14.04.2016
Trenutno postoji ogroman broj virusa, na sreću, savremeni antivirusni softver je u stanju da se nosi sa većinom "štetočina". Konvencionalno, virusi se mogu podijeliti u nekoliko grupa, ali najčešći su špijunski softver, adware i trojanci, koji uključuju ransomware virusi. O potonjem će biti riječi u ovom članku.
Prepoznajte računar zaražen ransomwareom prilično jednostavno. Slika poslovne, pornografske ili druge prirode se pojavljuje i visi na ekranu. U ovom slučaju računar ili uopšte ne reaguje na komande, ili reaguje, ali slika zauzima skoro čitavo vidljivo područje. Ovo je naš klijent trojanska porodicawinlock ili, pojednostavljeno rečeno, .
Baner na ekranu ima sljedeći sadržaj: Vaš računar je zaključan, pošaljite novac na račun ili plaćeni SMS. Nakon toga, baner, zajedno sa blokiranjem računara, obećava da će nestati. Takođe na slici se nalazi polje u koje treba da unesete kod koji navodno dobijate nakon uplate. Nemojte paničariti i žuriti da se rastanete s novcem. Reći ćemo vam.
Dotični virus ima nekoliko varijanti, ovisno o generaciji. Starije se mogu neutralisati sa par klikova mišem. Za druge će biti potrebna mnogo ozbiljnija priprema. Ne brinite, mi ćemo vam dati sve opcije za izlazak iz ovako teške situacije, što će vam zasigurno pomoći da uklonite svakog takvog Trojanca.
Metod #1 - Task Manager
Ova metoda će pomoći u borbi protiv starih, primitivnih trojanaca. Pozovite upravitelja zadataka ( Ctrl+Shift+Esc na Windows 10 ili Ctrl+Alt+Del na starijim verzijama Windowsa). Ako se dispečer pokrene, pokušajte pronaći sumnjivu stavku na listi procesa. Završite ovaj proces.
Ako se dispečer ne pokrene, pokušajte pokrenuti upravitelja procesa (ključevi Pobjedi+ R). Unesite naredbu " notepad"na polju" Otvori". Ovo bi trebalo da otvori Notepad. U prozor koji se otvori otkucajte proizvoljne znakove i pritisnite kratko (oštro) dugme za uključivanje na računaru ili laptopu. Svi procesi zajedno sa Trojancem bi trebali automatski izaći. Računar će ostati uključen.
Sada je vrijeme da uklonite sve zaražene datoteke. Morate ih pronaći i izbrisati ili skenirati diskove .
Pretpostavimo da smešnim slučajem niste unapred instalirali antivirus na računar. Kako biti? potomstvo winlock se obično uzimaju u privremene datoteke, uključujući datoteke pretraživača. Pokušajte provjeriti sljedeće staze:
C:\Korisnici\fascikla korisničko ime\Ap Podaci \ Roaming \
C:\ Dokumenti i Postavke \direktorij sa korisničkim imenom\
Pronađite " ms.exe" ili druge sumnjive datoteke, na primjer, sa proizvoljnom kombinacijom znakova kao što je " 89sdfh2398.exe" ili " Hgb.hd.exe". Izbrišite ih.
Metoda #2 - Safe Mode
Prvi način nije uspio i još uvijek ne razumijete kako otključati računar od ransomware virusa? Ne vredi se nervirati. Samo što je naš trojanac napredniji. Promijenio je komponente sistema i postavio upravitelja zadataka da blokira pokretanje.
Da biste rešili problem, ponovo pokrenite računar tako što ćete držati pritisnut taster F8 dok se sistem pokreće. Na prikazanom meniju odaberite " Siguran način rada s podrškom komandne linije».
Zatim upišite " istraživač” u konzoli i pritisnite Enter. Ova manipulacija će pokrenuti istraživač. Zapisujemo riječ " regedit” na komandnoj liniji, pritisnite ponovo Enter. Ovo će pokrenuti Registry Editor. Ovdje ćete pronaći mjesto odakle se virus automatski pokreće, kao i unose koje je kreirao.
