14.04.2016
În prezent, există un număr mare de viruși, din fericire, software-ul antivirus modern este capabil să facă față majorității „dăunătorilor”. Virușii pot fi împărțiți în mod convențional în mai multe grupuri, dar cele mai frecvente sunt spyware, adware și troieni, care includ viruși ransomware... Despre aceasta din urmă se va discuta în acest articol.
Recunoașteți computerul ransomware infectat destul de simplu. O imagine a unei afaceri, pornografice sau de altă natură apare și este atârnată pe ecran. În același timp, computerul fie nu răspunde deloc la comenzi, fie răspunde, dar imaginea ocupă aproape toată zona vizibilă. Acesta este clientul nostru - familia troianăWinlock sau, mai simplu,.
Bannerul de pe ecran are următorul conținut: „ Computerul dvs. este blocat, trimite bani în contul tău sau un SMS plătit”. După aceea, bannerul, împreună cu blocarea computerului, promite să dispară. Tot în poză există un câmp în care ar trebui să introduceți codul pe care se presupune că îl primiți după plată. Nu intrați în panică și grăbiți-vă să vă despărțiți de banii tăi. Vă vom spune.
Virusul în cauză are mai multe varietăți, în funcție de generație. Cele mai vechi pot fi neutralizate cu câteva clicuri de mouse. Alții vor necesita o pregătire mult mai serioasă. Nu vă faceți griji, vă vom oferi toate căile de ieșire dintr-o situație atât de dificilă, care vă vor ajuta cu siguranță să eliminați orice astfel de troian.
Metoda # 1 - Manager de activități
Această metodă va ajuta în lupta împotriva troienilor vechi și primitivi. Sunăm managerul de activități ( Ctrl+ Sschimb+ Esc fie pe Windows 10 Ctrl+ Alt+ Del pe versiuni mai vechi de Windows). Dacă dispecerul pornește, încercați să găsiți elementul suspect în lista de procese. Finalizați acest proces.
Dacă managerul nu pornește, încercați să porniți managerul de proces (chei Victorie+ R). Introdu comanda „ blocnotes„în câmp” Deschis”. După aceea, ar trebui să se deschidă Notepad. Tastați caractere arbitrare în fereastra care se deschide și apăsați scurt (strâns) butonul de pornire de pe un computer sau laptop. Toate procesele împreună cu troianul ar trebui să se încheie automat. Computerul va rămâne pornit.
Acum este momentul să ștergeți toate fișierele infectate. Trebuie să le găsiți și să ștergeți sau să scanați discuri .
Să presupunem că, printr-un accident absurd, nu ați instalat în prealabil un antivirus pe computer. Cum să fii? Descendenți Winlock sunt de obicei preluate în fișiere temporare, inclusiv fișiere de browser. Încercați să verificați următoarele căi:
C: \ Utilizatori \ folder cu numele de utilizator \ Aplicație Date \ Roaming \
C: \ Documente și Setări \ director cu numele de utilizator \
Găsi " ms.exe„Sau alte fișiere suspecte, de exemplu, cu o combinație arbitrară de caractere, cum ar fi” 89sdfh2398.exe" sau " Hgb.hd.exe". Ștergeți-le.
Metoda # 2 - Modul sigur
Prima metodă a eșuat și încă nu înțelegi cum să vă deblocați computerul de la ransomware? Nu ar trebui să fii supărat. Doar că troianul nostru este mai avansat. El a schimbat componentele sistemului și a instalat o blocare la lansarea managerului de activități.
Pentru a remedia problema, reporniți computerul în timp ce țineți apăsată tasta F8 în timp ce porniți sistemul. Din meniul afișat, selectați „ Modul sigur cu suport pentru linia de comandă».
Apoi tastați „ explorator„În consolă și apăsați introduce... O astfel de manipulare va lansa exploratorul. Scriem cuvântul „ regedit„În linia de comandă, faceți clic din nou introduce... Apoi va porni editorul de registry. Aici veți găsi locul de unde virusul începe automat, precum și intrările create de acesta.
