Jak pozbyć się banera ransomware. Jak odblokować system Windows przed wirusem ransomware

Jak pozbyć się banera

Mając ogromne poczucie wdzięczności dla naszego czytelnika za link do strony z wirusami, na której mój komputer mógłby zostać zainfekowany banerem ransomware, wyłączyłem program antywirusowy i pewne zabezpieczenia, które zostaną omówione poniżej, i skorzystałem z tego linku. Otworzyła się strona, na której udało mi się zobaczyć jedynie zarys gitary, dosłownie sekundę później, uruchomił się kod wirusowy osadzony na stronie głównej tej witryny, czyli javascript, a mój pulpit został zablokowany przez baner ransomware, ja nawet nie miałem czasu w nic kliknąć (oczywiście nie podam linku do strony z wirusem, administracja tej strony, później napisałem list i wirus został usunięty ze strony, ale ogólnie w życiu wszystko może się zdarzyć, żadna strona nie jest w 100% odporna na ataki hakerskie).

Cóż, teraz szczegółowa historia o jak pozbyć się banera, jeśli już go złapałeś. Podane informacje dotyczą systemów operacyjnych Windows Vista, .

Pierwszą rzeczą, którą zrobimy, będzie wejście na strony internetowe wiodących firm antywirusowych, które świadczą usługi odblokowania Twojego komputera przed banerem ransomware.

  1. Dr.Web https://www.drweb.com/xperf/unlocker
  2. NOD32 http://www.esetnod32.ru/.support/winlock
  3. Kaspersky Lab http://sms.kaspersky.ru

Niestety nie udało mi się znaleźć kodu odblokowującego; najwyraźniej wirus został napisany niedawno.
Drugą rzeczą, którą możesz spróbować, jest ponowne uruchomienie komputera i podczas ładowania naciśnij F-8, chodźmy do Rozwiązywanie problemów, jeśli masz zainstalowany system Windows 7; w systemie operacyjnym Windows XP przejdź od razu do trybu awaryjnego z obsługą wiersza poleceń (przeczytaj, co zrobić poniżej).

Obecnie żyjemy w erze komputerów. Komputer jest obecnie w każdym domu i biurze, i to nawet nie tylko w jednym. Komputery służą do nauki i rozrywki. A jeśli masz internet, możesz opłacić media i dokonać przelewu bankowego. Jest to naprawdę bardzo wygodne i znacznie ułatwia nam życie. I wszystko byłoby dobrze, gdyby wezwano przestępstwa cyberprzestępczość, psując nam humor i odciążając portfel :-).

Przyjrzyjmy się bliżej, czym jest i jak możemy z nim walczyć.

Elektroniczne systemy płatności Webmoney, Qiwi, Yandex money i inne – wszyscy z nich korzystaliśmy i docenialiśmy ich możliwości. Niektóre z nich są bezpieczniejsze i posiadają link do konkretnego komputera, podwójne uwierzytelnianie poprzez SMS oraz aplikację mobilną instalowaną na smartfonie lub tablecie. Niektóre są mniej bezpieczne i przechowują zapisane hasła bezpośrednio w przeglądarce, skąd jeśli chcesz, możesz je skopiować i uzyskać dostęp do swojego konta. Aby temu zapobiec, należy chronić swój komputer za pomocą programów antywirusowych.

Dlatego, Zawsze powinieneś mieć zainstalowany na swoim komputerze program antywirusowy z najnowszymi aktualizacjami!


Większości manekinów wystarczy zainstalowanie darmowego antywirusa Avast. Przynajmniej coś, a nie nic.

Przyjrzyjmy się sytuacji, gdy jesteśmy na komputerze w ogóle żadnego antywirusa. Co to znaczy? Nawet korzystanie z Internetu przez dwie do trzech godzin z odinstalowanym lub wyłączonym programem antywirusowym zapewni Ci duże prawdopodobieństwo „pobrania” złośliwego oprogramowania z Internetu. W jakim celu pisane są te programy? A cel jest prosty: przestępca, gdy grozi mu za to odpowiedzialność karna, nie będzie rozpowszechniał wirusów, jeśli nie będzie miał z tego znaczących dochodów... Wirusy też. Ostatnio zostały napisane w celu zabrania pieniędzy. ukryte lub oczywiste sposoby.

