Вирус вымогатель как получить код


О вирусах-вымогателях в криптосообщества активно заговорили в мае 2017 года. В это время вирус WannaCry быстро распространился по компьютерным сетям. Он заражали компьютеры на Windows, шифровал файлы на жестком диске ПК, а затем требовал выкуп в биткоинах за засшифровку.

Это краткий принцип действия шифровальщиков. В этой статье разберемся, что такое WannaCry, как лечить зашифрованные компьютеры и что рассказывает source code вируса.

Читайте в статье

Каналы заражения

Технически, вектор атаки или заражения — это средство, с помощью которого вымогатели получают доступ. Самые популярные:

Феномен WannaCry

Несколько факторов привлекли внимание к WannaCry. В первую очередь из-за того, что он заразил крупнейшие компании. В их числе Британская национальная служба здравоохранения. Вирус-шифровальщик эксплуатировал уязвимость Windows, которая была впервые обнаружена Агентством национальной безопасности США. Symantec и другие исследователи безопасности связывали его с Lazarus Group — организацией, которая занимается киберпреступностью и может быть связана с правительством Северной Кореи.

WannaCry Ransomware состоит из нескольких компонентов. Он попадает на зараженный компьютер в форме дроппера. Это отдельная программа, которая извлекает встроенные в нее компоненты приложения. Эти компоненты включают в себя:

  • приложение, которое шифрует и дешифрует данные,
  • файлы, содержащие ключи шифрования,
  • копию Tor.


Как WannaCry выбирает компьютеры?

Вектор атаки для WannaCry более интересен, чем сам шифровальщик. Уязвимость, которую использует WannaCry, заключается в реализации Windows протокола SMB. Он помогает различным узлам сети взаимодействовать, а реализацию Microsoft можно обмануть специально созданными пакетами для выполнения любого кода.

Считается, что Агентство национальной безопасности США обнаружило эту уязвимость уже давно. Вместо того, чтобы сообщить общественности, оно разработало код под названием EternalBlue. Этот эксплойт, в свою очередь, был похищен группой хакеров. Shadow Brokers, название этой группы, создали пост 8 апреля 2017 на Medium (это сообщение полно политики, в нем заявлена позиция этой группы. Мы не будем переводить текст, там есть и отрывок про отношение к России, так как опасаемся, что это будет звучать экстремистски).

В Microsoft обнаружили уязвимость за месяц до этого и выпустили патч. Тем не менее это не помешало WannaCry, который опирался на EternalBlue, быстро распространиться по устройствам. После этого Microsoft обвинила правительство США, что оно не поделилось информацией об этой уязвимости раньше.

Хатчинс не только обнаружил жестко запрограммированный URL-адрес, но и заплатил 10,96 долларов и открыл там сайт. Это помогло замедлить распространение вредоносного ПО. Вскоре после того, как его признали героем, Хатчинс был арестован за то, что предположительно разрабатывал вирусы в 2014 году.

Symantec считают, что код вируса может иметь северокорейское происхождение. WannaCry бродил по сети в течение нескольких месяцев, прежде чем началась эпидемия. Это более ранняя версия вредоносного ПО, получившая название Ransom.Wannacry. Она использовала украденные учетные данные для запуска целевых атак. Использованные методы похожи на Lazarus Group.

Lazarus Group является хакерской группировкой, которая связана с Северной Кореей. В 2009 году они проводили DDoS-атаки на правительственные компьютеры Южной Кореи, затем атаковали Sony и банки.

Но так как исходный код вируса был открыт, нельзя точно приписать атаку кому-либо.

WannaCry source code

Немного технических деталей.

Имя вируса: WannaCrypt, WannaCry, WanaCrypt0r, WCrypt, WCRY

Вектор: Все версии Windows до Windows 10 уязвимы, если не исправлены для MS-17-010.

Выкуп: от 300 до 600 долларов. В вирусе есть код для удаления файлов.

Backdooring: червь проходит через каждый сеанс RDP в системе, чтобы запустить вымогателя от имени этого пользователя. Он также устанавливает бэкдор DOUBLEPULSAR. Это делает восстановление труднее.

Каждое заражение генерирует новую пару ключей RSA-2048:

  • Открытый ключ экспортируется как BLOB-объект и сохраняется в 00000000.pky.
  • Закрытый ключ шифруется с помощью открытого ключа вымогателя и сохраняется как 00000000.eky

Каждый файл зашифрован с AES-128-CBC, с уникальным ключом AES на файл. Каждый ключ AES генерируется CryptGenRandom.