Căutați componente ransomware în taste Userinitși Coajă... În primul, este ușor să-l găsești prin virgulă, în Coajă este prescris ca explorator. executabil... Să copiem numele complet al fișierului periculos pe care l-am găsit în clipboard folosind butonul din dreapta al mouse-ului. Noi scriem " del„În linia de comandă, apoi un spațiu și apoi lipiți numele pe care l-ați copiat mai devreme. Apăsăm introduceși bucură-te de rezultatul manipulărilor tale. Acum știi cum să vă deblocați computerul de la ransomware... Efectuăm această operațiune cu toate fișierele suspecte.
Metoda # 3 - Restaurare sistem
După manipulările efectuate, trebuie să reintrai folosind metoda descrisă în metoda numarul 2... Scrieți următoarele pe linia de comandă: „ C: \ WINDOWS \ system32 \ Restabili \rstrui.exe „Sau în versiunile moderne laconic” rstrui”, Apoi apăsați introduce... Pe ecran apare o fereastră „ Restaurarea sistemului”.
Ar trebui să alegeți o dată care precede apariția virusului. Această dată se numește punctul de restaurare. Ar putea fi cu un an sau doar o zi mai devreme decât acea dată nefericită când computerul tău a fost atacat de un virus. Cu alte cuvinte, alegeți o dată când computerul dvs. a fost sănătos și 100% curat. Aceasta completează deblocarea.
Metoda # 4 - Disc de salvare
Pentru această metodă, trebuie să descărcați software-ul necesar în avans, să utilizați un al doilea computer sau să vizitați un prieten în acest scop. Software-ul de recuperare și reparare a sistemului este de obicei integrat în software-ul antivirus. Totuși, acestea pot fi descărcate gratuit, separat, fără înregistrare.
Asta e tot, acum știi cum să vă deblocați computerul de la ransomware... Fii atent de acum înainte.
În prezent, odată cu dezvoltarea modernă a tehnologiilor și ratele mari de transfer de date, utilizatorii de computere personale, laptopuri, tablete și smartphone-uri foarte des (chiar și cu protecție antivirus instalată) prind un fel de virus. Acum hackerii sunt foarte populari cu programele care infectează un dispozitiv, blocând în același timp accesul la acesta cu un banner pe desktop. Cum îmi pot debloca computerul în acest caz? Cum să restabiliți accesul la acesta?
Ce bannere există?
Cele mai frecvente sunt următoarele: accesul la Internet este blocat, Windows este blocat, regulile de utilizare a Internetului au fost încălcate, contul dvs. a fost piratat și acum este trimis spam de la acesta și așa mai departe. Se oferă ajutor proprietarului computerului în rezolvarea problemei. Pentru aceasta, i se cere să trimită un singur SMS la un număr scurt. Făcând acest lucru, veți pierde cel puțin 250-300 de ruble. Și, în consecință, bannerul în aproape toate cazurile nu merge nicăieri.
Principalele modalități de a rezolva problema
Ce să fac? Cum să vă deblocați computerul de un virus și să continuați să utilizați dispozitivul? Există diferite căi de mântuire. Principalele sunt:
- Restaurarea sistemului de operare.
- Eliminarea unui program de virus de la pornirea sistemului de operare.
- Aplicarea codurilor speciale de deblocare de pe site-urile Dr.Web și Kaspersky.
- Antivirus activ.
Trebuie amintit că nu există o modalitate universală de a debloca un computer de un virus. Fiecare dintre cele de mai sus este potrivită doar pentru o anumită situație. Acum să ne oprim asupra acestui lucru.
Rezolvarea problemei prin internet
Această opțiune este bună pentru cineva care are acces la rețea sau are o conexiune cu cineva care este gata să ajute. Site-urile web oficiale ale Kaspersky și Doctor Web au coduri care vă pot debloca dispozitivul. Dacă nu erau acolo, mergem pe altă cale.
Eliminarea bannerului de la pornire
Cum îmi deblochez computerul în acest fel? Această cale este destul de simplă. Trebuie să porniți dispozitivul în modul sigur. Pentru a face acest lucru, atunci când îl încărcați, apăsați F8. În fața noastră va apărea un meniu cu opțiuni pentru încărcarea Windows. Alegerea celui potrivit. Apoi unul din două lucruri: bannerul este încă acolo, sau sistemul va porni fără virus. În ultimul caz, faceți clic pe „Start” și introduceți msconfig în linia de comandă. Mergeți la pornire, debifați elementele suspecte acolo și reporniți computerul.
