Для разблокировки Windows необходимо пополнить


По моей просьбе подписчик блога описал личный опыт борьбы с вирусом Winlocker. Он известен своим баннером «для разблокировки Windows необходимо пополнить», который появляется на экране компьютера.

Содержание:
1. Winlocker заблокировал систему
2. Размышления о Winlocker и моей ситуации
3. Борьба началась
4. Сохранение данных
5. Баннер опять на экране
6. Ручное исправление реестра
7. Горе от ума
8. Как выключить зависший ноутбук
9. «Личный» сисадмин

Winlocker заблокировал систему

Для разблокировки Windows необходимо пополнить
Случилось! Я поймал на свой ноутбук вирус – Winlocker, который полностью заблокировал мне операционную систему Windows XP. Много слышал и читал про подобные вирусы – вымогатели, требующие произвести оплату для разблокировки компьютера и одновременно угрожающие пользователям всякими неприятностями в случае несвоевременной оплаты.

Как я его поймал, даже не помню. Кажется, это был сайт с гороскопами, который предложил обновить Adobe Flash Player. Но, может быть, причина была в чем-то другом.

Главное, что вирус был, как говорится, перед моими изумленными глазами в виде баннера на две трети экрана с текстом «для разблокировки Windows необходимо пополнить». И далее c надписью пренеприятнейшего содержания (о моей непорядочности в отношении законодательства об использовании авторских прав и прочее) и окошком для ввода кода разблокировки.

Самое печальное состояло в том, что курсор мышки не выходил за пределы этого баннера (окошка). Для управления операционной системой осталась только клавиатура (надо сказать, что она нормально работала). Но работать приходилось «слепым» методом, так как большая часть всех открываемых окон находилась сзади окна баннера вируса.

Первое, что я сделал в попытке избавиться от вируса – это перезагрузиться. Удалось «вслепую» не с первой попытки. Увы, результат был нулевым – баннер «для разблокировки Windows необходимо пополнить» остался на экране. Стало ясно, что настала беда, и надо искать выход.

Разумеется, мне даже и в голову не пришло платить злоумышленникам, так как уже об этом читал ранее. Да и в тексте угроз было сказано, что код разблокировки мне напечатает автомат по приему денег в пользу авторов вируса, в чем лично я сильно усомнился.

Мои инсинуации о Winlocker и моей ситуации

Первоначально я, честно говоря, проклял все на свете. В первую очередь, самого себя за излишнее любопытство в отношении различных баннеров и ссылок, то и дело предлагающих что-нибудь «интересненькое» в Интернете.

Затем я плавно переключился на разработчиков операционной системы, которую так легко (с моей точки зрения) можно блокировать всевозможным злоумышленникам. Ведь должна же быть какая-то возможность в операционной системе обходить подобные блокировки!

Но, к сожалению, нет таких возможностей, вирус прочно и всерьез отключил  все системные ресурсы Windows XP. Должны же это как-то учитывать разработчики компании Microsoft!  Хотя бы в будущем.

Потом я мысленно выругался в адрес разработчиков вирусов, изгаляющихся в различных способах порчи операционных систем и данных пользователей. Каких только вирусов не изобрели, и антивирусов к ним. А вот Winlocker с сообщением «для разблокировки Windows необходимо пополнить» живет и побеждает!

Когда-то первые вирусы были «веселенькие». Например, переворачивали изображение на экране вверх тормашками. Или сваливали в кучку все буквы с экрана в один угол. Потом эта индустрия стала совсем уже невеселой, как мне кажется, уже на грани криминала, или даже за этой гранью.

Досталось и разработчикам антивирусов. Мой Symantec никогда ранее меня не подводил. Но, оказывается, и он не все может. Даже если его вовремя обновлять, правильно настраивать антивирусную защиту, системную защиту и т.п.

В общем, досталось всем, вероятно, по заслугам. Но, как говорится, слезами горю не поможешь. Значит, надо бороться с этим противным и неприятным вирусом.

Борьба началась

Ноутбук был мне необходим в ближайшие праздники (это были майские праздники), причем вне дома. До праздников оставались считанные дни, потому бороться нужно было, как говорится, здесь и сейчас.

Обращаться к системным администраторам (в том числе и на работе) мне не хотелось, так как уж слишком неприятен был текст, выводимый вирусом на экране монитора. К тому же я вспомнил, что на сайте «Компьютерная грамотность с Надеждой» я уже читал статью о том, что делать с баннером. Раз это могут делать одни, то, значит, могут повторить и другие.

Вооружившись методикой борьбы со злобным баннером «для разблокировки Windows необходимо пополнить», я начал шаг за шагом продвигаться к победе. Сначала с другого компьютера (на заблокированном компьютере работать было попросту невозможно) я зашел на сайт Касперского. На этом сайте я указал номер телефона злоумышленников, но получил отрицательный ответ, означающий, что код разблокировки Касперскому неизвестен. Тоска!

