Windows заблокирован: убираем баннер-вымогатель с помощью Dr.Web LiveCD

Здравствуйте друзья! Снова я решил написать о вирусах-вымогателях, или как их еще называют, баннеры-вымогатели. Напишу как убрать баннер-вымогатель (или хотя бы попробовать убрать) с помощью загрузочного диска Dr.Web LiveCD.

Если вы еще не видели надпись, типа “Windows заблокирован переведите такую-то суму денег, туда-то и все будет хорошо“, то можно сказать что вам повезло. Ну а если уже такое случилось, и Windows у вас заблокирован вирусом-вымогателем, он же Winlock, то сейчас мы попробуем решить эту проблему с помощью загрузочного диска Dr.Web LiveCD.

Что такое баннер-вымогатель (Winlock)?

Пару предложений о вирусе: Winlock попадает на компьютер и полностью блокирует его работу. Он выводит баннер-вымогатель и требует отправить СМС на определенный номер и этим оплатить код, который вы получите после оплаты, введя его в окно баннера-вымогателя и ваш Windows будет разблокирован. Но даже после оплаты, вы скорее всего не получите никакого кода, короче говоря лохотрон в чистом виде. Подробнее об этом вирусе я уже писал, читайте здесь.

Никогда не отправляйте деньги на счета и СМС, вас это не спасет. Лучше уже заплатить специалисту в сервисном центре, чем отдать деньги мошенникам.

Еще вирус Winlock может угрожать вам удалением ваши данных. Или еще вот из нового, вирус обвиняет вас в распространении порнографии, и говорит, что если вы не заплатите, то он передаст информацию о вас в соответствующие службы. Не верьте. Это все для того, что бы заставить вас заплатить.

Не знаю так ли это, но мне кажется что раньше вирус вымогатель блокировал систему, когда она уже загружалась (они сейчас так же есть). Выглядят они по разному, но примерно вот так:

Недавно я встретил Winlock, который блокировал систему, сразу после включения, то есть до начала загрузки Windows дело даже не доходило. Выглядят они примерно вот так:

Вот так выглядит эта зараза, теперь вы знаете, что такое вирус-вымогатель. Настало время бороться с ним и уничтожить его!

Убираем вирус-вымогатель с помощью Dr.Web LiveCD

Сегодня я напишу об одном способе, который может убрать вирус Winlock. Это загрузочный диск от компании Dr.Web. В принципе, есть много способов победить этот вирус, но этот способ занимает достойное место в борьбе с Winlock.

Честно говоря, самый простой способ, это переустановить систему но, если этот способ нам не подходит, то читаем дальше.

Очень подробно, о том, что такое Dr.Web LiveCD я уже писал. Так что, читаем вот эту статью https://f1comp.ru/bezopasnost/dr-web-livecd-podrobnaya-instrukciya/ создаем загрузочный диск, и когда все будет готово, тогда продолжаем.

1. Значит загрузочный диск (или флешка) с LiveCD у вас уже есть. Вставляем его в привод и перезагружаем компьютер. Если у вас появится вот такая картинка, то все нормально:

2. Если же нет, и пойдет загрузка Windows, или появится вирус, то заходим в БИОС, и выставляем загрузку с привода, или флешки. Снова перезагружаем компьютер.

Надеюсь все нормально. Продолжаем.

Выбираем русский язык и продолжаем.

Пойдет загрузка, нужно немного подождать. Сразу когда система запустится, появится окно антивируса. Напротив “Сканер” нажимаем на кнопку “Перейти”.

Здесь нам просто нужно запустить проверку компьютера на вирусы, и нажать ждать, пока Dr.Web обнаружит наш вирус-вымогатель и уничтожит его. Нажимаем “Полная проверка”, и “Начать проверку”.

Запустится процесс проверки, и если будет обнаружена угроза, Dr.Web LiveCD вам об этом сообщит. Скажу вам, что такая проверка может и не дать результатов, но попробовать стоит. Кстати если есть время и желание, то точно так же можно проверить и загрузочным диском от ESET, принцип один и тот же. Но там где Dr.Web пропустил, ESET может поймать, или наоборот.

Лечение реестра с помощью Dr.Web LiveCD

Может эту процедуру даже следует провести до проверки на вирусы. Так как после лечения реестра, вирус-вымогатель может исчезнуть. В системе Dr.Web LiveCD нажимаем “Пуск” и выбираем “Лечение реестра”.

Откроется окно с проверкой, ждем пока в низу появится надпись “Press any key”, закрываем окно и выключаем LiveCD. Пробуем включить компьютер.

Теперь вы знаете один из способов, как победить вирус-вымогатель. Постараюсь написать еще варианты, как вести войну с этим злом :), ну а пока что, пробуйте друзья. Удачи!

Windows заблокирован

#1 lusfa

Members

2 Сообщений:

Вылез баннер сине-голубого цвета с текстом: Ваш компьютер заблокирован за просмотр,копирование и тиражирование видеоматериалов содержащих элементы педофилии и насилия над детьми .Для снятия блокировки Вам необходимо оплатить штраф в размере 3000 рублей на номер телефона Биллайн : +79672317130

В случае оплаты суммы равной штрафу либо превышающей её на фискальном чеке терминала будет напечатан код разблокировки .Его нужно ввести в поле в нижней части окна и нажать кнопку «Разблокировать».После снятия блокировки Вы должны удалить все материалы содержащие элементы насилия и педофилии .Если в течение 6 часов штраф не будет оплачен ,все данные на Вашем персональном компьютере будут безвозвратно удалены ,а дело будет передано в суд для разбирательства по статье 242 ч. 1 УК РФ

Ниже поле для ввода кода с кнопкой «Разблокировать» ,а под ним цифры 0123456789 .Далее описание статьи 242.1.