Ключ AES зашифрован с использованием пары ключей RSA, уникальной для каждого. Открытый ключ RSA, используемый для шифрования приватного ключа, встроен в DLL и принадлежит авторам вируса.

Три адреса для выкупа жестко запрограммированы в программе:

Как лечить WannaCry — патч

По иронии судьбы, патч, который защищает от WannaCry, был уже доступен до начала атаки. Microsoft в обновлении MS17-010, что вышло 14 марта 2017 года, исправил реализацию протокола SMB для Windows. Несмотря на критическое обновление, многие системы все еще не обновились до мая 2017 года. Больше повезло Windows 10, так как функция автоматического обновления сработала. То есть решение, как защититься от вируса-шифровальщика, уже было, но халатность на местах заставила компании поплатиться.

Для тех систем не было дешифровщика и выхода, кроме восстановления файлов из безопасной резервной копии. Хотя те, кто следит за кошельками биткоина, что указаны в сообщении от вируса, говорят, что некоторые платят выкуп. При этом мало доказательств того, что они вновь получили доступ к файлам.

Эта атака заставила Microsoft выпустить патч даже для XP, что поддержка прекращена. Большинство заражений было на Windows 7.

Другие вирусы-вымогатели

Несмотря на всю гласность WannaCry все еще заражает системы. В марте 2018 года Boeing был поражен WannaCry. Однако компания заявила, что это был небольшой ущерб.

Большую опасность сегодня представляют варианты WannaCry или, точнее, новые вредоносные программы, основанные на том же коде EternalBlue. В мае 2018 года ESET выпустила исследование: количество обнаружений вредоносного ПО на основе EternalBlue превысило свой максимальный уровень в 2017 году.

Например, известен апгрейд вируса Petya и NotPetya. Это две связанные вредоносные программы, которые затронули тысячи компьютеров в 2016 и 2017 годах. Как Petya, так и NotPetya стремятся зашифровать жесткий диск. Между ними много общих черт, но у NotPetya есть больше потенциальных инструментов, которые помогают распространять и заражать компьютеры.

Вирус Petya — это стандартный вымогатель, целью которой является получение небольшого количества BTC от жертв.

NotPetya считается некоторыми кибератакой, которая спонсируется Россией и маскируется под вирус.

После перезагрузки компьютер зашифрован.


Точнее, он не зашифрован. Вместо того, чтобы искать файлы и шифровать их, вирус устанавливает собственный загрузчик. Он перезаписывает основную загрузочную запись уязвимой системы, а затем шифрует таблицу файлов, которая является частью файловой системы. По сути, файлы не зашифрованы, но компьютер не может получить доступ к той части файловой системы, которая сообщает их местонахождение.

Почему Петя получил такое имя?

Название происходит из фильма о Джеймсе Бонде 1995 года GoldenEye. Аккаунт в Твиттере, который подозревали в принадлежности к вредоносному ПО, использовал на аве изображение Алана Камминга, сыгравшего злодея.


История NotPetya

Через пару месяцев после того, как Петя распространился, появилась новая версия, под названием Mischa. Миша включается, если пользователь отказывает Пете в доступе на уровне администратора.

В июне 2017 года все кардинально изменилось. Новая версия вредоносного ПО начала быстро распространяться, причем зараженные сайты были в основном украинскими. Также он появился в Европе. Новый вариант быстро распространился от сети к сети, без спам-писем или социальной инженерии. Kaspersky Lap переименовал эту программу в NotPetya.

NotPetya распространяется самостоятельно. Он использует несколько способов:

  • через блэкдор в M.E.Doc (ПО для бухгалтерского учета, популярное на Украине).
  • С этих серверов вирус ушел на другие компьютеры, используя EternalBlue и EternalRomance.
  • Он также может воспользоваться инструментом Mimi Katz, чтобы найти учетные данные сетевого администрирования. Затем он включает встроенные в Windows инструменты PsExec и WMIC для удаленного доступа к локальной сети и заражает другие компьютеры.

NotPetya шифрует все. При этом он не расшифровывает данные. Если шифровальщики используют идентификатор на экране, который жертва отправляет вместе с выкупом. Тогда можно понять, кто именно заплатил. Но NotPetya генерирует случайное число. В процессе шифрования он повреждает их без возможности восстановления.

