На новогодних каникулах нам удалось попасться аж на «полтора» win-локера. Это и стало поводом обозначить интересную тенденцию - оказывается, даже деньги за якобы разблокировку теперь отправлять бесполезно.

 

Как пишут аналитики антивирусных компаний, заразиться блокировщиком Windows можно не только на сайтах сомнительного содержания. Взломанные вполне добропорядочные ресурсы может тоже стать разносчиками заразы. Два года назад я похватил win-блокер разыскивая описания раритетной радиоэлектроники. На этих каникулах - когда искал различные сервисы проверки ссылки на вредоносность.

Блокировщики Windows работают следующим образом: блокируется доступ к системе и появляется окно с требованием перевести деньги за... что-либо. И если еще год-два назад требовалось отправить SMS на короткий номер, то сейчас, как правило, мошенники требуют перевести деньги на мобильные номер или электронный кошелек (Яндекс.Деньги, Webmoney).

От требования перевода на короткие номера мошенник отказались, в первую очередь, потому что с прошлого года мобильным операторам и контент-провайдерам удалось наладить систему оперативного реагирования, то есть обналичить полученные таким путем средства стало почти невозможно.

Поэтому старый способ борьбы с такими блокировщиками - узнать номер телефона контент-провайдера, позвонить с жалобой и получить код разблокировки бесплатно перестал быть актуальным.

При требовании отправки средств на номер телефона или электронный кошелек, получить код разблокировки не возможно. Ни на каком чеке он напечатан не будет. Более того, как сообщают антивирусные компании, в значительную часть современных блокировщиков сама возможность использования кода разблокировки не заложена.

Если вы переведете деньги, то только поддержите мошенников. Вам это не поможет!

Я бы советовал в случае заражения обязательно позвонить своему оператору, в идеальном варианте - оператору, которому принадлежит номер мошенников, и сообщить на какой номер от вас требовали перевести деньги. Даже если вы не переводили средств и/или сразу избавились от вируса, сообщите номер мошенников оператору - скорее всего это поможет не вам лично, а другим жертвам. Вот только как быть с электронным кошельками - не понятно. Звонить в Яндекс?

А вот как реагируют на новые тенденции мобильные операторы – отдельный материал.

Итак, бороться с современными разновидностями win-блокировщиков можно только с помощью антивирусных программ и специальных утилит. И кстати, не факт, что вас спасет от заражения активный регулярно обновляемый антивирус. Увы.

О личном

Конечно, появление новых тенденций windows-блокировщиков не является новостью - антивирусные компании сообщают о появлении таких разновидностей с начала 2011 года. Но пока лично меня это не коснулось, никаких действий для того, чтобы подготовится я не предпринял. Поэтому более-менее оперативно удалось справится с вирусом только благодаря наличию второго компьютера, пишущего CD и пустых записываемых CD-R (Особенно с болванками - повезло. Могло бы и не быть).

Итак. Первая разновидность, которую мы поймали на каникулах, можно сказать, оказалась шуткой. Вот так грозно выглядящее окно являлось всего лишь окном браузера в полноэкранном режиме (закрывается по Alt+F4). Кроме того, на самом окне не только указано, что заблокирован IP компьютера (а не компьютер), но и присутствует мелкий текст, что «ОС не блокируется» и если не хотите пользоваться «сервисом», то просто закройте окно.

Однако выглядит грозно и может быть даже кто-нибудь денег с перепугу отправит. В этом случае доказать, что вас запугали сложно.

Второй же случай, который я поймал на домашнем компьютере, подходит под определение вредоносного ПО (уголовная статья). То есть это был именно Windows-блокировщик. С невозможностью вызова «диспетчера задач» и прочее. Так что помогли только загрузка с LiveCD и чистка автозагрузки через ERD Commander.

Способы лечения

Наиболее простым способом является регулярное создание образа диска (например, с помощью Acronic True Image) и тогда вам надо будет только восстановить образ на ближайшую дату. Не путайте с восстановлением Windows, судя по интернет-форумам не всегда помогает.

Другим способом является, например, комбинация ERD Commander, Kaspersky Rescue Disk  или Dr.Web CureIt!  и сделанные заранее копии системных файлов:
a) /WINDOWS/SYSTEM32/USERINIT.EXE
б) /WINDOWS/SYSTEM32/LOGONUI.EXE
в) /WINDOWS/EXPLORER.EXE
г) /WINDOWS/SYSTEM32/TASKMGR.EXE
которые надо сохранить заранее или добыть с установочного диска Windows (в папке i386, только надо поменять расширение, заменив последнюю букву на нужное.)

Подробнейший способ описан тут с пошаговой инструкцией.

Однако, если окно блокировщика вылезло до загрузки Windows (на черном экране), то у вас MBRLock. Описание борьбы есть тут.

 

Обзоры вирусной активности

• Киберкриминальный мир и Россия.

• Троянцы-вымогатели