Potražite komponente ransomware virusa u ključevima userinit i Shell. U prvom ga je lako pronaći po zarezu, u Shell piše se kao istraživač. exe. Kopirajte puno ime opasne datoteke koju smo pronašli u međuspremnik koristeći desnu tipku miša. Mi pišemo " del” na komandnoj liniji, zatim razmak, a zatim zalijepite ime koje ste ranije kopirali. Kliknite Enter i uživajte u rezultatu svojih manipulacija. Sada znaš kako otključati računar od ransomware virusa. Ovu operaciju izvodimo sa svim sumnjivim datotekama.
Metoda #3 - Oporavak sistema
Nakon što su manipulacije obavljene, morate ponovo ući metodom opisanom u metoda broj 2. Na komandnoj liniji upišite sljedeće: C:\WINDOWS\system32\ restaurirati \rstrui.exe ” ili u modernim verzijama lakonski “ rstrui“, a zatim pritisnite Enter. Prozor " System Restore”.
Trebali biste odabrati datum koji prethodi pojavi virusa. Ovaj datum se naziva tačka vraćanja. Ovo može biti godinu dana ili samo dan prije nesrećnog datuma kada je vaš računar napao virus. Drugim riječima, odaberite datum kada je vaš računar bio zdrav i 100% čist. Ovim je otključavanje završeno.
Metoda #4 - Disk za spašavanje
Za ovu metodu morate unaprijed preuzeti potreban softver, koristiti drugi računar ili posjetiti prijatelja u tu svrhu. Softver za oporavak sistema i tretman obično je ugrađen u antivirusne programe. Međutim, mogu se preuzeti besplatno, zasebno, bez registracije.
To je sve, sad znaš kako otključati računar od ransomware virusa. Od sada, budite oprezni.
U današnje vrijeme, uz savremeni razvoj tehnologije i visoke brzine prijenosa podataka, korisnici personalnih računara, laptopa, tableta i pametnih telefona vrlo često (čak i sa instaliranom antivirusnom zaštitom) zaraze neku vrstu virusa. Sada su hakeri veoma popularni sa programima koji inficiraju uređaj, dok mu pristup blokiraju banerom na radnoj površini. Kako otključati računar u ovom slučaju? Kako mu vratiti pristup?
Kakvi baneri postoje?
Najčešći su sljedeći: blokiran pristup Internetu, blokiran je Windows, kršena su pravila korištenja interneta, hakiran vam je račun i sa njega se sada šalje spam itd. Vlasniku računara se nudi pomoć u rješavanju problema. Za to se od njega traži da pošalje samo jedan SMS na kratki broj. Na taj način ćete izgubiti najmanje 250-300 rubalja. I, shodno tome, baner u gotovo svim slučajevima ne ide nikuda.
Osnovni načini rješavanja problema
šta da radim? Kako otključati računar od virusa i nastaviti koristiti svoj uređaj? Postoje različiti načini da se spasite. Glavni su:
- Oporavak operativnog sistema.
- Uklanjanje virusnog programa iz pokretanja OS-a.
- Primena specijalnih kodova za otključavanje sa Dr.Web i Kaspersky sajtova.
- Angažirajući antivirus.
Treba imati na umu da ne postoji univerzalni način za otključavanje računara od virusa. Svako od gore navedenog odnosi se samo na određenu situaciju. Hajde sada da se zadržimo na ovome malo.
Rješavanje problema putem interneta
Ova opcija je dobra za nekoga ko ima pristup mreži ili ko ima vezu sa nekim ko je spreman da pomogne. Zvanične web stranice kompanije Kaspersky i Doctor Web imaju kodove koji mogu otključati vaš uređaj. Ako ih nije bilo, idemo drugim putem.
Uklanjanje banera iz automatskog učitavanja
Kako otključati računar na ovaj način? Ovaj put je vrlo jednostavan. Morate pokrenuti svoj uređaj u sigurnom načinu rada. Da biste to učinili, prilikom učitavanja pritisnite F8. Videćemo meni sa opcijama za pokretanje Windowsa. Odabiremo željenu. Onda jedna od dvije stvari: baner nije nestao ili će se sistem pokrenuti bez virusa. U drugom slučaju, kliknite na "Start" i unesite msconfig na komandnoj liniji. Idemo na autoload, poništimo sumnjive stavke tamo i restartujemo PC.
