Если вы включили компьютер или открыли какую-то программу и увидели надпись "Windows Заблокирован" c требованием отправить СМС или перевести деньги (может быть иначе). Скорее всего вы попались на вирус-вымогатель Winlocker.
И даже не думайте им платить деньги, ведь в этой инструкции вы найдёте пошаговое руководство по удалению Winlocker с компьютера!
❗Предупреждение
В этой статье есть элементы, где нужно работать с командной строкой, реестром и так далее. Соблюдайте верные шаги, будьте аккуратны и выполняйте только то, что сказано в данной статье.
Если у вас есть сомнения — обратитесь за помощью к специалисту или знакомому, разбирающемуся в компьютерах.
Перед любыми действиями создайте точку восстановления Windows и сделайте бэкап важных данных на флешку.
🛑Важное замечание
Тут будет разбираться как удалить тип вируса - Winlocker. Он блокирует действия пользователя и пользование системой, но данный тип вируса не трогает файлы.
В случае если злоумышленники требуют деньги за разблокировку данных - то скорее всего у вас вирус Ransomware, который более опаснее. Даже если вы снимете баннер, то ваши данные останутся зашифрованы. Поэтому файлы необходимо восстанавливать из бэкапа.
Что такое Winlocker и какие вымогатели бывают
Winlocker — вредоносное ПО, которое блокирует дальнейшее пользование операционной системы, при этом требуя выкуп или иные действия. Он не шифрует данные, но вполне может за невыполнение условий выкупа удалить Windows или перезаписать MBR (это не значит, что платить им нужно).
Ransomware — вредоносное ПО, которое блокирует дальнейшее пользование операционной системы, но при этом ещё шифрует данные пользователя и за их дешифрацию требует выкуп. Даже после того, когда у вас получится убрать баннер, то файлы будут зашифрованы алгоритмами (исключениями являются вирусы Petya, Misha, Goldeneye и другие, которые имеют дешифраторы).
Netlocker (или же просто "Блокировщик доступа в интернет") — более особенный тип вредоносного ПО, который делает так, что на какой сайт вы не пойдёте, увидите надпись о том, что доступ в интернет заблокирован и нужен выкуп. Встречается очень редко, но может.
Winlocker вирусы очень простые ведь часто они делаются в билдерах, поэтому мы разберём возможные исходы и покажем ниже как его удалить.
Советы и программы
Сейчас будут даны советы, если вирус не распространился так широко в системе (а именно regedit и cmd)
1. Перезагрузите компьютер
Вы можете подумать, что я шучу над вами, но это не так. Дело в том, что если вам попался старый Winlocker, который не имеет автозагрузки (можете не бояться ведь злоумышленникам не выгодно уничтожать систему после перезагрузки и они не имеют такой функции). Они живут только в оперативной памяти и исчезают после перезапуска.
Поэтому вы должны удерживать кнопку питания на корпусе 5-10 секунд (или нажать на корпусе кнопку Reset если она имеется) для того, чтобы выполнить аварийное завершение работы, и затем включить компьютер. Если у вас баннер исчез - значит вам повезло. Теперь перейдите в то место, где вы открыли данный файл и нажмите в проводнике "Вид" и поставьте галочку на опции "Скрытые элементы". После если вы увидели подозрительный файл, то удалите его.
Если же всё таки вирус остался, то тогда приступаем к очистке.
2. Заходим в безопасный режим
Для этого:
- Включите компьютер.
- Как только на экране появится логотип Windows (или сразу после включения), немедленно удерживайте кнопку питания на корпусе ПК около 4–5 секунд, чтобы принудительно выключить устройство (можно выключить ПК из розетки).
- Повторите этот цикл принудительного включения и выключения 2–3 раза подряд.
- На третий-четвёртый раз вместо обычной загрузки система будет должна появиться надпись, как на картинке, далее будет автоматически открыть меню «Автоматическое восстановление».
В меню выберите: «Поиск и устранение неисправностей» → «Дополнительные параметры» → «Параметры загрузки» → «Перезагрузить».
После перезагрузки, где будет предложено выбрать вариант загрузки выбирайте обязательно F6 (с командной строкой).
3. Чистка реестра
После того как вы загрузились у вас откроется сразу cmd.exe, и теперь вы набираете команду regedit и перейдите по этому пути:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
Если вы видите в Image File Execution Options папку с именем explorer.exe, taskmgr.exe и другие, а внутри них строковый параметр "Debugger", содержащий прямой путь до вредоносного ПО (который вы открыли), то нажимаете по разделу ПКМ и нажимаете "Удалить".
Затем перейдите по пути:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Обратите внимание на Shell и Userinit.
Нормальные значения:
Shell - explorer.exe
Userinit - C:\WINDOWS\system32\userinit.exe,
Если там написаны иные значения, тогда кликните по параметру ЛКМ два раза и у вас откроется меню
Затем в строке "Значение" меняете на то, которое я написал и нажимаете ОК.