Mod învechit de deblocare
Dacă bannerul nu a dispărut nicăieri, atunci puteți încerca să deblocați computerul de virus folosind o metodă învechită, dar uneori eficientă. Pentru a face acest lucru, îl repornim în modul sigur și mutăm ceasul cu aproximativ o săptămână înainte. Acest lucru poate ajuta, dar cel mai probabil nu pentru mult timp, deoarece virușii sunt, de asemenea, actualizați în mod regulat. Ora sistemului poate fi modificată și în BIOS. De asemenea, este posibil să efectuați o restaurare a sistemului.
Mod profesional puternic
Dacă toate cele de mai sus nu ajută la rezolvarea problemei modului de deblocare a computerului, vom lupta cu bannerul cu ajutorul antivirusului. Dacă accesul la desktop este posibil în modul sigur, atunci folosim instrumentul de îndepărtare al Kaspersky sau Cureit al Doctor Web, cel mai faimos dintre toate. Dacă acest lucru nu este posibil, folosim LiveCD - un disc special bootabil care încarcă antivirusul fără probleme și elimină bannerul. Pentru a face acest lucru, scriem imaginea acesteia pe o unitate flash USB sau pe un disc, apoi pe un computer, după care scanăm sistemul pentru viruși. Această opțiune poate fi dificil de utilizat pentru un utilizator obișnuit, așa că este recomandat să consultați un profesionist. Așa că ne-am dat seama cum să vă deblocați computerul.
Cum să vă deblocați singur computerul fără a trimite bani pentru a solicita ransomware și fără a utiliza instrumente speciale.
Acest articol este un supliment la articolul meu Ransomware viruses. ... Oferă recomandări specifice pentru eliminarea celor mai comune blocante.
Două tipuri de blocare sunt luate în considerare aici: blocarea completă a hard disk-ului și, în consecință, a computerului și blocarea exploratorului (exploratorul) Windows.
În primul caz, înregistrarea de pornire principală a hard diskului (MBR) este modificată. O încercare de a porni computerul se poate încheia doar cu un cursor care clipește în colțul din stânga pe un fundal negru sau o imagine ca următoarea:
În al doilea caz, computerul pornește, ajunge la momentul desenării pictogramelor pe desktop, dar în locul lor vedem următoarele:
Numai Windows-ul actual este blocat aici. Alte sisteme de operare, dacă sunt instalate, vor porni fără probleme.
Deblocați MBR.
Pentru Windows XP
Pornim de pe orice CD/DVD cu un kit de distribuție Windows XP care acceptă consola de recuperare. Mergem la consola de recuperare
și executați comanda fixmbr.
Ignorăm avertismentul că aveți o înregistrare de pornire non-standard și se poate termina prost.
După executarea comenzii și repornirea, boot-ul Windows este restaurat.
Pentru Windows 7
Porniți din distribuția originală de instalare Windows 7 care acceptă opțiunea de restaurare
Alegeți „Restaurare sistem”
În fereastra „Opțiuni de recuperare a sistemului”, selectați sistemul de operare pe care doriți să îl restaurați și faceți clic pe „Următorul”.
În fereastra următoare, selectați „Linia de comandă”
Se va deschide fereastra interpretorului de linie de comandă cmd.exe, unde ar trebui să introduceți:
Bootrec.exe / FixMbr
Lansat cu comutatorul / FixMbr, utilitarul scrie un Master Boot Record (MBR) compatibil cu Windows 7 pe partiția de sistem.
În cele mai multe cazuri, acest lucru este suficient pentru a restabili boot-ul normal al Windows 7. Dacă sistemul nu pornește, repetați operația de mai sus și introduceți suplimentar comanda:
Bootrec.exe / FixBoot
Lansat cu o cheie / FixBoot, utilitarul scrie un nou sector de boot compatibil cu Windows 7 pe partiția de sistem.
Deblocați Windows
Varianta pentru Windows XP este descrisă aici. Pentru cei șapte, totul este la fel.Se încarcă în " Modul sigur cu suport pentru linia de comandă".