Trojany

Ukrytą metodą Na Twoim komputerze instalowany jest szkodliwy program, tak zwany trojan. Przenika przez lukę w zabezpieczeniach komputera, na przykład gdy zapora sieciowa jest wyłączona lub podczas uzyskiwania dostępu do określonej grupy witryn. Najczęściej są to strony z treścią erotyczną. Z wyraźną metodą aby odebrać pieniądze, sam przelewasz pieniądze za odblokowanie komputera w taki czy inny sposób na konto przestępców. Co więcej, odblokowanie może w rzeczywistości nie nastąpić, ponieważ po przelaniu pieniędzy przestępcy po prostu nie będą Tobą zainteresowani.

Postanowiłem przeprowadzić ryzykowny eksperyment). Zaktualizowałem swoją antywirusową bazę danych i odwiedziłem wyraźnie podejrzaną witrynę, aby pokazać, jak ona wygląda. Natychmiast zaoferowano nam pobranie nieznanego pliku sterownika, nawet bez określenia modelu kamery internetowej.


Nazwa witryny jest widoczna na zrzucie ekranu i nie niesie ze sobą żadnego znaczenia semantycznego. Najprawdopodobniej zrobiono to celowo, aby skojarzyć tę witrynę po nazwie z jak największą liczbą zapytań w wyszukiwarce, tak aby nie można było zauważyć rozbieżności pomiędzy tematami. Co więcej, na ekranie widzimy dużą liczbę osób, które pobrały i rzekomo im podziękowały.

Witryny z oszustwami

Bardzo często podczas wyszukiwania widzimy imitację stron forum o niejasnej nazwie i ofercie pobrania potrzebnego nam pliku. Następnie pojawia się pytanie od „użytkownika”: proszą o wysłanie SMS-a w celu pobrania tego pliku. Chętnie mu tłumaczą, że to ochrona przed botami, wszystko zostało sprawdzone, nie martw się



Oczywiście po wysłaniu SMS-a, który okaże się opłacony, z Twojego konta zostanie pobrana spora sumka pod marnym pretekstem świadczenia usług rozrywkowych lub informacyjnych.

Nigdy też nie instaluj na swoim komputerze różnego rodzaju pasków narzędzi, pomimo wszystkich zalet tej instalacji, które specjalnie wynajęci doświadczeni autorzy barwnie opiszą Ci:


Lepiej powstrzymać się od odwiedzania witryn, jeśli zobaczymy to ostrzeżenie:


Chociaż jest to możliwe – to tylko reasekuracja ze strony programistów Yandex. Dotyczy to również różnych rozszerzeń pochodzących z niezweryfikowanych źródeł. Pod przykrywką często ukrywają się wszelkiego rodzaju wirusy.

Banery

Przyjrzyjmy się, jak komputer z zainstalowanym programem antywirusowym, ale bez najnowszych baz danych i włączonej zapory sieciowej, zostaje zainfekowany?

Najczęściej niedoświadczony użytkownik nieświadomie pobiera na swój komputer złośliwe oprogramowanie. Można go zamaskować pod dowolną postacią, na przykład narzędziem lub sterownikiem z samorozpakowującym się archiwum z rozszerzeniem *.exe, a nawet, jak to miało miejsce w przypadku mojego szefa, jako ważny list, rzekomo od sądu arbitrażowego. Tak wygląda jeden z możliwych banerów ransomware, który może pojawić się na Twoim komputerze:


Ludzie biznesu często mają wiele problemów. Straciwszy rozum, natychmiast pobierają załącznik z wiadomości e-mail i otwierają go. Ponadto w tym przypadku plik nazwano „List”. I nawet ikona miała formę koperty. Dla osób z niewielkim wykształceniem w dziedzinie informatyki to niestety wystarczy. To właśnie niestandardowe rozszerzenie pliku i jego ikona zaalarmuje nas, bardziej doświadczonych użytkowników.


Następnie na pulpicie pojawił się baner z nazwą Watnik 91


Nie jest jasne, kogo chcieli w ten sposób wprowadzić w błąd, najwyraźniej tylko na tyle była zdolna ich wyobraźnia.

