Создатели вирусов используют все новые способы хищения данных и вытягивания денег из пользователей, не владеющих достаточной компьютерной грамотностью и не заботящихся о компьютерной безопасности. Одни вредоносные программы незаметно прописываются в укромном месте и тихо воруют логины и пароли от платежных систем, аккаунтов в соцсетях, зашифрованных папок и файлов. Другие нагло закрывают доступ к системе, требуя платить за разблокировку. О том, как бороться со вторым типом вирусов, мы и расскажем в этом материале.
Снятие блокировки Windows
Итак, включив компьютер, на месте привычного Рабочего стола пользователь видит баннер, на котором крупным шрифтом написано, что Windows заблокирован за совершение противозаконных действий (просмотр сайтов для взрослых, скачивание нелегального ПО – варианты могут быть разные). Баннер нельзя свернуть или закрыть, пользователь не может запустить Диспетчер задач, браузер или какую-либо другую программу.
Чтобы блокировка была снята, зловредный вирус требует отправить СМС на определенный номер телефона, и первым желанием пользователя становится оплата требуемой вымогателем суммы. Но не стоит торопиться переводить деньги на указанный номер – мошенники используют психологическое воздействие на доверчивых людей и, конечно же, после оплаты неизвестно кому баннер останется на своем месте. Поэтому для решения проблемы необходимо воспользоваться другими методами.
Примечание: На самом деле, под видом блокирующего баннера скрывается программа Trojan.Winlock. После проникновения на компьютер она копирует себя несколько раз и прописывается в различных разделах системного диска, в первую очередь – в автозагрузке, чтобы автоматически запуститься при следующем включении компьютера. Также троян блокирует Диспетчер задач, чтобы пользователь не мог завершить процесс выполнения вредоносного кода, а в некоторых случаях даже блокирует возможность загрузки ПК в безопасном режиме.
Получить доступ к зараженной трояном системе можно несколькими способами. Если Windows заблокирован, то нужно поочередно пробовать все варианты, пока не будет достигнут нужный результат.
Самые простые способы:
- Переустановить операционную систему начисто с форматированием системного раздела. Это достаточно радикальный способ, который можно использовать только при отсутствии важных данных на системном диске. В принципе, он имеет право на существование, но все же желательно использовать менее затратные по времени и усилиям варианты.
- Зайти в интернет с другого компьютера, планшета или смартфона и найти коды разблокировки если Windows заблокирован (например, по ссылке https://www.drweb.com/xperf/unlocker/). В ряде случаев достаточно ввести специальную символьную комбинацию, чтобы убрать баннер, но в последнее время мошенники стали распространять вирусы без кодов разблокировки, так что вероятность срабатывания этого варианта – 50 на 50.
- Загрузить ПК в Безопасном режиме с поддержкой командной строки (для этого нужно нажать клавишу F8 или Shift+F8 при включении компьютера перед загрузкой ОС и выбрать в списке соответствующий пункт) и последовательно выполнить в командной строке (запускается при помощи сочетания клавиш Win+R) две команды: «cleanmgr» и «rstrui» (без кавычек) – с помощью этих команд будет выполнена очистка диска от лишних файлов и загрузка системы с последней контрольной точки.
Вышеперечисленные варианты могут помочь избавиться от вредоносного вируса, но для большей надежности все же стоит использовать более эффективные средства. Далее мы расскажем, как справиться с проблемой, когда вирус заблокировал компьютер, при помощи очистки реестра.
- Загрузить ОС в Безопасном режиме.
- Запустить редактор реестра, вызвав сочетанием клавиш Win+R командную строку Windows и набрав в ней команду regedit
Рис.1 В командной строке Windows наберите "regedit
- Найти в реестре ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, после чего задать значения explorer.exe и c:\windows\system32\userinit.exe для параметров Shell и Userinit соответственно. Из-за действия вируса значения параметров ведут к запуску вредоносных файлов, которые активируют блокировку Windows, поэтому их нужно вернуть к правильному виду.
- Перейти к ветке HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon и удалить параметры Shell и Userinit при их наличии в данной ветке.
- Выполнить проверку веток реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run и HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. В них нужно найти параметры, где записаны пути к вредоносным файлам (обычно они выглядят как набор букв и цифр с расширением .exe) и убрать их.
- Открыть проводник Windows и удалить файлы, пути к которым ранее были найдены в параметрах Shell и Userinit. Они могут храниться в папках Users, Temp и так далее, также могут быть скрытыми – стоит это учитывать.