Зашел на Dr.Web. Результат (по номеру телефона злоумышленников) – тот же. Что делать? На этом же сайте есть подборка баннеров вируса. Стал ее смотреть и (счастье-то какое!) нашел свой баннер. Приятно, что не только я один получил такой «подарок». Как говорится, нашему человеку хорошо, когда не только ему одному плохо!

Далее мне были показаны примерно 30 кодов разблокировки для подобного баннера. Меня взяла поначалу тоска, так как я мысленно представил себе, как перебираю все варианты. Однако воодушевило то, что не все коды разблокировки состояли только из одних цифр, там были и буквенно-цифровые коды. А мой вирус требовал ввести только цифры. Это облегчало задачу подбора.

Попробовал первый цифровой код – мимо. Попробовал второй и, о счастье, он сработал. И баннер исчез, казалось бы навсегда!

Сохранение данных

Я предчувствовал, что только этим дело не ограничится. Поэтому решил, не перезагружая компьютер, сначала сохранить все свои данные с жестких дисков ноутбука. Я опасался, что алчный вирус «для разблокировки Windows необходимо пополнить» все еще остался в компьютере.

Поэтому решил воспользоваться предлагаемым сервисом на сайте Dr. Web. Я согласился проверить свой компьютер антивирусом Dr. Web, не устанавливая его вместо моего Symantec. Спасибо разработчикам антивирусных программ за такое предложение. В моих условиях это было весьма необходимо.

Проверка антивирусом Dr. Web выявила у меня несколько троянов, которых он благополучно удалил вместе с файлами (с моего согласия). Одновременно я проверил и внешний жесткий диск, используемый мною для хранения данных. Там тоже были «убиты» несколько таких же троянов.

После этого я произвел копирование всех своих данных на внешний жесткий диск. И еще раз проверил компьютер и внешний диск на вирусы тем же Dr. Web. Все было ОК!

На все вышесказанное (от поимки вируса «для разблокировки Windows необходимо пополнить», через эмоциональное восприятие ситуации, через разблокировку и копирование данных) я потратил почти сутки. Как станет понятно позже – эти сутки я потерял не зря!

Граждане пользователи ПК, не забывайте вовремя копировать свои данные. Это Вам может очень пригодиться в дальнейшем!

Winlocker

Наконец, все мои данные лежат на внешнем жестком диске, и я могу начинать что-то делать с моим больным ноутбуком. Первым делом – перезагружаюсь, и … Баннер снова на экране! Код разблокировки (счастье-то какое!) работает.

Но под этим баннером еще один такой же баннер «для разблокировки Windows необходимо пополнить». Пробую тот же код разблокировки, и это помогает. Компьютер работает.

Снова перезагружаюсь, и снова баннеры (а теперь их уже целых 2 штуки!) появляются на экране, и блокируют компьютер. Код разблокировки в тот момент я уже помнил наизусть, лучше всяких других логинов и паролей. Это были четыре парные цифры, наподобие 33557788, теперь уже точно не помню. Но какой от этого толк, если вирус так и остался непобежденным?!

Предполагаю, что нужно еще добить вирус на жестком диске. Пытаюсь уничтожать временные файлы из папки «temp» по указанной в статье методике. Файлы «убиваются», но потом снова появляются. Ничего не помогает, в том числе специальные программы по удалению неудаляемых файлов.

Тогда обращаюсь в Интернет с запросом относительно Winlocker и сообщения «для разблокировки Windows необходимо пополнить». Из множества предлагаемых вариантов нахожу советы по удалению вируса из реестра.

Вообще-то, в реестр я никогда не лазил, с момента его появления еще в Windows95. Для этого применялись различные программы для поиска и устранения проблем с реестром. Но этих программ в моем ноутбуке не было в помине. Решаюсь залезть в реестр сам.

Ручное исправление реестра

Оказалось, что для меня проблематично вообще войти в программу ручного исправления реестра. Нигде я ее найти не смог, хотя искал по всему компьютеру. Тогда я решился на шаг, который я никому больше не советую повторять, особенно начинающим пользователям, так как последствия этого шага совершенно непредсказуемы!

Я нажал «Пуск» — «Выполнить» и в появившейся строке набрал команду, которая мне казалась в тот момент командой входа в реестр. Сейчас я не смогу ее воспроизвести (это было то ли «regwin», то ли «winreg», но повторяю, не делайте этого так никогда и ни при каких обстоятельствах). В тот момент высочайшего напряжения и борьбы, мой мозг работал, видимо, как вычислительная машина. И я вспомнил! И ввел команду, которая оказалась именно командой входа в реестр.

