Страницы

05 октября 2013

Ваш компьютер заблокирован за просмотр и распространение...

Вроде бы вы ничего ужасного не делали, на работе неприличные сайты не просматривали, а тут вдруг р-р-раз! На весь экран огромный баннер синего, красного или даже коричневого цвета. Некто грозный и уверенный в себе пишет, что компьютер заблокирован за распространение чего-то неприличного и аморального. Нарушены такие-то статьи такого-то кодекса. Безусловно, уголовного. И даже уже статью подобрали. Ужас, ужас! Но вроде бы можно договориться: заплатить немножко кому-то невидимому и вроде как закроют глаза на ваше прегрешение. Все как в реальной жизни.

Нарушение виртуальное, строгий дядя тоже виртуальный, платить нужно тоже виртуально. Только вот деньги вы потеряете совсем не виртуальные, а свои кровные.

Что делать?
Работа стоит, начальство недовольно, а баннер висит и блокирует компьютер. Но мы же продвинутые пользователи, правильно? Мы нажимаем Ctrl-Alt-Del, пытаясь вызвать диспетчер задач и снять вредный процесс. Хм... Не получается. Пытаемся перегрузить компьютер (оно ведь как в жизни бывает - два раза перегрузил, на третий раз проблема сама прошла). Нажимаем варварски кнопочку Reset на системном блоке. Ах да, у нас же ноутбук... Ничего, опытные пользователи знают, что о-о-о-очень долгое нажатие на кнопку питания принудительно выключит ноутбук. Нетерпеливые просто отключают блок питания и снимают аккумулятор. Да что за беда! Баннер снова появляется и блокирует работу!

Делать нечего - чертыхаясь, зовем соседа или системного администратора. В большинстве случаев пришедший на помощь будет занят, но переполнен чувством собственной значимости. С данной конкретной проблемой явно не сталкивался, но наверняка знает истинную причину произошедшего: нечего лазить по порносайтам. Далее следуют те действия, который вы делали накануне: три волшебные кнопки, перезагрузка, выключить-включить. Но добавляются элементы новизны: в процессе загрузки спаситель жмет кнопку F8 и пытается выбрать безопасный режим загрузки. Не помогает. Спаситель удаляется и через какое-то время возвращается с диском либо флешкой, где записан (о святой Моисей!) ... антивирус под Линуксом! Не в силах устоять перед очарованием вашего компьютера, экран которого перешел в жуткое разрешение 640х480 при 256 цветах, вы угощаете специалиста кофе/чаем/пивом/сигаретами. Идет сканирование... Процесс затягивается на 15 минут, потом на полчаса, потом на час... Ясно, что с работой на сегодня покончено, письмо тетушке в Канаду не отправлено, статья заказчику не сдана. Решаете оставить сканирование компьютера на ночь. Автономная загрузка, Линукс, самый последний образ диска, скачанный знатоком с торрента (вау!) - это не может не помочь! И вот утром вы перегружаете свой компьютер и с ужасом видите надпись: "Ваш компьютер заблокирован за просмотр, распространение..." Итак, будем бороться своими силами. Это у нас обязательно получится.

Для борьбы нам понадобится:
  • второй компьютер;
  • подключение к интернету на скорости, достаточной для скачивания около 700 мегабайт;
  • чистый CD-диск для записи, можно перезаписываемый или флешка на 1 гигабайт, если в пораженном компьютере нет привода для чтения дисков;
  • около часа-двух времени.
Что произошло на самом деле и чего опасаться?
А произошло то, что в очередной раз талантливый молодой программист, желая заработать немного денег на новый модный айфон, написал программку, которая и попала на ваш компьютер. Программка блокирует работу, вынуждая жертву переводить деньги инициатору этого безобразия. Благо, в наше время можно попросить пополнить телефон неизвестного абонента (если на него позвонить, аппарат будет вне зоны), а можно и предложить пополнить виртуальный электронный кошелек. Получатель потом найдет способ, как эти деньги "вынуть" к себе в карман.

"А-а-а! Мой компьютер заражен вирусом!" Нет, это не вирус - это вредная программа, попавшая к вам обманным путем. Такие называют еще "троянскими программами". Почему не вирус? Да потому, что он не будет размножаться, и ваш компьютер не превратился в источник проблем для соседних машин. Это как у людей: можно заразиться гриппом в трамвае и принести болезнь коллегам по работе, а можно и просто упасть в открытый люк. При этом гипс на вашей ноге не будет продублирован начальнику. В случае с блокировкой компьютера у вас второй вариант.