- Перезагрузить компьютер в обычном режиме. После выполнения всех манипуляций блокировка Windows будет снята, и операционной системой можно будет пользоваться без каких-либо проблем.
Использование загрузочных дисков
Для борьбы с мошенниками можно также воспользоваться специальными загрузочными дисками (флешками), позволяющими разблокировать Windows 7, 8, 10 или XP. Рассмотрим их на примере загрузочных дисков Kaspersky Rescue Disk и AntiWinLocker LiveCD.
Kaspersky Rescue Disk
Эту утилиту выпустила «Лаборатория Касперского» на случай, если пользователи столкнутся со зловредным баннером, требующим отправить смс на номер телефона. Решить с ее помощью проблему, когда мошенники заблокировали компьютер можно, выполнив следующие шаги:
- Скачать программу по ссылке и записать образ на загрузочный накопитель.
- Загрузиться с носителя на зараженном компьютере (не забыть предварительно установить в BIOS приоритет загрузки с диска/флешки, а также нажать любую клавишу, когда на экране появится текст «Press any key to boot from CD or DVD»).
- Выбрать пункт «Графический режим» в появившемся меню.
- Отметить пункты «Загрузочные секторы», «Скрытые объекты автозапуска», чтобы утилита выполнила проверку зараженных областей диска. Можно при желании отметить галочкой раздел «С», чтобы проверка была проведена на системном разделе жесткого диска – это займет больше времени, но повысит вероятность успешного обезвреживания вируса, из-за которого произошла блокировка Windows.
- После проверки антивирусная программа представит отчет, в котором будут отмечены найденные и вылеченные либо удаленные вредоносные файлы.
- Далее необходимо перезагрузить ПК в нормальном режиме – окно, оповещающее, что компьютер заблокирован, уже не появится.
AntiWinLocker LiveCD
Этот загрузочный диск также создан для решения проблемы с ситуациями, когда вирус заблокировал доступ к операционной системе и не дает пользователю нормально работать с компьютером. Желательно заранее создать этот загрузочный диск и всегда иметь его под рукой, чтобы при необходимости быстро разблокировать зараженную вирусом ОС. Последовательность действий при использовании AntiWinLocker LiveCD следующая:
- Скачать образ диска по ссылке и записать его на загрузочный носитель данных (компакт-диск или флешку).
- Загрузиться с накопителя на заблокированном компьютере.
- В главном меню, которое появится после загрузки, нажать кнопку «Старт».
- Нажать кнопку «Автоматически» в окне с выбором вариантов действий.
- Дождаться завершения сканирования файлов системы, в появившемся окне установить галочки напротив выделенных красным цветом названий файлов и нажать кнопку «Восстановить».
- В следующем окне выбрать вариант «Вручную».
- Выбрать раздел диска, где размещена операционная система (чаще это диск С:) и нажать кнопку «Загрузить».
- Если в этом окне присутствует текст, выделенный красным, необходимо исправить поврежденные вредоносной программой параметры реестра: нажать по очереди кнопки «По умолчанию» и «Сохранить».
- Выйти из AntiWinLocker LiveCD и перезагрузить компьютер в обычном режиме.
Как не стать жертвой вируса
Чтобы не получить в один прекрасный момент сообщение о блокировке Windows, необходимо позаботиться о компьютерной безопасности.
Во-первых, желательно использовать лицензионную версию Windows и скачивать апдейты только с официального сайта Microsoft – мошенники могут маскировать вирус под обновление, блокирующее Windows 7/8/10.
Во-вторых, нужно обязательно установить антивирус – даже если пользователь не желает тратиться на платные антивирусные программы вроде Антивируса Касперского или Dr.Web, он может воспользоваться бесплатными аналогами, обеспечивающими хорошую защиту ОС от появления блокирующих баннеров и утечки личных данных.
В-третьих, крайне важно следить за типами файлов, которые скачиваются на компьютер. Если при сохранении изображения, фильма или аудиофайла начинается загрузка файла с расширением .exe, нужно сразу же отменять операцию – с 99%-й вероятностью можно утверждать, что идет скачивание вируса.
В-четвертых – еще раз повторимся – даже если зловредная программа заблокировала компьютер, ни в коем случае не нужно пересылать деньги на указанный номер телефона: они просто уйдут в карман злоумышленников без положительного результата. Без паники, спокойно выполните приведенные в этой статье действия – и проблема будет решена.