После долгих разбирательств и повторных чтений советов из Интернета по поводу сообщения «для разблокировки Windows необходимо пополнить», я нашел ту часть реестра, в которой поселился вирус. Он сидел там, где при запуске Windows XP запускался браузер Internet Explorer. И программа – вирус сидела в той же папке, что и исполняемый файл Internet Explorer. У нее было имя, начинающееся с латинской буквы «А» (заглавная) и множества цифр после этой буквы.

Загрузку этой программы из реестра я убрал. Удалил саму программу – вирус из папки, где сидел исполняемый файл Internet Explorer. Затем с помощью обычного поиска («Пуск» — «Найти» — «Файлы и папки») я нашел еще одно место расположения указанного вируса (уже не помню точно где, но где-то среди папок для хранения временных файлов). И «убил» вирус там тоже.

Кстати, там, где я вначале пытался вручную удалять временные программы (а они появлялись там вновь и вновь) вируса не было. Значит, в тот момент я удалял нужные для работы операционной системы программы. К счастью, это не привело к ее сбою или зависанию.

После этого – перезагрузка и… Вируса как не бывало. Победа?!

Горе от ума

Двое суток борьбы придали мне уверенности в своих силах. Ведь не каждый день залезаешь в реестр, находишь вручную вирусы, убиваешь их, причем успешно. И я решил борьбу довести до победного конца.

Проверил на вирусы компьютер еще раз с помощью программы Dr. Web – все чисто. Но сомнения, что вирус где-то остался, и рано или поздно выйдет из тени, остались.

Решил воспользоваться аналогичным антивирусом (без установки на ПК), предлагаемом на сайте Касперского, хоть этот сайт и не помог мне в поиске кодов разблокировки. Запустил программу, проверил не только диски ПК, но и внешний жесткий диск. Касперский нашел еще несколько троянов, которых благополучно удалил (опять же с моего согласия).

Казалось бы, победа и можно забыть, что «для разблокировки Windows необходимо пополнить». Но я решил проверить еще разок. Перезагрузил компьютер, запустил Касперского. И через какое-то время он мне написал, что в памяти есть вирус, который успешно заблокирован, но для его окончательного удаления нужно будет произвести перезагрузку ПК (после завершения сканирования).

Я дождался завершения сканирования и нажал кнопку «Перезагрузить»… А в ответ – тишина, ничего не произошло. Тогда я ввел, как обычно, «Пуск» — «Выключить компьютер» — «Перезагрузка». И опять ничего не произошло. Тогда «Пуск» — «Выключить компьютер» — «Выключение». И снова неуспех.

Как поется в одной походной песне: «И тут я только понял, ого-го, и тут я только понял, ого-го…». Я понял, что борьба, видимо, закончилась… полным поражением.

Как выключить зависший ноутбук

Выключить можно, если отключить питание и батарею или, если нажать и удерживать долгое время в нажатом положении кнопку электропитания.

Уже не помню, помогло ли мне нажатие на кнопку выключения электропитания. Кажется, нет. На кнопку я нажимал, но компьютер уходил в спящий режим (так было определено в настройках электропитания Windows XP). При повторном нажатии на кнопку электропитания, в компьютере восстанавливалась прежняя картинка рабочего стола, на котором ничего не работало!

Поэтому я воспользовался старым проверенным способом. Отключил ноутбук от адаптера переменного тока, и вынул батарею ноутбука. (Как говорил Аркадий Райкин в одной из своих миниатюр: эта электрическая лампочка нарушает закон сохранения энергии, мы ее выключаем, а она горит. Ничего не помогло, хорошо, что знакомый с завода положил ее под 10-и тонный пресс). Примерно аналогично поступил и я, выключив свой ноутбук.

Больше он не включился никогда… При включении на экране появилась надпись, что система разрушена, и ее надо восстановить из какой-либо сохраненной копии. Были предложены 3 варианта продолжения загрузки.

Опытным путем я убедился, что все 3 варианта работают одинаково. На долю секунды на экране появлялся «синий экран смерти», на нем была только одна надпись в верхней строке экрана. Но прочитать ее содержимое было невозможно, ибо в тот же самый момент экран смерти гас, и компьютер шел на перезагрузку.

Меню из 3-х пунктов появлялось вновь. И так до бесконечности.

«Личный» сисадмин

Почти трое суток борьбы с баннером «для разблокировки Windows необходимо пополнить» привели меня к печальному поражению. А победа, казалось, была так близка.

Надо ли было проверять компьютер на вирусы после удаления Winlocker? Надо ли было искать вирус в памяти ПК? Не знаю, как и ответить на этот вопрос. Возможно, что я перестарался. И нужно было остановиться вовремя. Не знаю.

