Как разблокировать Windows после блокировки вирусом Trojan.Winlock?

В последнее время наблюдается рост количества вредоносных программ-вымогателей, требующих отправить на короткий номер sms-сообщение для получения доступа к заблокированной системе или к пользовательским файлам (стоимость одного сообщения ? в пределах нескольких сотен рублей).

Примерный текст сообщения: ?Windows заблокирован. Для разблокировки необходимо отправить смс с текстом 4128800256 на номер 3649. Попытка переустановить систему может привести к потере важной информации и нарушениям работы компьютера?.
В окне доступны текстовое поле Ввести полученный код и кнопка Активация.

Согласно данным компании ?Доктор Веб?, число россиян, пострадавших от вредоносных программ, требующих за разблокировку Windows отправить платное SMS-сообщение, составило несколько миллионов. С учетом того, что средняя стоимость SMS-сообщения ? 300-600 руб., предположительные потери составляют сотни миллионов руб.

Первые модификации Trojan.Winlock появились около трех лет назад. На тот момент они не представляли серьезной угрозы: автоматически удалялись с компьютера через несколько часов после установки, не запускались в безопасном режиме Windows, а стоимость SMS-cообщений, которые требовали отправить авторы трояна, была не столь высокой (в среднем около 10 руб.), как сейчас.

С ноября 2009 г. эта схема отъема денег пользуется все большим успехом у злоумышленников ? новые модификации Trojan.Winlock становятся все более опасными. За снятие сообщения о блокировке Windows, которое выскакивает поверх всех окон и делает невозможным нормальную работу на компьютере, вирусописатели требуют гораздо больше денег. Троянцы уже не удаляются автоматически из системы в прошествии некоторого времени, но приобретают дополнительный функционал. В частности, они препятствуют запуску некоторых программ в зараженной системе (файловых менеджеров, антируткитов, утилит сбора информации, которая может помочь в лечении системы), говорится в сообщении ?Доктор Веб?.

Вредоносные программы семейства Trojan.Winlock распространяются через уязвимости в Windows (в частности, Internet Explorer), вредоносные сайты (скачиваемые кодеки), эксплойты iframe, а также ботнеты (владельцы ботнета продают установку какой-либо вредоносной программы на зараженном компьютере).

В связи с тем, что с каждым днем появляются новые модификации Trojan.Winlock, незащищенными остаются даже те пользователи, которые применяют постоянно обновляемые антивирусные решения различных производителей. Для помощи пострадавшим ?Доктор Веб? в специальном разделе своего официального сайта собрала всю актуальную информацию об этих троянах. В частности, форму разблокировки, которая помогает бесплатно найти необходимый код. По данным компании, только за первые 2 дня работы этого проекта его посетили сотни тысяч пользователей.

***
Что представляет собой вирус, блокирующий запуск Windows
Данная вредоносная программа была добавлена в вирусную базу Dr.Web 08.04.2009 г., под названием Trojan.Winlock.19. Ее модификации автоматически распознаются технологией Origins TracingTM как Trojan.Winlock.origin.
Антивирус Касперского распознает вирус с 13.04.2009 г., как Trojan-Dropper.Win32.Blocker.a и Trojan-Ransom.Win32.Agent.af.
Panda Security с 20.04.2009 г. идентифицирует вирус, как Trj/SMSlock.A.

Вирус-блокировщик попадает на ПК пользователей, как правило, под видом видеокодеков, электронных книг или аудиофайлов.

Вирус представляет собой троянскую программу, устанавливающую в систему другую вредоносную программу, которая блокирует работу операционной системы Windows.
Программа является приложением Windows (PE EXE-файл). Имеет размер 88576 байт. Написана на C++.


***
Деструктивные действия вируса
После активации вирус извлекает из своего тела файл во временный каталог текущего пользователя Windows ? %Temp%\.tmp ( ? случайная последовательность цифр и букв латинского алфавита).
Данный файл имеет размер 94208 байт.

После успешного сохранения файл запускается на выполнение, выполняя следующие действия:
? для автоматического запуска в разделе [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] системного реестра вирус изменяет значение строкового (REG_SZ) параметра Userinit ? на %Temp%\.tmp;
? в зависимости от текущей даты вирус отправляет http-запрос: http://%3Crnd1%3E.com/regis***.php?guid={}&wid=&u=&number=install=1,
где ? url-ссылка, сформированная по специальному алгоритму в зависимости от текущей даты;
? специально сформированный уникальный идентификатор;
? случайное число;
? серийный номер жесткого диска;

? после перезагрузки ПК вирус выводит окно с предложением отправить sms-сообщение на указанный номер для разблокировки;
? при разблокировании операционной системы Windows в рабочем каталоге вируса создается файл командного интерпретатора под именем a.bat. В данный файл записывается код для удаления оригинального файла вируса и самого файла командного интерпретатора;
? затем файл a.bat запускается на выполнение (кстати, этот вирус ?склонен к самоубийству?: через 2 часа после запуска он делает себе ?харакири?, то есть самоуничтожается, если в течение 2-х часов код разблокировки не введен).