Zastarjeli način otključavanja
Ako baner nigdje nije nestao, tada možete pokušati otključati računalo od virusa pomoću zastarjele, ali ponekad učinkovite metode. Da bismo to učinili, ponovo ga pokrećemo u sigurnom načinu rada i pomjeramo sat otprilike tjedan dana unaprijed. Ovo može pomoći, ali najvjerovatnije ne zadugo, jer se virusi također redovno ažuriraju. Sistemsko vrijeme se također može promijeniti u BIOS-u. Također je moguće izvršiti vraćanje sistema.
Moćan profesionalni način
Ako sve gore navedeno ne pomogne u rješavanju problema kako otključati računalo, borit ćemo se protiv banera uz pomoć antivirusa. Ako je moguće pristupiti radnoj površini u bezbednom režimu, onda koristimo Kaspersky-jev alat za uklanjanje ili Doctor Web-ov Cureit, najpoznatiji od svih. U nedostatku takve mogućnosti, koristimo LiveCD - poseban disk za pokretanje koji bez problema učitava antivirus i uklanja baner. Da bismo to učinili, zapisujemo njegovu sliku na USB fleš disk ili prazan, zatim na računar, nakon čega skeniramo sistem na viruse. Prosječnom korisniku ova opcija može biti teška za korištenje, pa je preporučljivo obratiti se profesionalcima. Tako smo shvatili kako da otključamo računar.
Kako samostalno otključati računar bez slanja novca na zahtjev za ransomware i bez korištenja posebnih alata.
Ovaj članak je dodatak mom članku Ransomware virusi. . Daje konkretne preporuke za uklanjanje najčešćih blokatora.
Ovdje se razmatraju dvije vrste blokiranja: potpuno blokiranje tvrdog diska i, shodno tome, računara i blokiranje Windows Explorera.
U prvom slučaju se mijenja glavni zapis za pokretanje tvrdog diska (MBR). Pokušaj pokretanja računara može se završiti samo treptanjem kursora u lijevom uglu na crnoj pozadini ili slikom poput sljedeće:
U drugom slučaju računar se diže, dolazi do trenutka iscrtavanja ikona na radnoj površini, ali umjesto njih vidimo sljedeće:
Ovdje je blokiran samo trenutni Windows. Ostali operativni sistemi, ako ih ima, pokrenuće se bez problema.
Otključaj MBR.
Za Windows XP
Pokrećemo se sa bilo kojeg CD-a/DVD-a sa Windows XP distribucijom koja podržava Recovery Console. Idemo na konzolu za oporavak
i izvršite naredbu fixmbr.
Ne obraćamo pažnju na upozorenje da imate nestandardni zapis za pokretanje i da se to može loše završiti.
Nakon izvršenja naredbe i ponovnog pokretanja, Windows boot se vraća.
Za Windows 7
Pokrećemo se sa originalne instalacijske distribucije Windows 7, koja podržava opciju oporavka
Odaberite "Vraćanje sistema"
U prozoru "Opcije oporavka sistema" izaberite operativni sistem koji želite da vratite i kliknite na "Dalje".
U sljedećem prozoru odaberite "Command Prompt"
Otvoriće se prozor tumača komandne linije cmd.exe u koji treba da unesete:
Bootrec.exe /FixMbr
Pokrenut sa prekidačem /FixMbr, uslužni program upisuje MBR kompatibilan sa Windows 7 (Master Boot Record) na sistemsku particiju.
U većini slučajeva, ovo je dovoljno za vraćanje normalnog pokretanja Windowsa 7. Ako se sistem i dalje ne pokreće, ponovite gornju operaciju i dodatno unesite naredbu:
Bootrec.exe /FixBoot
Lansiran ključem /FixBoot, uslužni program upisuje novi sektor za pokretanje sistema kompatibilan sa Windows 7 na sistemsku particiju.
Otključajte Windows
Varijanta za Windows XP je opisana ovdje. Za sedam, sve je isto.Učitavam u " Siguran način rada s podrškom komandne linije".
Pažnja! Naime "Safe Mode with Command Line Support". Samo "Safe Mode" vam neće dati ništa. Brava će ostati.