Tak więc na tym banerze wydrukowano tekst, że wszystkie Twoje pliki z rozszerzeniem DOC, PDF, XLS, JPEG i ewentualnie niektóre inne zostały zaszyfrowane. Udało nam się je odszyfrować, ale dopiero po dwóch tygodniach korespondencji i przesłaniu próbek zaszyfrowanych plików na specjalną stronę w celu zapewnienia pomocy pomocnikom.

Usuwanie banera za pomocą AntySMS

Spotkałem się już wcześniej z banerami ransomware. W tym przypadku mam dysk startowy o nazwie Anti SMS, stworzony specjalnie do zwalczania banerów ransomware. Bardzo łatwo się z nim pracuje. Wystarczy kilka razy nacisnąć klawisz BIOS w ciągu pierwszych 5 sekund po uruchomieniu komputera. Dla różnych wersji płyt głównych są to różne klawisze, np. Usuń, F2, F11 i inne, zobacz komunikaty na ekranie monitora natychmiast po uruchomieniu komputera.



Po załadowaniu do pamięci RAM komputera okrojonej wersji systemu operacyjnego, wystarczy nacisnąć jeden przycisk-ikonę na ekranie monitora i poczekać na komunikat, że komputer został wyczyszczony. Autostart komputera, na którym wirus się zarejestrował, zostanie wyczyszczony. Po ponownym uruchomieniu komputera zobaczymy, że baner ransomware zniknął.


Dysk rozruchowy lub flash

Co zrobić, jeśli Twój komputer jest zainfekowany, na ekranie pojawia się podobny baner blokujący dostęp do Internetu i działanie komputera, a Ty nie masz takiego dysku? Cóż, okazałeś się nieprzygotowany na taki obrót wydarzeń!?

Następnie możesz uruchomić komputer z dysku Linux Live Cd, na przykład Ubuntu lub Runtu, z domyślną obsługą dostępu do Internetu przez Ethernet. Ci, którzy są w temacie, zrozumieją


A następnie pobierz narzędzie Dr web CureIt na dysk flash


Lub zaloguj się i wykonaj te czynności z innego komputera. To narzędzie pozwoli Ci oczyścić komputer z wirusów po uruchomieniu systemu Windows w trybie awaryjnym. Aby to zrobić, musisz zapisać narzędzie na dysku flash, a po załadowaniu systemu Windows w trybie awaryjnym uruchomić to narzędzie z dysku flash.


To narzędzie jest całkowicie bezpłatne i zawiera najnowsze wersje bazy danych.

Mam nadzieję, że po przeczytaniu tego artykułu Twój komputer będzie niezawodnie chroniony. A jeśli na Twoim pulpicie pojawi się baner ransomware, możesz go szybko i niezależnie usunąć.

Po ponownym uruchomieniu komputera na monitorze pojawia się prośba o wysłanie płatnego SMS-a lub wpłatę pieniędzy na konto w telefonie komórkowym?

Poznaj to, tak wygląda typowy wirus ransomware! Wirus ten przybiera tysiące różnych form i setki odmian. Łatwo go jednak rozpoznać po prostym znaku: prosi o wpłatę (zadzwonienie) na nieznany numer, w zamian obiecując odblokowanie komputera. Co robić?

Po pierwsze, zdaj sobie sprawę, że jest to wirus, którego celem jest wyssanie z Ciebie jak największej ilości pieniędzy. Dlatego nie poddawaj się jego prowokacjom.

Pamiętaj o prostej rzeczy: nie wysyłaj żadnych SMS-ów. Wycofują wszystkie pieniądze, które są na saldzie (zwykle na wniosku jest napisane 200-300 rubli). Czasami wymagają wysłania dwóch, trzech lub więcej SMS-ów. Pamiętaj, że wirus nie zniknie z Twojego komputera, niezależnie od tego, czy wyślesz pieniądze oszustom, czy nie. Trojan winloc pozostanie na Twoim komputerze, dopóki sam go nie usuniesz.

Plan działania jest następujący: 1. Usuń blokadę z komputera. 2. Usuń wirusa i wylecz komputer.

Sposoby odblokowania komputera:

1. Wprowadź kod odblokowujący I. Najczęstszy sposób radzenia sobie z nieprzyzwoitym banerem. Kod znajdziesz tutaj: Dr.web, Kasperskiy, Nod32. Nie martw się, jeśli kod nie działa, przejdź do następnego kroku.