Далее перейдите по пути:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и внимательно посмотрите какие там стоят автозагрузки, если там стоят лишние - удалите не сам раздел, а только параметры.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce и делаете всё аналогично разделу Run.
Вы также можете проверить не только HKEY_LOCAL_MACHINE (для всех пользователей), но и для отдельного пользователя HKEY_CURRENT_USER)
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Проверяете их также аналогично, если нашли параметры лишние - удаляете.
Также вы можете вписать в cmd /sfc scannow - нужно для того, чтобы просканировать систему на целостность файлов (необязательно и может занять 10-15 минут)
Затем пишите в cmd msconfig, далее перейдите во вкладку "Загрузка" и в "Параметры загрузки" поставьте галочку Безопасный режим и выберите параметр "Сеть"
Затем нажмите "Применить" и перезагрузитесь.
В случае если msconfig не доступен, то выполняйте те же действия, как и в пункте "Заходим в безопасный режим", но при этом включите поддержку сетевого адаптера.
После лечения нужно зайти в msconfig и убрать эту галочку, иначе компьютер всегда будет грузиться в безопасном режиме.
Утилиты
1. Simple Unlocker
Данная программа является "Мультитулом". В нём есть разные функции: разблокировка ограничений, диспетчер задач, запуск сторонних утилит, автозапуск программ, AntiGDI, восстановление MBR и другое.
Во-первых если у вас есть какие-то ограничения, созданные вирусом, то зайдите в разблокировку ограничений -> сканирование -> автоматическая разблокировка ограничений (рекомендуются) -> начать сканирование. Вы можете также убирать ограничения сами вручную.
2. Dr.Web CureIt!
Это одноразовая программа-антивирус для лечения системы без установки полноценного антивируса. Бесплатная утилита от компании «Доктор Веб»
Откройте ваш скачанный файл (Dr.Web CureIt!) и начните сканирование (рекомендую выполнять полное, то есть выбрать все объекты для проверки). Всё что нашлось проанализируйте и лучше просто удалить.
После этого перезагружайтесь!
Также хорошими программами являются: Kaspersky Virus Removal Tool
3. AutoRuns от Sysinternals
AutoRuns - бесплатная утилита для Windows (32 и 64 разрядных версий), разработанная компанией Sysinternals, позже приобретённой Microsoft. Программа предназначена для управления автозагрузкой компонентов системы: программ, сервисов, модулей, драйверов и других элементов.
Тут вы можете детально посмотреть все автозапуски и легко удалить их. Детально смотрите всё в Everything (или можете искать по отдельным вкладкам). А также посмотрите Scheduled Tasks (планировщик задач) в программе.
Если же вы нашли что-то подозрительное, то нажмите ПКМ по файлу и выберите опцию "Delete".
Автоматическая очистка через Dr.Web LiveDisk
Она нужна только в том случае, если вы не хотите лезть в реестр (заниматься ручной чисткой), или вирус полностью овладел вашей системой (блокирует любые действия). Данная среда работает с флешки или диска, независимо от установленной на компьютере Windows.
Для установки Dr.Web LiveDisk вам нужно:
- система Windows x64
- Флешка USB или можете использовать CD/DVD
Откройте программу drweb-livedisk-900-usb.exe. Затем вам предложат отформатировать флешку - так и сделайте, НО не забудьте бэкап!
Далее создаёте Dr.Web LiveDisk и затем вы должны зайти в свой UEFI/BIOS и выбираете в приоритетную очередь свою флешку, чтобы с неё загрузиться (читайте документацию вашей материнской платы как зайти и настроить ведь бывает по разному).
После загрузки вас встретит белое меню и выбирайте нужную вам опцию (например, Dr.Web LiveDisk, т.е. с флешки)
Затем вас встретит привычный интерфейс (как в Windows), где вы можете спокойно чистить свою операционную систему от вредоносного ПО (например, там вы можете запустить тот же Dr.Web CureIt!).
Как видите всё сделано, как привычный рабочий стол, поэтому вы должны легко разобраться.
Если что-то вам стало интересно или непонятно, то можете прочитать руководство нажав сюда
Для Kaspersky Rescue Disk нужно скачать ISO-образ и записать его на флешку с помощью Rufus (можно и другие, не реклама).
А что в итоге-то:
Winlocker — это тип вредоносного ПО, которые вымогают с вас деньги за то, чтобы вы разблокировали доступ к дальнейшему пользованию системой. Они часто распространяются под видом легитимных программ. Однако этот тип вируса можно удалить, и чем раньше вы это сделаете, тем быстрее вы сможете пользоваться своей системой.
Однако если вы столкнулись с Ransomware, то используйте дешифраторы если имеются таковы, или восстанавливайте информацию с бэкапа.
Не давайте злоумышленникам свои деньги, ведь это не гарантия разблокировки, будьте бдительны!
А вы что думаете насчёт этого вируса? Пишите свои комментарии
👇👇👇
#ThreatBit #Winlocker #Блокиратор