"Как он попал ко мне?" Очень просто. Когда мы с вами просматриваем в интернете красивые сайты с анимацией и интерактивными баннерами, даже не задумываемся, что для обеспечения этих украшений интернет-браузер (программа с лисичкой или синей буквой Е, кому что нравится) закачивает еще много невидимых элементов и кодов. Вот вместе с таким кодом и попала программа-блокировщик. Давайте вспомним, как еще недавно вас заинтересовала маленькая смешная фотография с подписью "Звезда такая-то в нетрезвом виде обнажила свою..." Вы нажали на ссылочку, правильно? Потом вроде ничего не произошло, но под основным окном оказалось еще одно с рекламой, там нашли этот анонс, нажали... И снова окно, и снова куча рекламы... Ведь было же так? Вот в момент закачки кода одного из таких окон и могла попасть коварная программа к вам. Пытаясь понять суть произошедшего до конца, вы спросите: "А как эта дрянь попала на просматриваемые сайты? Ведь у них такой профессиональный красивый дизайн!" Ну, даже у красивых сайтов есть обслуживающие их администраторы. И у них тоже маленькая зарплата, и им тоже хочется новый, модный айфон...

Действительно ли через пять дней программа-блокировщик удалит мои файлы? Таких случаев неизвестно. Видимо, автор не окончательно потерял совесть. Но мы же не знаем, один ли человек пишет эти блокираторы, или их несколько, и что им придет в голову в следующий раз. Не исключено, что новый вариант, доставшийся именно вам, будет удалять файлы, отсылать от вашего имени почту и воровать данные. По этой причине не стоит лишний раз загружать компьютер с его "родной" операционной системы. Что там можно увидеть нового, кроме заблокированного экрана?

В известных случаях программа-блокировщик появилась в результате замены в вашей операционной системе "родного" файла userinit.exe в папке C:\WINDOWS\system32 на файл с таким же именем, но чужого авторства. При этом исходный файл оставался-таки в указанной папке, но был переименован в 03014D3F.exe Кроме того, в папке C:\Documents and Settings\All Users\Application Data появлялся файл 22CC6C32.exe

В реестре операционной системы, в разделе HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon были замечены изменения параметров Shell и Userinit, которые ссылались на новые "подставные" файлы. В более поздних вариантах программа-блокировщик могла проявляться с другими именами файлов, но суть поражения компьютера оставалась прежней.

Начинаем бороться.
Для начала попробуем обойтись простейшим способом. Если программа-блокировщик просит ввести код, который купили у разработчика за деньги, сделаем это. Конечно, платить никому ничего не нужно. Если вам своеобразно повезло, и к вам пришел один из известных вариантов блокировщика, то ответные коды можете посмотреть на сайтах антивирусных лабораторий:

http://www.drweb.com/unlocker/index/?lng=ru
http://support.kaspersky.ru/viruses/deblocker
http://virusinfo.info/deblocker

Просто введите номер телефона либо электронного кошелька вымогателей, в ответ можете получить код разблокировки. Если все получилось, можно радоваться, но не сильно. Вы прошли лишь этап временного отключения вредной программы, но не удалили ее. Единственное, чем этот маленький успех облегчит работу - не будет необходимости загружаться с отдельного диска. Операции по лечению компьютера можно сделать средствами самой операционной системы.

Если код подобрать не удалось, будем удалять блокировщик после загрузки компьютера с отдельного диска. И после подбора кода, и в случае неудачи последовательность действий по очистке будет схожей.

Скачиваем образ диска для восстановления, каких в интернете множество. Традиционно они содержат минимальную конфигурацию операционной системы и набор утилит для работы с диском и реестром. В качестве операционной системы может быть Windows (98, 2000, XP или даже ME) или Linux. Поскольку нам предстоит исправлять содержимое реестра вашей операционной системы Windows, то предпочтительнее использовать диски на базе именно этой системы.

Версии и сборки аварийных дисков постоянно обновляются, поэтому нет смысла указывать какую-то конкретную. Можно поискать с названиями: UBCD, ReanimatorLiveCd, Hiren'sBootCD или подобные. Будьте готовы к тому, что вам придется перепробовать не один вариант такого диска, поэтому лучше записывать его на перезаписываемую "болванку" CD-RW.