Из-за того, что вирус более совершенный, его подозревали в причастности к большим ресурсам, типа к госразведке. Плюс, из-за нападения на на Украину в 2017 году под подозрение попала Россия. Это обвинение огласило украинское правительство. Многие западные страны, в том числе США и Великобритания, поддержали ее. Россия отрицает свою причастность, указывая, что NotPetya заразил и многие российские компьютеры.

Еще о знаменитых вирусах-вымогателях

SecureList от Kaspersky сообщает, что с апреля 2014 года по март 2015 года наиболее известными были CryptoWall, Cryakl, Scatter, Mor, CTB-Locker, TorrentLocker, Fury, Lortok, Aura и Shade. Им удалось атаковать 101 568 пользователей по всему миру, что составляет 77,48% всех пользователей, подвергшихся криптовымогательству за этот период.


CryptoLocker был одним из самых прибыльных видов вымогателей своего времени. В период с сентября по декабрь 2013 года он заразил более 250 000 систем. Он заработал более 3 миллионов долларов до того, как его ботнет Gameover ZeuS отключили. Это случилось в 2014 году в рамках международной операции.

Впоследствии создали инструмент для восстановления зашифрованных файлов, скомпрометированных CryptoLocker. Но на смену пришли его клоны — CryptoWall и TorrentLocker.

В мае 2016 года исследователи Лаборатории Касперского заявили, что в первом квартале этого года в тройку вымогателей входили: Teslacrypt (58,4 процента), CTB-Locker (23,5 процента) и Cryptowall (3,4 процента).

Один из первых вариантов вымогателей для Apple OS X также появился в 2016 году. KeRanger воздействовал на пользователей, использующих приложение Transmission, но за полтора дня затронул около 6500 компьютеров.

Согласно отчетам с начала 2017 года, шифровальщики принесли кибер-преступникам один миллиард долларов США.

Новый отчет Национального агентства по борьбе с преступностью предупреждает о развитии угроз, таких как мобильные вымогатели и IoT. Лучшие практики защиты от шифровальщиков — регулярное резервное копирование и обновление программного обеспечения. Но они не применяются к большинству IoT-устройств. Это делает их более привлекательными для хакеров.

Также под угрозой различные службы со старым ПО, типа коммунальщиков. Это может быть огромной проблемой, если хакеры захотят заработать на нашей безвыходности.

Онлайн - Dr.Web. Как разблокировать Windows от вируса вымогателя.
Бесплатные программы для ПК (Windows). - Программы и утилиты для компьютера.


Ау! Windows заблокирован! Вымогатель Trojan.Winlock. Разблокировать.

Если у Вас на экране монитора, в один прекрасный день, появилась надпись "Windows заблокирован!" (Windows мужского рода?), причем причины блокировки банальны и возможно описаны в самом окне блокировки вируса Trojan.Winlock - "неправомерный доступ к материалам пор-кого содержания..." и т.д. см. скриншот окна Winlock.

Читаем: на "чеке Вы найдете. код", где его искать? Может это налоговый номер (ИНН) данного ИП (масштабно работают!) или сам терминал в доле, а может быть он и есть злодей-вымогатель и вирус в одном терминале, который каждому горе-юзеру за 1000 руб печатает циферки активации.

А последняя фраза: "Попытка переустановить систему приведет к нарушениям работы вашего компьютера!", убивает окончательно и бесповоротно все надежды спастись от вируса, куда уж можно больше нарушений в работе системы, если тут и сейчас вообще никак? а там, потом еще?

Но, наберемся мужества и вернемся к тексту блокировщика, приведшего нашего пользователя в стрессовое состояние.

Далее полный шедевр - "действия противоречат УК РФ, а также нарушением лицензионного соглашения по эксплуатации ПО корпорации Microsoft".

Эти "действия", скорее относятся к автору вируса Trojan.Winlock, а не к бедолаге пользователю, который и так уже в прединфарктном состоянии ползет к терминалу с тысячной купюрой в руках в надежде разблокировать компьютер.

Этот пугающий текст в окне, написан наверное на всякий случай, чтобы счастливчик заблокированного компьютера, не вздумал жаловаться в органы, ведь за противоречия УК РФ, там уж точно по головке не погладят!