2. Spróbuj uruchomić komputer w trybie awaryjnym. Aby to zrobić, po włączeniu komputera naciśnij klawisz F8. Gdy pojawi się okno opcji rozruchu, wybierz „tryb awaryjny ze obsługą sterowników” i poczekaj na uruchomienie systemu.

2a. Teraz spróbujmy przywrócić system(start-standard-system-restore) do wcześniejszego punktu kontrolnego. 2b. Stwórz nowe konto. Przejdź do Start – Panel sterowania – Konta. Dodaj nowe konto i uruchom ponownie komputer. Po włączeniu wybierz nowo utworzone konto. Przejdźmy dalej.

3. Spróbuj ctrl+alt+del- powinien pojawić się menedżer zadań. Uruchamiamy narzędzia lecznicze za pośrednictwem menedżera zadań. (wybierz plik - nowe zadanie i nasze programy). Innym sposobem jest przytrzymanie Ctrl + Shift + Esc i trzymając te klawisze, wyszukaj i usuń wszystkie dziwne procesy, aż do odblokowania pulpitu.

4. Najbardziej niezawodny sposób- Oznacza to instalację nowego systemu operacyjnego (systemu operacyjnego). Jeśli koniecznie musisz zachować stary system operacyjny, rozważymy bardziej pracochłonny sposób poradzenia sobie z tym banerem. Ale nie mniej skuteczne!

Inny sposób (dla zaawansowanych użytkowników):

5. Bootowanie z dysku LiveCD który ma program do edycji rejestru. System został uruchomiony, otwórz edytor rejestru. Zobaczymy w nim rejestr bieżącego systemu i zainfekowanego (jego gałęzie po lewej stronie są wyświetlane z podpisem w nawiasach).

Znajdujemy klucz HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon – tam szukamy Userinit – usuwamy wszystko po przecinku. UWAGA! NIE MOŻNA usunąć samego pliku „C:\Windows\system32\userinit.exe”.);

Sprawdź wartość klucza HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell, powinna to być explorer.exe. Skończyliśmy z rejestrem.

Jeżeli pojawi się błąd „Edycja rejestru zabroniona przez administratora systemu”, pobierz program AVZ. Otwórz „Plik” - „Przywracanie systemu” - Zaznacz „Odblokuj edytor rejestru”, a następnie kliknij „Wykonaj wybrane operacje”. Edytor jest ponownie dostępny.

Uruchamiamy narzędzie do usuwania Kaspersky i dr.web curit i skanujemy nimi cały system. Pozostaje tylko zrestartować komputer i przywrócić ustawienia BIOS-u. Jednak wirus NIE został jeszcze usunięty z komputera.

Leczenie komputera przed trojanem WinLock

Do tego potrzebujemy:
- Edytor rejestru ReCleaner
- popularny program antywirusowy Usuwanie narzędzia Kaspersky
- słynny program antywirusowy Dr.web
- skuteczny program antywirusowy Removeit pro
- Narzędzie do naprawy rejestru Plstfix
- Program do usuwania plików tymczasowych ATF Cleaner

1. Konieczne jest pozbycie się wirusa z systemu. Aby to zrobić, uruchom edytor rejestru. Przejdź do Menu - Zadania - Uruchom Edytor rejestru. Trzeba znaleźć:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon – tam szukamy sekcji Userinit – usuwamy wszystko po przecinku. UWAGA! NIE MOŻNA usunąć samego pliku „C:\Windows\system32\userinit.exe”.);

Spójrz na wartość klucza HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell, tam powinien być explorer.exe. Skończyliśmy z rejestrem.

Teraz wybierz zakładkę „Uruchamianie”. Przeglądamy elementy startowe, zaznaczamy pola i usuwamy (w prawym dolnym rogu) wszystko, czego nie zainstalowałeś, pozostawiając tylko pulpit i ctfmon.exe. Należy usunąć pozostałe procesy svchost.exe i other.exe z katalogu Windows.
Wybierz Zadanie - Wyczyść rejestr - Użyj wszystkich opcji. Program przeskanuje cały rejestr i usunie wszystko trwale.

