1. Головна
  2. Статьи
  3. Опасный для всех компов вирус: Троян Винклокер

Опасный для всех компов вирус: Троян Винклокер

1 хв
11 Apr
Опасный для всех компов вирус: Троян Винклокер


Сегодня мы поговорим про Троян Винклокер. Про Винклокер сказано также здесь .





Вирусы часто чтоб привлечь ваше внимание маскируются. Винклокер к примеру может предложить вам скачать компьютерную игру, как ниже,


а затем после того как нажмешь "начать игру", вам представляется следующая картина:


То есть злоумышленики хотят чтобы вы заплатили им деньги, и тогда они пришлют вам пароль. 

Не верьте им!

На практике, многие пользователи даже когда платили деньги,  им пароль не присылался. Да и тем более, злоумышленики могут с вас потребовать такую сумму денег, которую вам не в силах заплатить.

Что делать если вы попались к Трояну Винклокеру, в его объятия?!

Есть ли какой нибудь способ? 

Есть!

Вот эти методы:

  • Ни в коем случае нельзя выполнять требования злоумышленников. Следует помнить, что стоимость SMS может доходить до нескольких десятков долларов независимо от указанной в «интерфейсе» вируса. Практически во всех случаях после отправки SMS обещанный код разблокировки не приходит.
  • В случае предлагаемой оплаты по SMS можно позвонить в службу поддержки контент-аггрегатора, которому принадлежит номер. Часто они могут сообщить код разблокировки.
  • При возможности воспользоваться онлайн-сервисами подбора кода разблокировки на сайтах производителей антивирусного ПО.
  • Произвести полное сканирование компьютера антивирусной утилитой со свежими обновлениями антивирусной базы (например, «одноразовым» антивирусом Dr.Web CureIt или Kaspersky Virus Removal Tool, скачать его желательно со «здорового» компьютера, даже в случае успешной разблокировки системы подбором кода).
  • Если вирус блокирует доступ к определённым ресурсам Интернет (обычно к популярным социальным сетям и сайтам с антивирусным ПО), необходимо удалить лишние записи (кроме строки «127.0.0.1 localhost») из файла C:\WINDOWS\System32\drivers\etc\hosts и очистить кэш DNS (командой ipconfig /flushdns от имени администратора), а также очистить cookies и кэш в браузере.
  • В некоторых случаях помогает перестановка даты в BIOS на пару лет назад.
  • При полной блокировке можно загрузиться в систему с помощью LiveCD и попытаться удалить трояна при помощи антивирусов.
  • Открыть диспетчер задач (если это возможно). Посмотреть процессы на предмет подозрительных. Попробовать завершить процесс. Скорее всего, процесс перезапустится. Перезагрузиться в безопасном режиме и удалить программу вручную.
  • Если троян блокирует обычный безопасный режим, то при нажатии клавиши F8 необходимо выбрать безопасный режим с поддержкой командной строки. На данный момент времени большинство Винлокеров не способны его заблокировать. После загрузки надо запустить редактор реестра при помощи команды regedit и искать там подозрительные записи. В первую очередь, необходимо проверить ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, в частности в параметре Shell должно быть написано explorer.exe, а в параметре Userinit - C:\WINDOWS\System32\userinit.exe, (обязательно с запятой). Если там всё в порядке, необходимо проверить этот же путь, но в ветке HKEY_CURRENT_USER. Также желательно проверить ветки, в которых прописаны автозагружаемые программы, например, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. В случае обнаружения подозрительных записей их необходимо заменить на стандартные значения (в случае с автозагрузкой удалить). После перезагрузки и входа в систему трояна можно удалить вручную по уже известному пути. Этот способ хоть и эффективен, но подходит только для опытных пользователей.
  • Кроме того, некоторые трояны заменяют собой один из файлов userinit.exe, winlogon.exe и explorer.exe в соответствующих каталогах. Рекомендуется восстановить их из дистрибутива или каталога C:\WINDOWS\System32\DLLCACHE.
  • Троян может создавать раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe, где прописывает вызов своего исполняемого файла (чаще всего debug.exe), а для возобновления работы системы необходимо удалить данный раздел[1].

Одна из последних версий трояна не делает ничего из вышеперечисленного, а создает файл с именем по типу 0.5887702400506266.exe в корневой папке профиля пользователя и прописывает в реестре по адресу любой ветки, откуда может производиться автозапуск (например, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options) раздел с непонятным именем. Если на компьютере есть второй профиль администратора, то его легко вычистить, зайдя из под другого профиля, просто удалив файл и ветку реестра. Однако было замечено, что бесплатные и платные антивирусы не реагируют на файл. Также можно найти и удалить этот файл, войдя в Windows через безопасный режим.


Вот...

Кто попался на эту ловушку, выручат тебя, товарищ, выше описанные действия.

...

Вирусы прикрываются как:

  • под видом предложений скачать что либо,
  • под видом компьютерных игр

И многое другое!

Ну что ж, в следующей статье я вам еще что-нибудь интересненькое расскажу. 

До свиданья! До следующей встречи в следующей статье!

Ждите новую статью!



Друг, поделись этой статьей в социальных сетях. Подпишись на наш сайт, и мы тебе (фильм) дадим скидку на все наши продукты!

вирус который очень опасен троян винклокер троян винклокер как избавиться викиучебник
04Aug
Kaspersky: Защита от опасных компьютерных вирусов!
Коментарі
* Електронний лист не публікується на веб-сайті.