- Противоречил УК ?! Нарушал эксплуатацию?! - тогда отвечай, такой-сякой, по полной программе, перед всей Российской Федерации и томиком УК РФ по башке тебя, чтобы в следующий раз непротиворечился.

Оказывается есть еще и какое-то тайное соглашение "по эксплуатации ПО" между Microsoft и . кем-то?, о котором знает только автор-доброхот (хочет добра, это не ругательное слово!) защищающий интересы маленькой, бедненькой и никем не защищенной забугорной корпорации расположенной где-то за море-окияном.

Полная графомания, если и пугать, так надо было и пугать по-настоящему, серьезно, типа:

розовый зайчик, в виде длинноногой девицы с бутафорскими заячьими ушами, показывающей эротический стриптиз на рабочем столе Вашего компьютера и жеманно предлагающей беспрецедентную акцию ( только сегодня и сейчас! ) бесплатной разблокировки компьютера за покупку кассового чека в ближайшем терминале на сумму 1000 руб,
за 2000 руб - бесплатно активировать 2-а компьютера,
а за 3000 руб. бесплатно разденется догола только у Вас, да еще и на рабочем столе, персонального Вашего компьютера!

Супер! Есть за что платить, а то пополни номер, а если номер не пополнится? вдруг номер уже полный, . бред какой-то. Да, а где скидки дают?, где бонусы наконец?

Перестанем читать эту чушь и перейдем к ответу на вопрос:

Как бесплатно разблокировать Windows от вируса вымогателя Trojan.Winlock?.

Внимание. Для крутых спецов, которые не желают читать как разблокировать Windows, даем самый простой способ удаления вируса - удалите все разделы диска, переформатируйте винчестер и Вы получите почти 100 процентную гарантию уничтожения вражины, если конечно загрузочный диск не заражен, но можно и этого избежать низкоуровневым форматированием, если микросхема не заражена, и т.д. пока не дойдём до китайского производителя.

Приведем изображение экрана монитора с окном вируса Trojan.WinlockTrojan.


Самый простой способ разблокировать свою любимую Windows бесплатно и легко, это перейти на сайт онлайн-сервиса антивируса Dr.Web , используя любой еще живой компьютер с выходом в интернет, в крайнем случае сделайте звонок другу.

На странице разработчиков антивируса Dr.Web в окошке: "Сервис разблокировки компьютеров", ввести номер, в данном случае номер телефона из текста вымогателя, вируса-блокировщика: "пополнить номер абонента МТС: 79874498961".

Как Вы понимаете, все здесь реально и вирус Trojan.Winlock, и абонент 79874498961, который является настоящим преступником с реальными реквизитами, адресом и паспортными данными, ведь безналичные деньги всегда имеют конкретный адрес, даже если паспорт фальшивый и оптом скупаются тел.номера.

Да и сайты (домены регистрируются в России и оплачиваются по паспортным данным) распространяющие данный вредоносный код не скрываются и не прячутся по углам, а очень даже уважаемы поисковыми системами и радуют пользователей интернета такими и сякими фишками

Не все владельцы вирусных сайтов оголтелые вредители, множество сайтов просто взломаны и заражены вирусами. Да и в последнее время надо отдать должное, поисковая система Яндекс предупреждает пользователя о зараженных сайтах.

Скриншот страницы Dr.Web - "Сервис разблокировки компьютеров"


После ввода цифр номера вымогателя, нажимаем кнопку "Искать коды" и если повезет, то совершенно бесплатно получим требуемый код для разблокировки многострадальной Windows.

Но в данный момент, огорчение, не получается быстро получить код от онлайн-сервиса антивируса Dr.Web и отделаться от окна вируса-вымогателя с его дурацкими надписями апокалипсиса.

И антивирусный сервис Dr.Web предлагает перейти к следующему шагу - определить название вируса по изображению.

Переходим по полученной ссылке и на первой же странице сервиса антивируса Dr.Web, находим точно такое же изображение окна вируса блокировщика Trojan.Winlock с соответствующим содержанием (содержание на всех картинках практически одинаково, чувствуется рука "поэта").

Рядом с идентифицированным снимком, на веб-странице антивируса Dr.Web, расположен столбец кодов активаций, из которого и выбираем необходимые цифры для ввода на заблокированном компьютере.

