Собственно многие из нас когда-либо натыкались на подобное сообщение на экранах ноутбуков друзей и родственников:
Современные winlocker'ы эволюционируют на глазах: активно используют соц.инженерию (обвинение в нарушении УК и правил Микрософт), используют для кражи денег номера сотовых телефонов, которые периодически меняются даже если вирус не подключён к Интернету, успешно обходят антивирусный софт со свежими базами и т.д.
Как разблокировать компьютер?
name='more'> 1. Первым делом идем на сайт Касперского sms.kaspersky.ru и пробуем "пробить по базе" номер телефона винлокера. У меня не сработало. Идём дальше...2. Скачиваем на незаражённый компьютер образ Kaspersky Rescue Disk и программу для записи образа. Устанавливаем всё на флешку и загружаемся на заражённом компьютере с помощью флешки в среду Kaspersky Rescue.
В моём случае старый ноутбук отказывался загружаться с флешки первое время. Пришлось искать старую флешку на 2 Гб с которой получилось загрузиться.Образ Kaspersky Rescue Disk содержит актуальные базы для антивируса , поэтому каждый раз лучше иметь свежий образ под рукой.
3. Загрузившись, если есть время, запускаем проверку диска.
4. После проверки, запускаем WindowsUnlocker из командной строки.
Перезагружаемся и наблюдаем винлокер снова =(...
5. Идём читать соответствующий форум Касперского .
В моём случае помогла ручная очистка веток реестра
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_USERS<Имя проблемной учетки>SoftwareMicrosoftWindowsCurrentVersionRun
Удалять ключи реестра из этих веток можно спокойно. Ничего критически важного там нет.
В автозагрузке обнаружилась ссылка на файл ms.exe, который я загрузил на VirusTotal .
1. сайт поможет определить антивирус, который умеет находить этот вирус (т.к. мы по-прежнему точно не знаем как вирус попал на ПК);
2. файлы, загруженные на этот сайт, попадают на стол к исследователям вирусов, что поможет им в поиске хозяев.
Вирус не ловится Касперским главным образом потому, что задача вирусописателей - скрыть вирус от наиболее распространённых антивирусов для определённого региона.
Зато вирус должен поймать бесплатный антивирус Microsoft Security Essentials , что хорошо.
Из последнего скриншота видно, что вирус постоянно эволюционирует и исследуемый ПК был заражён последней модификацией вируса, которая на момент заражения еще не была известна VirusTotal.
Как правило, основной источник вирусов - это использование непропатченного ПО - в частности старых версий браузеров, Flash, Java и Acrobat Reader.
Поэтому очень рекомендую поставить такую галку в Chrome (есть подобная и в Firefox):
Которая будет запускать Java и Flash сценарии только по щелчку мыши.
[ВАЖНО!] После удаления заразы очень рекомендую сменить все важные пароли!