***
Как разблокировать Windows
? Для ручной разблокировки Windows, заблокированной вирусом Trojan.Winlock, вы можете воспользоваться формой, разработанной специалистами ?Доктор Веб?:
? в текстовое поле Текст для SMS введите текст sms (с экрана монитора заблокированной системы), нажмите кнопку OK;
? в текстовом поле Код активации появится код, который нужно ввести в текстовое поле Ввести полученный код на заблокированной системе.

Если Ваш компьютер инфицирован

? ?Лаборатория Касперского? не осталась в стороне и запустила бесплатный online-сервис разблокировки зараженных ПК:
? зайдите на страницу Сервис деактивации вымогателей-блокеров ?Лаборатории Касперского?;
? в соответствующие текстовые поля введите номер телефона (на который вам предлагается отправить SMS) и текст сообщения, которое требуется отправить на этот номер;
? нажмите кнопку Получить код разблокировки:



***
Как удалить вирус вручную
Загрузите Windows в так называемой ?чистой среде?, например, воспользовавшись загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander:
? вставьте диск с ERD Commander в лоток CD-ROM, перезагрузите ПК;
? во время перезагрузки нажмите Delete для входа в CMOS Setup Utility;
? установите загрузку ПК с CD-ROM, нажмите F10, санкционируйте сделанные изменения, начнется перезагрузка;
? в появившемся меню Мастер восстановления Windows XP выберите Загрузка ERD Commander ?> Enter;
? внизу появится строка состояния Starting Winternals ERD Commander;
? после загрузки драйвера видеокарты в появившемся окне нажмите кнопку Skip Network Configuration;
? в окне Welcome to ERD Commander выберите свою ОС ?> OK;
? когда загрузится Рабочий Стол, дважды щелкните значок My Computer;
? в окне ERD Commander Explorer раскройте диск, на котором установлена ОС (как правило, C:\);
? удалите оригинальный файл вируса, как правило, он расположен во временном каталоге текущего пользователя Windows ? %Temp%\.tmp (может иметь атрибуты Скрытый, Системный, Только чтение);
? закройте окно ERD Commander Explorer;
? нажмите Start ?> Administrative Tools ?> RegEdit;
? в окне ERD Commander Registry Editor найдите раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon];
? исправьте значение строкового REG_SZ-параметра Userinit на C:\WINDOWS\system32\userinit.exe, (если система установлена на диске C:\, если на другом диске, то :\Windows\system32\userinit.exe,). Вирус устанавливает значение этого параметра %Temp%\.tmp;
? в этом же разделе исправьте (при необходимости) значение строкового REG_SZ-параметра Shell на Explorer.exe;
? закройте окно ERD Commander Registry Editor;
? нажмите Start ?> Log Off ?> Restart ?> OK;
? во время перезагрузки нажмите Delete для входа в CMOS Setup Utility;
? установите загрузку ПК с винчестера, нажмите F10, санкционируйте сделанные изменения, начнется перезагрузка;
? загрузите Windows в обычном режиме;
? проверьте систему антивирусом со свежими базами.


Примечания
1. Внимание! Не поддавайтесь на уловки вирусописателей, ? не отправляйте sms по указанному номеру, не дарите деньги вымогателям, создавшим вирус.
2. Кстати, установочный файл вируса-блокировщика, как правило, снабжен ?лицензионным пользовательским соглашением?, в котором упоминается возможность блокировки ПК. Пользователи фактически добровольно соглашаются на установку зловреда на свой ПК: кто читает при установке программ эти самые лицензионные соглашения? Тем более, что некоторые версии вируса-блокировщика практически не оставляют шансов сколько-нибудь подробно ознакомиться с пользовательским соглашением, показывая его лишь на несколько секунд (или же вовсе не показывая его!), а затем автоматически устанавливаются в систему. Но в любом случае пользователь устанавливает зловреда в систему сам!..
3. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами с регулярно (не менее одного раза в неделю!) обновляемыми базами.

Автор Валерий Сидоров