Dozvolite mi da vas podsjetim da za pokretanje u bezbednom režimu nakon uključivanja računara morate pritisnuti taster F8. U nekim BIOS-ima, F8 prikazuje meni za pokretanje sa kojeg bi se računar trebao pokrenuti (FDD, CD/DVD, HDD). U tom slučaju morate odabrati HDD, pritisnuti Enter i zatim ponovo F8.
U komandni procesor upisujemo: regedit i pritisnite Enter. Pokreće se uređivač registra u kojem idemo na sljedeću granu
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Ovdje ispravljamo parametre ispod tako da budu upravo ovakvi:
shell=explorer.exe
Userinit = C:\\WINDOWS\\system32\\userinit.exe,(ako je Windows na C: disku)
Oni koji su u sukobu sa registrom mogu unaprijed preuzeti ovu datoteku, a u slučaju blokade je pokrenuti na komandnoj liniji istraživač- otvorit će se istraživač s grafičkom ljuskom, s kojim ćete pronaći preuzetu datoteku i pokrenuti je, pristajajući da izvršite izmjene u registru.
Zatvaramo uređivač registra i provjeravamo da li je naš zlonamjerni softver u automatskom učitavanju. U suprotnom, sve naše ispravke će biti poništene pri ponovnom pokretanju.
Da biste to učinili, prvo putem Ctrl + Alt + Del pozivamo upravitelja zadataka, u kojem odabiremo "novi zadatak", gdje upisujemo msconfig i kliknite na OK.
Otvorit će se prozor postavki sistema gdje idemo na karticu
Kada gledate startup stavke, posebno obratite pažnju na kolonu "Command". Evo mjesta odakle se fajlovi pokreću. Ako je fascikla Temp ili Privremene Internet datoteke, onda je to skoro 100% virus. Zapisujemo gdje se nalazi, brišemo ga iz pokretanja i dalje pokretanjem istraživač, pronađite i izbrišite samu zlonamjernu datoteku. Ako niste sigurni, možete ga jednostavno preimenovati postavljanjem sljedećeg znaka ispred imena, na primjer, #.
Ovdje se razmatraju najjednostavniji načini blokiranja. Tehnički um napadača ne miruje, a u budućnosti ćete se možda morati nositi sa sofisticiranijim metodama. Da biste se zaštitili od mogućih iznenađenja, morate povremeno praviti arhivske kopije sistemske particije, po mogućnosti na vanjskim medijima.
Po pravilu, ovo je trojanac iz porodice Winlock. Lako je to odrediti: ako se na ekranu pojavi slika pornografskog ili, obrnuto, poslovnog lika, a istovremeno kompjuter prestane da odgovara na komande, ovo je naš klijent.
Istovremeno, baner često sadrži poruku "Vaš računar je blokiran" i ponudu za slanje plaćenog SMS-a ili uplatu novca na navedeni račun - navodno će tek nakon toga nestati štetni baner (a sa njim i blokiranje računara) . Slika čak ima polje u koje trebate unijeti poseban kod koji bi trebao doći nakon što se ispune gore navedeni zahtjevi. Princip rada ovakvih zlonamjernih elemenata svodi se na zamjenu Shell parametara u ljusci operativnog sistema i nivelisanje funkcija Windows Explorera.
Postoji nekoliko generacija ransomware virusa. Neki od njih se neutraliziraju u nekoliko klikova, drugi zahtijevaju ozbiljnije manipulacije. Navest ćemo metode pomoću kojih se možete nositi sa bilo kojim trojancem ove vrste.
Metoda broj 1
Task Manager
Ova metoda će raditi protiv primitivnih trojanaca. Pokušajte pozvati obični upravitelj zadataka (kombinacija tipki CTRL+ALT+DEL ili CTRL+SHIFT+ESC). Ako ovo uspije, pronađite na listi procesa ono što ne bi trebalo pokrenuti i završite to.