Случайная выборка кодов разблокировки, не решила проблему.

Тогда, монотонно и по порядку, начинаем вводить и проверять цифры для активации.

Очень неудобно елозить курсором по кнопкам в окне заблокированного компьютера, движения которого, ограничены вирусной программой. Но на пятой или шестой попытке вирус проглотил циферки и появился долгожданный рабочий стол измученной бездельем Windows.

Ага! (или типа: вау, крутой перец)

Бах! и опять та же смешная картинка перекрывает открытые окна на рабочем столе.

На столбе висит мочало, начинай сначала.

Нет желания заниматься перебором, вводим те же цифры, вирус нежадный, разблокировал доступ.

Ждем, может еще чего-нибудь отчубучит. Нет молчит, успокоился. Никакого разнообразия. Скукота, честный какой-то вирус, не по понятиям.

Но если вариант с готовыми кодами разблокировки Windows не сработал или Вас он просто не интересует, то сервис Dr.Web предлагает воспользоваться бесплатными загрузочными дисками (Вы должны скачать образ диска и записать его): Dr.Web LiveCD или Dr.Web LiveUSB, на базе Linux.

После загрузки с выбранного носителя, Вы можете отсканировать компьютер бесплатной антивирусной программой Dr.Web.

Фото меню загрузчика Dr.Web LiveCD


При помощи всегда обновляющейся антивирусной базы Dr.Web на онлайн-сервисе можно бесплатно проверить на вирусы отдельные файлы и ссылки на веб-страницы, причем для всех популярных браузеров существует и отдельный плагин антивируса Dr.Web LinkChecker

Если код разблокировки Вы не подобрали, не отчаивайтесь, есть альтернативные разблокировщики и возможность бесплатно отправить код, специалистам со страницы Dr.Web

Вот и все, присказка закончилась и начинается сказка.

Для очистки и удаления оставшихся вирусов воспользуемся следующим общим алгоритмом:

  • Отключаем в свойствах компьютера восстановление системы, для удаления сохраненных системой вирусов.
  • При помощи утилиты очистки "мусора" - CCleaner или ей подобными ToolwizCare и т.д., удаляем весь хлам: кэш, временные файлы и т.д. В мусоре водятся не только черви и трояны.
  • Запускаем сканирование всех дисков антивирусом, а лучше по очереди прогнать разными антивирусами (благо бесплатных и триальных версий в интернете хватает). Да и загрузиться для сканирования компьютера, очень не помешало бы с другого носителя (HDD, CD, DVD, USB). Разговоры о том, какой антивирус лучше или хуже это разговор слепого с глухим.

Фото экрана компьютера с загруженным Dr.Web LiveCD


Снимок экрана монитора компьютера - "Рабочий стол Dr.Web LiveCD"


Последний пункт из вышеперечисленного ни кем из специалистов практически не делается, слишком накладно, трудоемко и требуются специфические знания по настройке и администрирования Windows.
- Да и мало-ли что Вы сами натворили еще до того, как? Исправишь, а потом выслушивай комплименты.

Лаборатория Касперского, страница Deblocker: "Удаление баннера с рабочего стола, разблокировка Windows":
онлайн-сервис

Компания ESET, LLC (антивирус NOD32), разблокировка Windows - онлайн-сервис

ESET Online Scanner, страница онлайн-сканирования антивирусом ESET NOD32 - Online Scanner

Бесплатный загрузочный диск LiveCD ESET NOD32 для восстановления операционной системы – LiveCD

Совместный бесплатный онлайн-сервис "Лаборатория Касперского" и портала VirusInfo.

Вот такой короткий алгоритм, а занимает времени . Так, что вспоминаем замечательные стихи Корнея Чуковского:

"Маленькие дети! Ни за что на свете Не ходите в Африку, В Африку гулять! В Африке акулы, В Африке гориллы, В Африке большие Злые крокодилы Будут вас кусать, Бить и обижать,- Не ходите, дети, В Африку гулять. В Африке разбойник, В Африке злодей, В Африке ужасный Бар-ма-лей!"

Основа психологии создания вредоносных программ (читай вирусы, трояны, и др. варе) проста: сначала заставить пользователя нажать кнопочку и инфицировать компьютер, далее запугать пользователя, а потом за деньги решить проблему.