Atenţie! Și anume „Mod sigur cu suport pentru linia de comandă”. Doar că modul sigur nu vă va oferi nimic. Încuietoarea va rămâne.
Permiteți-mi să vă reamintesc că pentru a porni în modul sigur după pornirea computerului, trebuie să apăsați tasta F8. În unele BIOS, F8 afișează meniul de pornire de unde computerul ar trebui să pornească (FDD, CD / DVD, HDD). În acest caz, trebuie să selectați HDD, apăsați Enter și apoi F8 din nou.
În shell, tastăm: regeditși apăsați Enter. Pornește editorul de registry, în care trecem la următoarea ramură
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
Aici reparăm parametrii de mai jos pentru a fi exact la fel:
Shell = Explorer.exe
Userinit = C: \\ WINDOWS \\ system32 \\ userinit.exe,(dacă Windows este pe unitatea C :)
Cei care nu au probleme cu registry pot descărca acest fișier în avans, iar în caz de blocare, îl rulează pe linia de comandă explorator- se va deschide un explorator cu un shell grafic, cu care veți găsi fișierul descărcat și îl veți rula, acceptând să faceți modificări în registry.
Închidem editorul de registry și, de asemenea, verificăm dacă malware-ul nostru este la pornire. În caz contrar, toate corecțiile noastre vor fi anulate la repornire.
Pentru a face acest lucru, mai întâi, prin Ctrl + Alt + Del, apelăm managerul de activități, în care selectăm „sarcina nouă”, unde tastăm msconfigși faceți clic pe OK.
Se va deschide fereastra cu setările sistemului, unde mergem la fila
Când răsfoiți elementele de pornire, ar trebui să acordați o atenție deosebită coloanei „Comandă”. De aici sunt lansate fișierele. Dacă este un folder Temp sau Fișiere temporare de internet atunci este aproape 100% virus. Notăm unde se află, îl eliminăm de la pornire și, apoi, prin rulare Explorator, găsiți și ștergeți fișierul rău intenționat în sine. Dacă nu sunteți sigur, atunci îl puteți redenumi pur și simplu setând, de exemplu, un astfel de semn # în fața numelui.
Cele mai simple metode de blocare sunt discutate aici. Gândirea tehnică a infractorilor cibernetici nu stă pe loc, iar pe viitor ar putea fi nevoiți să se confrunte cu metode mai sofisticate. Pentru a vă proteja de posibile surprize, este necesar să faceți periodic copii de arhivă ale partiției de sistem, de preferință pe un mediu extern.
De regulă, este un „troian” din familia Winlock. Este ușor de definit: dacă pe ecran apare o imagine pornografică sau, dimpotrivă, de afaceri și, în același timp, computerul nu mai răspunde la comenzi - acesta este clientul nostru.
În același timp, bannerul conține adesea mesajul „Computerul tău este blocat” și o ofertă de a trimite un SMS plătit sau de a depune bani în contul specificat - se presupune că numai după aceea bannerul dăunător (și odată cu acesta blocarea PC-ului) va dispărea . Imaginea are chiar și un câmp în care trebuie să introduceți un cod special care ar trebui să vină după ce cerințele de mai sus sunt îndeplinite. Principiul de funcționare a unor astfel de elemente rău intenționate se reduce la înlocuirea parametrilor Shell în shell-ul sistemului de operare și la nivelarea funcțiilor Windows Explorer.
Există mai multe generații de viruși ransomware. Unele dintre ele sunt neutralizate în câteva clicuri, altele necesită o manipulare mai serioasă. Vă vom arăta metodele pe care le puteți folosi pentru a face față oricărui troian de acest fel.
Metoda numărul 1
Gestionar de sarcini
Această metodă va funcționa împotriva troienilor primitivi. Încercați să invocați Task Manager obișnuit (combinație de taste CTRL + ALT + DEL sau CTRL + SHIFT + ESC). Dacă a avut succes, găsiți în lista de procese ceea ce nu ar trebui să ruleze și opriți-l.