Скачиваем образ такого диска (это будет скорее всего файл с расширением *.iso, *.mds или *.nrg). Наиболее распространен *.iso. Это файл, в котором один-в-один содержится информация, расположенная на физически реальном диске. Наш образ будет размером от 200 до 700 мегабайт в зависимости от конкретного типа.

Далее этот образ записываем на "болванку" при помощи любой программы для записи дисков, например Nero. Обратите внимание, что нам нужен режим "запись образа" или "восстановить из образа". Если вы создадите диск, на котором будет просто "лежать" например файл LiveCD.iso, ничего не получится. В правильно записанном варианте при открытии диска будет несколько файлов и папок.

Если в вашем зараженном компьютере нет привода для чтения дисков, то следует сделать "загрузочную флешку". Для этого понадобится программка, которая полученный образ подготовит и превратит в соответствующую информацию на флеш-носителе. Обычно такие программки небольшие и находятся там же, откуда вы скачали образ аварийного диска.

Удаляем программу-блокировщик.
Вставляем диск в привод и делаем перезагрузку компьютера клавишей Reset либо выключением питания ноубтука (длительное нажатие на кнопку включения с последующим его включением).

Для того, что бы компьютер загрузился именно с нашего CD-диска, а не со своего жесткого, следует включить этот режим в BIOS компьютера (это не очень большая программа, записанная в микросхемах платы, она при запуске загружается самой первой). Способ войти в настройки BIOS зависит от конкретного компьютера или ноутбука. Клавиши могут быть разные. На все варианты есть универсальный "народный способ": при перезагрузке ставим пальцы на клавиши Esc,Ins, Del и начинаем быстро-быстро нажимать их по очереди. Одна из них сработает наверняка, и мы увидим на мониторе обычно синий экран. Выберем последовательность загрузки CD -> HDD, сохраним настройки и выйдем.

Если в вашем "пациенте" нет CD-ROMа, то выберите в настройках загрузку с флеш-памяти. При загрузке на черном фоне экрана компьютер попросит подтвердить загрузку именно с CD. Просто нажмите Enter.

Итак, дождемся загрузки с нашего диска восстановления. Это может занять 5 минут и больше. Традиционно такие системы восстановления делают в оперативной памяти виртуальный диск, на который переносят основные компоненты операционной системы и не затрагивают содержимое вашего жесткого диска.

После окончания загрузки открываем "Мой компьютер" и пытаемся найти логический диск, на котором находится ваша операционная система. Не нужно пугаться, если дисков оказалось больше, чем было у вас на самом деле - новые создал восстановительный диск для своих нужд, и после обычной загрузки все будет как обычно. Также возможно, что ваш привычный диск «С:» получит иную букву - это также на время восстановления.

Часто возникает ситуация, когда ваш родной и привычный диск «С:» вообще отсутствует в списке. Это не страшно, он не удален. Просто при данной загрузке аварийная система его "не увидела" и его нужно смонтировать. Делается это так. Выбираем поочередно пункты меню "Пуск - Настройка - Панель управления - Администрирование - Управление компьютером - Управление дисками". Появится условная линейка, на которой изображены разделы вашего жесткого диска. Разделов может быть несколько или он будет единственный. Щелкните на нем и далее нажмите правую клавишу мышки. Выберите "Изменить букву диска". ВНИМАНИЕ, ни в коем случае не делайте "Удалить раздел", "Создать раздел", "Форматировать" или еще что-нибудь помимо присвоения/изменения буквы. Иногда присвоить разделу привычную букву «С:» не получается - выберите любую из алфавита подальше, например, «N:» или «M:». Все, пациент готов к операции.

Если вы ранее успешно подобрали код, то описанные выше действия с загрузкой с CD-ROMа или флешки не понадобятся и можно приступать к описанной ниже работе.

Первым делом удалим файлы программы-блокиратора.
Находим папку C:\Documents and Settings\All Users\Application Data\ и в ней удаляем 22CC6C32.exe.

Находим папку C:\Documents and Settings\(Имя профиля, под которым входите в систему)\Рабочий стол и в ней удаляем test.exe.

Находим папку C:\Documents and SettingsUser\(Имя профиля, под которым входите в систему)\Wlockwlock.exe.