Решил сегодня написать еще одну статью с том как бороться с вирусом-вымогателем, (баннером-вымогателем). Они же вирусы MBRlock и Winlock. Я уже писал о них не раз, и не знаю стоит ли снова повторять что это такое. Но если вы ищите информацию о том, как разблокировать компьютер после того как баннер-вымогатель его заблокировал, то думаю что вы уже знаете как он выглядит и как может вам навредить. Даже не то чтобы навредить, просто испортить настроение и заставить поволноваться.


Недавно я написал один эффективный способ, которым можно удалить вирус-вымогатель почитайте, как убрать баннер-вымогатель с помощью Dr.Web LiveCD. Сегодня же мы снова обратимся за помощью к антивирусной компании Dr.Web, а именно к ихнему сервису “Сервис разблокировки компьютеров” . Он кстати абсолютно бесплатный и использовать его можно без каких либо регистраций.

Значит так, наш компьютер поражен вирусом-вымогателем. Не важно, это Winlock, или MBRlock. отличаются он вроде бы только тем, что в Winlock – баннер-вымогатель появляется после загрузки Windows. А в MBRlock появляется сразу же после запуска компьютера. Он появляется обычно в виде красного текста на черном фоне. Текст конечно же с разными угрозами и запугивает тем, что передаст информацию о вас в соответствующие органы. Ничего он не передаст, он так шутит :).

Допустим вирус Winlock на нашем компьютере выглядит вот так:


Или вот так ( MBRlock ):


В любом случае, вирус покажет вам номер телефона, или номер кошелька, на который нужно перевести деньги. Давайте для примера возьмем второй баннер-вымогатель. Видите, я выделил номер на который нужно перевести деньги.

Ни в коем случае не переводите деньги на эти номера, это не спасет вас!

Удаляем вирус-вымогатель используя сервис от Dr.Web

Для того, что бы попробовать удалить Winlock нам нужно только этот номер, на который вирус просит перевести деньги.

К тому же нам еще понадобится компьютер подключенный к интернету (идем к соседу), можно и со смартфона. Если у вас нет второго компьютера, нет хороших соседей и смартфона, то можно загрузится с загрузочного диска от Dr.Web, в нем есть браузер и таким образом зайти в интернет.

Короче вариантов много, идем дальше.


Система выдаст нам список результатов (хорошо если что-то найдется, ведь результатов может и не быть). Смотрим результаты, ищем свой вирус, смотрим код разблокировки вируса и обязательно смотрим примечание если оно сеть.


Берем этот код разблокировки и прописываем в специальное окно в вирусе который заблокировал Windows. Так же если есть примечание, то делаем то что в нем написано.

После этих действий, вирус должен исчезнуть. После включения компьютера просканируйте его антивирусом. И обязательно новым антивирусом с новыми антивирусными базами, а не теми, которые в последний раз обновлялись пару лет назад.

Код разблокировки вируса не найден. Что делать?

Мы должны понимать, что Dr.Web не может иметь в своей базе абсолютно все номера таких вирусов. Вирусы эти появляются очень активно, (хотя в последний несколько лет их активность немного снизилась) поэтому вы можете получить и вот такой результат поиска:


Не стоит расстраиваться, есть еще много способов победить вирус-вымогатель. Можно воспользоваться загрузочным диском от Dr.Web (ссылку на статью я давал выше).

Я же продолжу ряд статьей по борьбе с этими вирусами. И буду писать, что еще можно сделать, когда вирус просит отправить СМС, или отправить деньги на кошелек.

Распознать компьютер, зараженный вирусом-вымогателем довольно просто. На экране появляется и висит изображение делового, порнографического или другого характера. Компьютер при этом либо вовсе не отвечает на команды, либо отвечает, но картинка занимает практически всю видимую область. Это наш клиент – троян семейства Winlock или, говоря проще, вирус-вымогатель.



Рассматриваемый вирус имеет несколько разновидностей, в зависимости от поколения. Более старые можно обезвредить с помощью пары нажатий кнопки мыши. Другие потребуют куда более серьезной подготовки. Не переживайте, мы приведем все варианты выхода из такой непростой ситуации, которые точно помогут удалить любой подобный троян.

Метод №1 – Диспетчер задач

Данный способ поможет в борьбе со старыми, примитивным троянам. Вызываем диспетчер задач (Ctrl+Shift+Esc на Windows 10 либо Ctrl+Alt+Del на более старых версиях Windows). Если диспетчер запустится, попробуйте отыскать в перечне процессов подозрительный пункт. Завершите этот процесс.