Dacă dispecerul nu este apelat, puteți utiliza în continuare managerul de proces prin tastele Win + R. În câmpul „Open”, introduceți cuvântul „notepad” și apăsați ENTER - aceasta va deschide aplicația Notepad. În fereastra aplicației care se deschide, tastați caractere arbitrare și apăsați scurt butonul de pornire/oprire de pe laptop sau computerul staționar. Toate procesele, inclusiv troianul, se vor încheia imediat, dar computerul nu se va opri. În timp ce virusul este dezactivat, puteți găsi fișierele asociate cu acesta și le puteți elimina sau executa o scanare antivirus.
Dacă nu ați instalat software-ul antivirus la timp, vă puteți întreba: Cum elimini virusul ransomware de pe computer? În cele mai multe cazuri, descendenții familiei Winlock se strecoară în directoarele unor fișiere temporare sau fișiere temporare ale browserului. În primul rând, verificați căile:
C: \ Documente și setări \ directorul în care este specificat numele de utilizator \ și
C: \ Utilizatori \ director după numele de utilizator \ AppData \ Roaming \.
Căutați acolo „ms.exe”, precum și fișierele suspecte cu un set de caractere arbitrar, cum ar fi „0.277949.exe” sau „Hhcqcx.exe” și ștergeți-le.
Metoda numărul 2
Ștergerea fișierelor viruși în modul sigur
Dacă prima metodă nu funcționează și Windows este blocat - ce să faci în acest caz? Nici aici nu ar trebui să fii supărat. Aceasta înseamnă că ne confruntăm cu un troian avansat care înlocuiește componentele sistemului și blochează lansarea Task Manager.
În acest caz, va trebui să alegem să lucrăm în modul sigur. Reporniți computerul. Țineți apăsat F8 în timp ce Windows pornește. Din meniul care apare, selectați Safe Mode with Command Prompt.
Mai departe în consolă ar trebui să scrieți: „explorer” și apăsați ENTER - veți porni exploratorul. După aceea, înregistrăm cuvântul „regedit” în linia de comandă și apăsăm din nou ENTER. Aceasta va invoca Editorul Registrului. În el, puteți găsi intrările create de troian și, de asemenea, locul de unde începe autorun-ul.
Căile către fișierele componentei rău intenționate vor fi cel mai probabil în cheile Shell și Userinit (în prima este scris explorer.exe, iar în „Userinit” este ușor de identificat printr-o virgulă). Apoi procedura este următoarea: copiați numele complet al fișierului virus detectat cu butonul din dreapta în clipboard, scrieți „del” în linia de comandă, apoi puneți un spațiu și lipiți numele copiat. ENTER - și ai terminat. Acum știți cum să eliminați virusul ransomware.
O facem și cu alte fișiere infecțioase.
Metoda numărul 3
Restaurarea sistemului
Pornim sistemul în modul sigur, așa cum este descris mai sus. În linia de comandă, scrieți: „C: \ WINDOWS \ system32 \ Restore \ rstrui.exe”. Versiunile moderne vor înțelege și pur și simplu „rstrui”. Și, bineînțeles, ENTER.
Fereastra „Restaurare sistem” va apărea în fața ta. Aici va trebui să selectați un punct de restaurare sau, mai degrabă, data înainte ca virusul să lovească computerul. Poate fi ieri, sau poate fi acum o lună. Pe scurt, alege momentul în care computerul tău a fost 100% curat și sănătos. Asta e tot pentru deblocarea Windows.
Metoda numărul 4.
Disc de urgență
Această metodă presupune că aveți timp să descărcați software de pe alt computer sau să mergeți la un prieten pentru el. Deși, poate ați achiziționat deja unul cu prudență?
Software-ul special pentru tratamentul de urgență și recuperarea sistemului este furnizat de mulți dezvoltatori direct în pachete antivirus. Cu toate acestea, discul de salvare poate fi descărcat și separat - gratuit și fără înregistrare.
Puteți utiliza ESET NOD32 LiveCD, Comodo Rescue Disk sau. Toate aceste aplicații funcționează după același principiu și pot fi plasate pe CD, DVD sau stick USB. Acestea sunt încărcate automat cu sistemul de operare integrat (cel mai adesea Linux), blochează lansarea Windows și, în consecință, elementele rău intenționate, scanează computerul pentru viruși, elimină software-ul periculos și tratează fișierele infectate.
