Если вы открыли программу, но тут завершилась перезагрузка, а после вы увидели вместо загрузки Windows экран блокировки с требованием ввести код, то у меня плохая новость! У вас MBR-Locker! И сейчас мы покажем, как снять этот баннер. НЕ ПЛАТИТЕ ИМ ДЕНЬГИ!
❗Предупреждение
В этой статье есть элементы, где нужно работать с командной строкой. Соблюдайте верные шаги, будьте аккуратны и выполняйте только то, что сказано в данной статье.
Если у вас есть сомнения — обратитесь за помощью к специалисту или знакомому, разбирающемуся в компьютерах.
Перед любыми действиями создайте точку восстановления Windows и сделайте бэкап важных данных на флешку.
🛑Важное замечание
Тут будет разбираться как удалить тип вируса - MBR-Locker. Он портит всего лишь MBR, поэтому его восстановить легче. Ваши файлы при этом не страдают. После восстановления MBR система загрузится как обычно.
Вирусы, по типу Petya.A шифруют ещё Master File Table и затрагивают MBR, поэтому эта статья может вам не помочь. Поэтому восстанавливайте файлы из бэкапа или восстанавливайте через дешифратор (Decryptor).
Вы можете переустановить Windows, но я не рекомендую, если вы уверены, что у вас есть ценные файлы.
Что такое MBR-Locker?
MBR-Locker - вредоносное ПО, которое блокирует дальнейшую загрузку операционной системы, меняя (главную загрузочную запись), при этом требуя выкуп или иные действия. Он не шифрует данные, но вполне может за невыполнение условий выкупа удалить важные файлы Windows (это не значит, что платить им нужно).
MBR-Locker очень простые ведь не поверьте, они как и Winlocker тоже делаются в билдерах.
Инструкция по удалению
1. Найдите флешку
Попросите флешку у своего друга или подруги, родственников или просто поищите. Далее вам нужен другой незаражённый компьютер.
2. Сделайте её загрузочной
Затем вам нужно скачать программу Rufus для того, чтобы флешка была загрузочной. Скачайте последнюю версию.
Для большинства образов подойдёт файловая система - FAT32.
Partition scheme выбирайте GPT, если у вас UEFI. MBR, если у вас BIOS. Для современных компьютеров это чаще всего GPT.
Boot Selection это и есть ваш образ. Далее просто нажимает на кнопку START (когда Status - Ready)
3. Выставляем приоритет
Далее заходим в BIOS (или UEFI). Всё зависит от производителя материнской платы, как правильно поставить приоритет для USB. Далее перезагружаемся и мы попадаем в установщик Windows.
4. Сбрасываем MBR
Далее нажмите комбинацию клавиш Shift+F10 для того, чтобы у вас открылась командная строка, и теперь нам нужно ввести данные команды (по порядку):
- bootrec /fixmbr
- bootrec /fixboot
Команда bootrec /rebuildbcd необязательная, но может помочь, если вирус повредил BCD (Boot Configuration Data) - файл, который хранит информацию о загрузке Windows.
Затем мы выполняем перезагрузку, закрыв меню установки.
Далее мы заходим снова в BIOS (или UEFI) и снова ставим старые приоритеты.
И теперь вместо баннера о блокировки MBR вы должны увидеть обычный голубой логотип Windows с загрузкой.
Очистка последствий вируса
MBR-Locker обычно таким не занимаются, однако они всё же могут оставить последствия после себя. Как правило, они не оставляют автозагрузку и за собой процессы.
1. Dr.Web CureIt!
Это одноразовая программа-антивирус для лечения системы без установки полноценного антивируса. Бесплатная утилита от компании «Доктор Веб»
Откройте ваш скачанный файл (Dr.Web CureIt!) и начните сканирование (рекомендую выполнять полное, то есть выбрать все объекты для проверки). Всё что нашлось проанализируйте и лучше просто удалить.
После этого перезагружайтесь!
Также хорошими программами являются: Kaspersky Virus Removal Tool
2. ThreatBit Simple Scanner
ThreatBit Simple Scanner - утилита для сканирования и восстановления системы после вирусных атак. Находит и удаляет вредоносные изменения в реестре Windows, которые пропускают обычные антивирусы.
Вам нужно поставить галочки, а именно во вкладке Threat-скан "Удалять все вредоносные (красные) элементы" и "Удалять все подозрительные (жёлтые) элементы.
По желанию вы можете выставить все галочки.
Затем после сканирования если угрозы были обнаружены, то нажмите "Починить Threats".
Далее нажмите "Сканировать снова" не меняя галочки, затем если обнаружены подозрительные элементы, нажмите "Починить Suspicious".
Ну а затем выполняем перезагрузку.
Перезагрузить в WinPE - выполнит перезагрузку в среду восстановления Windows;
Перезагрузить в UEFI - выполнит перезагрузку в интерфейс UEFI. Учитывайте, что у вас данная опция должна поддерживаться и это не Legacy BIOS;
Перезагрузить классически - выполняет классическую перезагрузку системы.
Ознакомиться с программой вы можете на гитхабе, или перейдя на пост Дзен
3. (необязательно!) AutoRuns от Sysinternals
AutoRuns - бесплатная утилита для Windows (32 и 64 разрядных версий), разработанная компанией Sysinternals, позже приобретённой Microsoft. Программа предназначена для управления автозагрузкой компонентов системы: программ, сервисов, модулей, драйверов и других элементов.
Тут вы можете детально посмотреть все автозапуски и легко удалить их. Детально смотрите всё в Everything (или можете искать по отдельным вкладкам). А также посмотрите Scheduled Tasks (планировщик задач) в программе.
Если же вы нашли что-то подозрительное, то нажмите ПКМ по файлу и выберите опцию "Delete".
А что в итоге-то:
MBR-Locker — это тип вредоносного ПО, которые вымогают с вас деньги за то, чтобы вы разблокировали доступ к загрузке Windows. Они часто распространяются под видом легитимных программ или читерных программ (читы, осуждаю). Однако этот тип вируса можно удалить, и чем раньше вы это сделаете, тем быстрее вы сможете пользоваться своей системой.
Однако если вы столкнулись с шифрованием MFT, то используйте дешифраторы если имеются таковы, или восстанавливайте информацию с бэкапа.
Не давайте злоумышленникам свои деньги, ведь это не гарантия разблокировки, будьте бдительны!
А вы что думаете насчёт этого вируса? Пишите свои комментарии
👇👇👇
#ThreatBit #Блокиратор #MBRLocker #FakeCriminalArticle