Когда Windows XP умер окончательно, стало ясно, что мне его уже не спасти. Надо идти за помощью. И я обратился к системным администраторам на работе. Выслушав мою историю, они сказали, что систему надо переустанавливать. Я попытался объяснить, что хочу спасти операционную систему и свои наработки. Но меня не услышали.

Системные администраторы были единодушны в своем мнении. Если данные удалось сохранить (а я, к счастью это не забыл сделать в процессе борьбы со всемирным злом!), то систему проще переустановить, чем пытаться разыскать все спрятавшиеся и замаскировавшиеся вирусы.

Сисадмины считают, что рано или поздно такие вирусы снова проявят себя, и все равно убьют операционную систему. Через 3 часа мне вернули мой ноутбук с установленным на нем Windows 7. С внешнего жесткого диска я без труда восстановил все свои данные. Теперь работаю с новой для меня операционкой.

Эта система Windows 7 оказалась даже очень приятной в работе. Быстро загружается, веселее работает. Но это, как говорится, уже другая история.

Ноутбук в поездке (на майские праздники) меня просто радовал. Все работало без сбоев и проблем. Да здравствуют системные администраторы!

Интересно, на другую операционную систему (по мере развития системного программного обеспечения и линейки продуктов Microsoft) я перейду тоже «по необходимости», или добровольно?! На XP я продержался лет 5-6, наверное. Сколько отведено времени мне на работу с Windows 7?

P.S. Интересно прочитать:

1. Архивация данных средствами Windows 7

2. Рейтинг бесплатных компьютерных антивирусов

3. Здоровье компьютера

4. Про обновление Windows от вируса-шифровальщика WannaCry

5. Не влезай, умрет!



Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *


Комментарии: 15 к “Для разблокировки Windows необходимо пополнить”

  • Евгений:

    Прочитал. Не для меня.Спасибо!

  • валера:

    спасибо!

  • Дмитрий:

    ога, а чё делать тем, у кого ни др.веб ни касперский сайты не помагают избавиться от этого? Щи хлебать?

  • Надежда Широбокова:

    Автор статьи тоже нашел коды не сразу, он подробно описал, как и в какой последовательности производил поиск. Ищите и обязательно найдете.

  • Malik:

    нет не помогло я провела коди не подошли, что делать??????

  • валера:

    спасибо за нужный и полезный урок!

  • Malik:

    кто знаеть как найти код для разблокировки??????
    Вот что говорать……
    Ваш компьютер заблокирован за просмотр. Копирование и тиражирование видеоматериалов содержащих элементы педофилии и насилия над детьми. Для снятия блокировки вам необходимо оплатить штраф в размере 500 рублей на номер билайн 8963-661-39-54 в случае оплаты суммы равной штрафы либо превышающей ее на фискальном чеке терминала будет напечатан код разблокировки .

    • Надежда:

      Платить деньги не надо, не поможет.
      Код смотрите на сайте Касперского: support.kaspersky.ru/viruses/deblocker или на сайте Dr.WEB: drweb.com/unlocker/index/?lng=ru.

  • валера:

    спасибо очень интересно!

  • Леонид:

    Хорошо написана статья.
    Единственно я бы дополнил — существуют диски с операционной системой, которая не устанавливается на компьютер, а загружается с диска. Таким образом можно выполнить проверку на вирусы и сохранить все свои файлы.

  • валера:

    спасибо за статью!

  • валера:

    большое спасибо за полезные и хорошие уроки!

  • Владимир:

    М-да…автору пришлось «попотеть», что ещё раз подтверждает мнение —
    никакие антивирусы не гарантируют…Я даже согласен с высказыванием — антивырусы, выставив свои защитные пики, провоцируют, гуляющие по инету вырусы на атаку..
    Судите сами: пока стоял у меня Касперский —
    я постоянно обращался к нашему сисадмину за помощью, а когда поставил
    бесплатный Аваст и он удалил у меня вместе с «вирусом» (который мне лично никак не мешал)кучу системных файлов, а удалил его самого и —
    почти год жил спокойно, пока не поймал такой вот баннер с запрещением
    перезагрузки и даже выключения — тут уж, шалишь — взял и выдернул
    вилку из розетки, обесточив комп. Затем включил аппарат (у меня в
    загрузке первым стоит ЛИНУКС), с его помощью вытащил из Винды нужные документы на другой раздел, после чего восстановил АКРОНИСОМ
    сохранённый файл образа системного диска. Вся операция заняла 20мин

    • Надежда:

      Владимир, с такой арт-подготовкой, как у Вас — «у меня в загрузке первым стоит ЛИНУКС), …. восстановил АКРОНИСОМ» — вирусы уже нипочем!