Если диспетчер не запустился, попробуйте запустить менеджер процессов (клавиши Win+R). Введите команду “notepad” в поле “Открыть”. После этого должен открыться Блокнот. Наберите в открывшемся окне произвольные символы и нажмите коротко (резко) кнопку включения на ПК или ноутбуке. Все процессы вместе с трояном должны автоматически завершиться. Компьютер останется включенным.


Сейчас самое время удалить все зараженные файлы. Необходимо найти их и удалить либо просканировать диски антивирусом.

Предположим, что по нелепой случайности антивирус на компьютер вы заранее не поставили. Как быть? Отпрыски вируса Winlock обычно забираются во временные файлы, в том числе файлы браузера. Попробуйте проверить следующие пути:

C:\Users\папка с именем пользователя\AppData\Roaming\

C:\Documents and Settings\каталог с именем пользователя\

Метод №2 – Безопасный режим

Первый способ провалился, и вы всё еще не понимаете, как разблокировать компьютер от вируса-вымогателя? Расстраиваться не стоит. Просто наш троянчик более продвинутый. Он подменил системные компоненты и установил блокировку запуска диспетчера задач.


После чего наберите “explorer” в консоли и нажмите Enter. Такая манипуляция запустит проводник. Прописываем далее слово “regedit” в командной строке, нажимаем снова Enter. После чего запустится редактор реестра. Здесь вы найдете место, откуда осуществляется автозапуск вируса, а еще — созданные им записи.

Ищите компоненты вируса-вымогателя в ключах Userinit и Shell. В первом его легко найти по запятой, в Shell он прописывается как explorer.exe. Скопируем полное имя найденного нами опасного файла в буфер обмена, используя правую клавишу мыши. Пишем “del” в командной строке, далее пробел, а далее вставляем скопированное ранее имя. Жмем Enter и наслаждаемся результатом ваших манипуляций. Теперь вам известно, как разблокировать компьютер от вируса-вымогателя. Проделываем эту операцию со всеми подозрительными файлами.

Метод №3 – Восстановление системы

После проделанных манипуляций необходимо снова войти в безопасный режим, используя способ, описанный в методе №2. Пропишите в командной строке следующее: “C:\WINDOWS\system32\Restore\rstrui.exe” или в современных версиях лаконичное “rstrui”, после чего нажмите Enter. На экране появится окошко “Восстановление системы”.

Следует выбрать дату, которая предшествует появлению вируса. Эта дата называется точкой восстановления. Это может быть на год или всего день раньше той злополучной даты, когда ваш ПК подвергся атаке вируса. Другими словами, выберите дату, в которой ваш компьютер был здоров и на 100% чист. На этом разблокировка окончена.

Метод №4 – Аварийный диск

Для этого способа вам необходимо заранее скачать необходимый софт, воспользоваться вторым компьютером или посетить для этой цели друга. Программное обеспечение для восстановления системы и её лечения обычно встраиваются в антивирусные программы. Однако их можно скачать бесплатно, отдельно, без регистраций.


Воспользуйтесь Kaspersky Rescue Disk, NOD32 LiveCD, Dr.Web LiveDisk или Comodo Rescue Disk. Принцип работы у всех вышеперечисленных приложений идентичен. Они размещаются на USB-накопителе, CD или DVD диске. При запуске компьютера они автоматически блокируют вашу ОС, загружая интегрированную систему (зачастую Linux). Вместе с вашей системой блокируются и вредоносные файлы. После запуска приложение сканирует ваш компьютер, удаляет опасные файлы, лечит зараженные.

Небольшое напутствие:

При успешном удалении с экрана, вымогающего деньги баннера, не спешите радоваться и продолжать бездумно купаться в изобилии интернет-сайтов. Если вирус был пойман, то ничто ему не помешает атаковать вас снова. Для профилактики и обеспечения безопасности поторопитесь скачать актуальный антивирус. О том, какое антивирусное ПО лучше выбрать, вы можете прочесть на нашем сайте.

На этом все, теперь вы знаете, как разблокировать компьютер от вируса-вымогателя. Впредь будьте осторожны.

Читайте также:

Пожалуйста, не занимайтесь самолечением!
При симпотмах заболевания - обратитесь к врачу.