Нет доступа к рабочему ,не могу открыть диспетчер задач ,при попытки запуска безопасного режима появляется синий экран *** STOP; 0x0000007b (0xf789e524 ,0xc0000034 ,0x00000000 ,0x00000000) это последняя строчка в этом окне .Скидывал на флешку dr.web live usb .после того как выставляю в биосе чтобы компьютер грузил 1м делом флешку выдаёт такую надпись :Reboot and Select proper Boot devise or Insert Boot Media in selected Boot devise and press a key .Пытался переустановить виндовс и ставил в биосе грузить CD/ROM он как будто не видел диск (с диском всё в порядке ).

#2 Dr.Robot

Helpers

2 796 Сообщений:

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ — сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

— попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
— детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
— дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web подробнее.

Что НЕ нужно делать:
— лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
— переустанавливать операционную систему;
— менять расширение у зашифрованных файлов;
— очищать папки с временными файлами, а также историю браузера;
— использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из «Аптечки сисадмина» Dr. Web;
— использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
— прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба — это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
— собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума.

4. При возникновении проблем с интернетом, таких как «не открываются сайты», в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа «Содержание сайта заблокировано» и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig

Windows заблокирован? Удаляем вирус-вымогатель с помощью сервиса от Dr.Web

Решил сегодня написать еще одну статью с том как бороться с вирусом-вымогателем, (баннером-вымогателем). Они же вирусы MBRlock и Winlock. Я уже писал о них не раз, и не знаю стоит ли снова повторять что это такое. Но если вы ищите информацию о том, как разблокировать компьютер после того как баннер-вымогатель его заблокировал, то думаю что вы уже знаете как он выглядит и как может вам навредить. Даже не то чтобы навредить, просто испортить настроение и заставить поволноваться.

Недавно я написал один эффективный способ, которым можно удалить вирус-вымогатель почитайте, как убрать баннер-вымогатель с помощью Dr.Web LiveCD. Сегодня же мы снова обратимся за помощью к антивирусной компании Dr.Web, а именно к ихнему сервису “Сервис разблокировки компьютеров”. Он кстати абсолютно бесплатный и использовать его можно без каких либо регистраций.

Значит так, наш компьютер поражен вирусом-вымогателем. Не важно, это Winlock, или MBRlock. отличаются он вроде бы только тем, что в Winlock – баннер-вымогатель появляется после загрузки Windows. А в MBRlock появляется сразу же после запуска компьютера. Он появляется обычно в виде красного текста на черном фоне. Текст конечно же с разными угрозами и запугивает тем, что передаст информацию о вас в соответствующие органы. Ничего он не передаст, он так шутит :).

Допустим вирус Winlock на нашем компьютере выглядит вот так:

Или вот так ( MBRlock ):

В любом случае, вирус покажет вам номер телефона, или номер кошелька, на который нужно перевести деньги. Давайте для примера возьмем второй баннер-вымогатель. Видите, я выделил номер на который нужно перевести деньги.

Ни в коем случае не переводите деньги на эти номера, это не спасет вас!

Удаляем вирус-вымогатель используя сервис от Dr.Web

Для того, что бы попробовать удалить Winlock нам нужно только этот номер, на который вирус просит перевести деньги.

К тому же нам еще понадобится компьютер подключенный к интернету (идем к соседу), можно и со смартфона. Если у вас нет второго компьютера, нет хороших соседей и смартфона, то можно загрузится с загрузочного диска от Dr.Web, в нем есть браузер и таким образом зайти в интернет.

Короче вариантов много, идем дальше.

Заходим на сайт https://www.drweb.com/xperf/unlocker/ и видим форму, в которую нужно вписать номер который указан в баннере-вымогателе. Указываем номер и нажимаем “Искать коды”. Этот сервис недавно обновился и появилась функция поиска вируса по изображениям. Если первый способ поиска по номеру не поможет, то можете попробовать поискать по изображениям.

Система выдаст нам список результатов (хорошо если что-то найдется, ведь результатов может и не быть). Смотрим результаты, ищем свой вирус, смотрим код разблокировки вируса и обязательно смотрим примечание если оно сеть.

Берем этот код разблокировки и прописываем в специальное окно в вирусе который заблокировал Windows. Так же если есть примечание, то делаем то что в нем написано.

После этих действий, вирус должен исчезнуть. После включения компьютера просканируйте его антивирусом. И обязательно новым антивирусом с новыми антивирусными базами, а не теми, которые в последний раз обновлялись пару лет назад.

Код разблокировки вируса не найден. Что делать?

Мы должны понимать, что Dr.Web не может иметь в своей базе абсолютно все номера таких вирусов. Вирусы эти появляются очень активно, (хотя в последний несколько лет их активность немного снизилась) поэтому вы можете получить и вот такой результат поиска:

Не стоит расстраиваться, есть еще много способов победить вирус-вымогатель. Можно воспользоваться загрузочным диском от Dr.Web (ссылку на статью я давал выше).

Так же в компании ESET, есть такой же сервис как и в Dr.Web. Находится он по адресу http://www.esetnod32.ru/.support/winlock/. Описывать его работу, я думаю смысла нет. Принцип его работы такой же, как и тот, что я описал в этой статье. Сервис хороший и попробовать его стоит.

Я же продолжу ряд статьей по борьбе с этими вирусами. И буду писать, что еще можно сделать, когда вирус просит отправить СМС, или отправить деньги на кошелек.