2. Aby znaleźć sam kod, potrzebujemy następujących narzędzi: Kaspersky, Dr.Web i RemoveIT. Uwaga: RemoveIT poprosi Cię o aktualizację baz sygnatur wirusów. Podczas aktualizacji konieczne jest ustanowienie połączenia internetowego!
Za pomocą tych programów skanujemy dysk systemowy i usuwamy wszystko, co znajdą. Jeśli chcesz, możesz na wszelki wypadek sprawdzić wszystkie dyski komputera. Zajmie to znacznie dłużej, ale jest bardziej niezawodne.

3. Kolejnym narzędziem jest Plstfix. Przywraca rejestr po naszych działaniach na nim. W rezultacie menedżer zadań i tryb awaryjny zaczną ponownie działać.

4. Na wszelki wypadek usuń wszystkie pliki tymczasowe. Często kopie wirusa są ukryte w tych folderach. W ten sposób nawet dobrze znane programy antywirusowe mogą ich nie wykryć. Lepiej ręcznie usunąć wszystko, co nie będzie miało znaczącego wpływu na działanie systemu. Zainstaluj ATF Cleaner, zaznacz wszystko i usuń.

5. Uruchom ponownie system. Wszystko działa! jeszcze lepiej niż wcześniej :).

Dziś chcę porozmawiać Wyłudzanie SMS-ówza pośrednictwem Internetu i komputera . Oznacza to przypadki, gdy Twój komputer po odwiedzeniu określonych witryn zostaje zainfekowany banerami, które całkowicie lub częściowo blokują działanie systemu. Aby odblokować należy wysłać wiadomość na krótki numer.

Najpierw dowiedzmy się, jakie są rodzaje banerów ransomware. DO pierwszy typ zawierać banery, które pojawiają się dopiero po uruchomieniu przeglądarek internetowych (Internet Explorer, Opera, Mozilla Firefox, Google Chrome itp.). Banery te są również nazywane informatorzy .

Drugi typ banery umieszczane są na pulpicie i zajmują jego większą część, nie blokując przy tym uruchamiania innych programów, umożliwiając otwarcie Menu Głównego, Menedżera Zadań itp.

Trzeci typ banery są najbardziej obrzydliwe. Całkowicie blokuje pracę komputera, wymagając wysłania wiadomości SMS na krótki numer. W odpowiedzi obiecany jest kod odblokowujący. Nawet w Trybie Awaryjnym nie da się normalnie zalogować do systemu. Pamiętaj o jednym: nigdy nie wysyłaj SMS-ów na podane numery! Jest to czyste oszustwo podlegające odpowiednim przepisom Kodeksu karnego. Żaden użytkownik nie otrzymał jeszcze wiadomości SMS z odpowiedzią zawierającą kod odblokowujący baner.

Więc nikt nie wie jak, ale baner dostał się na twój komputer. Niezależnie od tego, czy stało się to po kliknięciu linku podanego w wiadomości e-mail, czy po prostu pobraniu czegoś – istnieje wiele opcji. Co zrobić w tym przypadku? Najpierw musisz zdecydować, jaki typ banera ransomware znajduje się na Twoim komputerze. Jeśli zamyka się wraz z przeglądarką, jest to pierwszy typ; jeśli uruchamiany jest Menedżer zadań, Notatnik, Word lub jakakolwiek inna aplikacja, jest to drugi typ, jeśli nic nie pomaga i baner się zawiesza, jest to trzeci.

Aby usunąć pierwszy typ ransomware, musisz dokładnie przejrzeć wszystkie ustawienia przeglądarki i usunąć wszystkie wtyczki, dodatki i rozszerzenia, których nie zainstalowałeś. To samo robimy dla apletów JavaScript i bibliotek DLL.