Находим папку C:\WINDOWS\system32\ в ней удаляем файл userinit.exe. В этой же папке находим файл с именем 03014D3F.exe и переименовываем его в userinit.exe.

Далее полученный файл userinit.exe копируем в папку C:\WINDOWS\system32\dllcache.

Выше перечислены наиболее известные места расположения файлов. Если какой-то из них не обнаружен, значит, у вас просто иная модификация блокировщика и действие можно пропустить.

Переходим к восстановлению реестра. Если вы загружены со своей операционной системы после подбора кода, то откройте редактор "Пуск - Выполнить" и введите слово Regedit. Запустится редактор реестра. Если вы загружены с диска восстановления, то нужно выбрать для редактирования ваш пока еще не "подключенный" реестр. На диске восстановления найдите утилиту работы с внешней базой реестра (названия типа RemoteRegedit или подобное). Запустите и на запрос, где именно находится ваш поврежденный реестр, аккуратно введите месторасположение файлов. Программа будет давать подсказки имени, которые вы без труда найдете на своем подключенном разделе жесткого диска. Имена типа NTUSER.DAT, SAM.DAT и подобные. Просто привычным нажатием "Далее" и "ОК" здесь не обойтись, т.к. кроме вас самих никто не знает, как называется ваша учетная запись и под какой буквой вы только что смонтировали раздел вашего жесткого диска. Потом программа может спросить, следует ли подключить еще один удаленный реестр. Ответьте "Нет".

В редакторе реестра найдите путь HKEY_LOCAL_MACHINE/SOFTWARE/ Microsoft/Windows NT/CurrentVersion/Winlogon и в нем параметр Shell. Впишите значение "Explorer.exe".

Далее найдите по этому же пути параметр Userinit и восстановите в значение "C:\WINDOWS\system32\userinit.exe," запятая в конце должна присутствовать.

Открываем путь HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/ImageFileExecutionOptions, находим подраздел explorer.exe и безжалостно его удаляем. Все. Очистка выполнена.

Достаем диск восстановления и перегружаемся в обычном режиме с жесткого диска. Если приведенные действия соответствовали варианту вашего блокировщика, то работоспособность компьютера должна быть восстановлена.

Не исключено, что после перезагрузки баннер злоумышленника пропадет и деньги никто уже требовать не будет, но и компьютер не будет работать правильно. Например, не будет появляться рабочий стол. Это означает, что помимо описанных в данной статье файлов были повреждены еще и другие, например explorer.exe. Самый просто способ - попробовать скопировать файлы explorer.exe и userinit.exe с другого компьютера с такой же операционной системой. Просто переписать на флешку и записать на ваш компьютер в соответствующее место.

Если же поврежденные файлы сразу найти не получается и есть дополнительный час времени, рекомендуем восстановить файлы операционной системы "оптом" путем штатной процедуры. Для этого берем инсталляционный диск, с которого устанавливалась ваша операционная система, загружаемся с него. На синем фоне появляются различные приглашения. Выберите установку системы, далее укажите имеющуюся папку C:\WINDOWS и дайте команду восстановить путем нажатия клавиши R. Обратите внимание, что R будет появляться в приглашениях и до этого, но нам нужна вторая по счету R. Не стоит переживать - ваши даные в этом случае не пропадут, просто установщик проверит состояние системы и перепишет поверх "правильные" файлы. Перегружаемся и теперь-то уже точно работаем без проблем.

Описанная процедура, конечно же не дает 100% гарантии излечения, а является обобщением наиболее распространенных успешных подходов, которые описаны пользователями.

Что делать для исключения подобных повреждений в будущем?
Антивирус, его своевременное и регулярное обновление - это мы все знаем, но вот в данном случае ведь не помогло! Неужели наш компьютер так беззащитен? Есть простой и действенный способ - не работайте без нужды на компьютере с супер-правами администратора. Скажите, так ли вам нужен для редактирования документов, просмотра социальных сетей и чтения почты уровень доступа, позволяющий менять настройки реестра и переписывать файлы операционной системы? То-то же... А блокировщику как раз и понадобился!

Сделайте сами или попросите знающего человека сделать вам еще одну учетную запись с минимальными правами доступа простого пользователя. После этого большинство проблем поражения компьютера вас волновать не будут.

Комментариев нет:

Отправить комментарий