто его удалить.
Данный вирус поражает MBR – главную загрузочную запись жёсткого диска, доступа к которой ни пользователь, ни операционная система доступа обычно не имеют. В этом и заключается вся сложность, и, одновременно простота его удаления.
Заражение обычно происходит во время клика на заражённой ссылке или загрузки зараженной веб-страницы. Далее компьютер через несколько секунд выключается, пытается перезагрузиться и показывает сообщение от том, что «
Ваш компьютер заблокирован за просмотр, копирование и тиражирование видео с элементами педофилии… Необходимо платить штраф в размере… » и т.д. и т.п. Оплата осуществляется через Ibox-ы на кошельки Webmoney U338098752819, U225475893811, U250977606445, U193923440709 и др., либо пополнением счёта мобильного телефона. Существуют различные разновидности вируса для Украины и России:
Версия mbr-winlock для Украины
Версия mbr-winlock для инопланетян (если они пользуются Windows) (шутка). Автору хватило ума написать и распространить вирус, а вот сделать надпись в правильной кодировке он не осилил))
Хочется так же отметить практически полную
несостоятельность антивирусов против данной напасти: платные и с громкими названиями, как и два года назад, неспособны вовремя и адекватно реагировать против этой, действительно серьёзной угрозы:
Проверка вирусного файла sys3.exe на сайте virustotal.com показала, что на момент заражения из 43 антивирусов данный винлокер могло поймать только 5!
Каждый раз заражению соответствует наличие файла
sys3.exe (
собственно вирус) во временных файлах браузера и
netprotocol.exe в автозагрузке (
создаёт брешь в операционной системе) (версии данных файлов всё время изменяются и срабатываемость на них антивирусов остаётся
крайне низкой, названия файлов злоумышленники пока не изменяли).
Уязвимость операционной системы Windows: пользователь просто сёрфит в интернете, а злоумышленники в это время модифицируют MBR и перезагружают компьютер!!!
Беспомощность нашей милиции/полиции в борьбе с данным видом преступлений: как ловить таких преступников они не знают, не умеют, не могут и не хотят, чем мошенники пользуются и будут пользоваться.
Люди, которые платят мошенникам – соучастники и спонсоры данных преступлений. Эти вирусы будут появляться вновь и вновь до тех пор, пока это экономически выгодно.
Способ 1. Восстановление MBR из резервной копии Acronis TrueImage
Люди делятся на две категории: на тех, которые делают резервные копии, и на тех, которые уже делают…
Если Вы относитесь к тем людям, которые после установки Windows, драйверов, программ и настроек сделали
резервную копию системного диска – поздравляю, Ваши усилия не пропали даром! Для Вас эта проблема не является проблемой: нужно лишь загрузиться с загрузочного диска Acronis и восстановить mbr из своей резервной копии:
Загружаемся с диска Acronis True Image и выбираем пункт Recovery (восстановить)