Останнім часом спостерігається зростання кількості шкідливих програм-здирників, які вимагають відправити sms-повідомлення для отримання доступу до заблокованої системі або до призначених для користувача файлів.
Приблизний текст повідомлення: «Windows заблокований. Для розблокування необхідно відправити смс з текстом 4128800256 на номер 3649. Спроба перевстановити систему може привести до втрати важливої інформації і порушень роботи комп'ютера ».
У вікні доступні текстове поле Ввести отриманий код і кнопка Активація.
Що являє собою вірус, що блокує запуск Windows
Деструктивні дії вірусу
Після активації вірус витягує зі свого тіла файл в тимчасовий каталог поточного користувача Windows -% Temp% \ .tmp (- випадкова послідовність цифр і букв латинського алфавіту).
Даний файл має розмір 94208 байт і детектується Антивірусом Касперського як Trojan-Ransom.Win32.Agent.af.
Після успішного збереження файл запускається на виконання, виконуючи такі дії:
- для автоматичного запуску в розділі [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon]
системного реєстру вірус змінює значення строкового (REG_SZ) параметра Userinit - на% Temp% \. tmp;
- в залежності від поточної дати вірус відправляє http-запит:
- після перезавантаження ПК вірус виводить вікно з пропозицією відправити sms-повідомлення на вказаний номер для розблокування;
- при розблокуванні операційної системи Windows в робочому каталозі вірусу створюється файл командного інтерпретатора під ім'ям a.bat. В даний файл записується код для видалення оригінального файлу вірусу і самого файлу командного інтерпретатора. Потім файл a.bat запускається на виконання (до речі, цей вірус «схильний до самогубства»: через 2 години після запуску він робить собі «харакірі», тобто самознищується, якщо протягом 2-х годин код розблокування не введений).
Як розблокувати Windows
Для ручного розблокування Windows, заблокованої вірусом Trojan.Winlock, ви можете скористатися формою, розробленою фахівцями «Доктор Веб»: - в текстове поле Текст для SMS треба ввести текст sms (з екрану монітора заблокованої системи), натисніть кнопку OK; - в текстовому полі Код активації з'явиться код, який потрібно ввести в текстове поле Ввести отриманий код на заблокованій системі.
Як видалити вірус вручну
Завантажте Windows в так званій «чистому середовищі», наприклад, скориставшись завантажувальним аварійно-відновлювальних диском, типу Windows miniPE або ERD Commander:
1. Увага. Не піддавайтеся на виверти вірусів, - не відправляйте sms за вказаним номером, не даруйте гроші здирникам, який створив вірус.
2. Пам'ятайте, що попередити легше, ніж лікувати! Користуйтеся брандмауерами і надійними антивірусними програмами з регулярно (не менше одного разу на тиждень!) Оновлюваними базами.