Ako se dispečer ne pozove, i dalje možete koristiti upravitelja procesa pomoću tipki Win + R. U polje "Otvori" unesite riječ "bilježnica" i pritisnite ENTER, - tako ćete otvoriti aplikaciju Notepad. U prozoru aplikacije koji se otvori unesite proizvoljne znakove i kratko pritisnite dugme za uključivanje/isključivanje na laptopu ili desktop računaru. Svi procesi, uključujući Trojan, će se odmah završiti, ali računar se neće isključiti. Dok je virus deaktiviran, možete pronaći datoteke povezane s njim i ukloniti ih ili izvršiti antivirusno skeniranje.
Ako niste imali vremena da instalirate antivirusni softver, možete pitati: kako da uklonim ransomware sa svog računara? U većini slučajeva, potomci zle Winlock porodice ušuljaju se u direktorije nekih privremenih datoteka ili privremenih datoteka pretraživača. Prije svega provjerite staze:
C:\Documents and Settings\direktorij u kojem je navedeno korisničko ime\and
C:\Users\direktorijum korisničkog imena\AppData\Roaming\.
Tamo potražite "ms.exe", kao i sumnjive datoteke sa proizvoljnim skupom znakova poput "0.277949.exe" ili "Hhcqcx.exe" i izbrišite ih.
Metoda broj 2
Uklanjanje virusnih datoteka u sigurnom načinu rada
Ako prva metoda nije uspjela i Windows je blokiran - što učiniti u ovom slučaju? Ni ovdje nema potrebe za brigom. To znači da smo naišli na naprednog trojanca koji zamjenjuje sistemske komponente i blokira pokretanje Task Managera.
U ovom slučaju, morat ćemo odabrati rad u sigurnom načinu rada. Ponovo pokrenite računar. Držite F8 dok pokrećete Windows. Odaberite "Safe Mode with Command Line Support" iz menija koji se pojavi.
Dalje u konzoli treba da napišete: "explorer" i pritisnete ENTER - pokrenućete istraživač. Nakon toga u komandnu liniju upišemo riječ "regedit" i ponovo pritisnemo ENTER. Zato ćemo pozvati urednika registra. U njemu možete pronaći unose koje je kreirao trojanac, kao i mjesto odakle dolazi njegovo automatsko pokretanje.
Putanja do datoteka zlonamjerne komponente će se najvjerovatnije nalaziti u ključevima Shell i Userinit (u prvom je napisano explorer.exe, a u "Userinit" se lako može prepoznati zarezom). Nadalje, postupak je sljedeći: kopirajte puno ime otkrivene virusne datoteke desnim gumbom u međuspremnik, upišite “del” u komandnu liniju, zatim stavite razmak i zalijepite kopirano ime. ENTER - i gotovi ste. Sada znate kako ukloniti ransomware.
Isto radimo i sa drugim zaraznim datotekama.
Metoda broj 3
System Restore
Podižemo sistem u sigurnom načinu rada, kao što je gore opisano. U komandnoj liniji napišite: "C:\WINDOWS\system32\Restore\rstrui.exe". Moderne verzije će razumjeti i samo "rstrui". I, naravno, ENTER.
Pojavit će se prozor System Restore. Ovdje ćete morati odabrati tačku vraćanja, odnosno datum prije nego što je virus pogodio PC. To može biti juče, a može biti prije mjesec dana. Ukratko, odaberite vrijeme kada je vaš računar bio 100% čist i zdrav. To je sve otključavanje Windowsa.
Metoda broj 4.
disk za hitne slučajeve
Ova metoda pretpostavlja da imate vremena da preuzmete softver sa drugog računara ili da odete kod prijatelja po njega. Mada, možda ste ga razborito stekli?
Mnogi programeri isporučuju poseban softver za hitno liječenje i oporavak sistema direktno u antivirusnim paketima. Međutim, disk za spašavanje može se preuzeti i zasebno - besplatno i bez registracije.
Možete koristiti ESET NOD32 LiveCD, Comodo Rescue Disk ili . Sve ove aplikacije rade na istom principu i mogu se postaviti na CD, DVD ili USB drajv. Automatski se učitavaju zajedno s integriranim OS-om (najčešće je to Linux), blokiraju pokretanje Windows-a i, shodno tome, zlonamjerne elemente, skeniraju računalo na viruse, uklanjaju opasan softver i liječe zaražene datoteke.