Drugi rodzaj oprogramowania ransomware SMS nie jest tak łatwy do usunięcia z systemu, ale jest również możliwy. Pierwszym sposobem jest odwiedzenie strony internetowej firmy antywirusowej. Wszystkie mniej lub bardziej duże firmy już dawno zamieściły na swoich oficjalnych stronach informacje o tym, jak usunąć baner ransomware „legalnymi” metodami. Musisz znaleźć na stronie informacje dotyczące konkretnie krótkiego numeru, na który zostaniesz poproszony o wysłanie wiadomości SMS. Tam na stronie podany jest również kod odblokowujący, który jest całkowicie darmowy. Po odblokowaniu zaktualizuj bazy sygnatur antywirusa dla zainstalowanego antywirusa i wykonaj pełne skanowanie całego komputera. Bezlitośnie usuń każdą infekcję, którą znajdziesz. Jeżeli nie masz zainstalowanego żadnego programu antywirusowego, pobierz darmowe narzędzie CureIt ze strony internetowej Dr.Web i sprawdź nim swój komputer. Po sprawdzeniu wyczyść rejestr za pomocą specjalnego narzędzia - narzędzia do czyszczenia rejestru lub zrób to ręcznie, jeśli oczywiście to rozumiesz.

Jeśli masz baner ransomware trzeciego typu, nie możesz obejść się bez dysku LiveCD lub bez wyjmowania dysku twardego i podłączania go do innego komputera. Procedura jest następująca: uruchom komputer z dysku, uruchom CureIt, sprawdź komputer pod kątem infekcji i usuń wszystko, co znalazłeś. Ponownie uruchom narzędzie do czyszczenia rejestru i usuń klucze powiązane ze złośliwym oprogramowaniem. Jeśli nie masz LiveCD, podłącz swój dysk twardy do innego komputera i uruchom na nim program antywirusowy, oczywiście po uprzedniej aktualizacji baz wirusów. Potem restartujemy i cieszymy się życiem.

Z pewnością co czwarty użytkownik komputera osobistego zetknął się z różnymi oszustwami w Internecie. Jednym z rodzajów oszustwa jest baner blokujący działanie systemu Windows i wymagający wysłania SMS-a na płatny numer lub żądający kryptowaluty. Zasadniczo jest to tylko wirus.

Aby walczyć z oprogramowaniem ransomware banner, musisz zrozumieć, co to jest i w jaki sposób przenika do Twojego komputera. Zwykle baner wygląda tak:

Ale może istnieć wiele innych odmian, ale istota jest taka sama - oszuści chcą na Tobie zarobić.

Sposoby przedostawania się wirusa do komputera

Pierwszą opcją „infekcji” są pirackie aplikacje, narzędzia i gry. Oczywiście internauci są przyzwyczajeni do tego, że większość tego, czego chcą, znajdują się w Internecie „za darmo”, jednak pobierając pirackie oprogramowanie, gry, różne aktywatory i inne rzeczy z podejrzanych stron, ryzykujemy zarażeniem wirusami. W takiej sytuacji zwykle pomaga.

System Windows może zostać zablokowany z powodu pobranego pliku z rozszerzeniem „ .exe" Nie oznacza to, że powinieneś odmawiać pobierania plików z tym rozszerzeniem. Pamiętaj tylko o tym” .exe„może dotyczyć wyłącznie gier i programów. Jeśli pobierzesz film, piosenkę, dokument lub zdjęcie, a jego nazwa ma na końcu „.exe”, prawdopodobieństwo pojawienia się banera ransomware gwałtownie wzrasta do 99,999%!

Istnieje również trudna sztuczka z rzekomo koniecznością aktualizacji Flash Playera lub przeglądarki. Może się zdarzyć, że będziesz pracować w Internecie, przechodzić ze strony na stronę, a pewnego dnia znajdziesz napis, że „Twój Flash Player jest nieaktualny, zaktualizuj go”. Jeśli klikniesz na ten baner, który nie przeniesie Cię na oficjalną stronę adobe.com, oznacza to, że jest to w 100% wirus. Dlatego sprawdź przed kliknięciem przycisku „Aktualizuj”. Najlepszym rozwiązaniem byłoby całkowite zignorowanie takich wiadomości.

Wreszcie, nieaktualne aktualizacje systemu Windows osłabiają bezpieczeństwo systemu. Aby chronić swój komputer, staraj się instalować aktualizacje na czas. Tę funkcję można skonfigurować w „Panele sterowania -> Windows Update” w tryb automatyczny, aby się nie rozpraszać.

Jak odblokować system Windows 7/8/10

Jedną z prostych opcji usunięcia banera ransomware jest. Pomaga w 100%, ale warto ponownie zainstalować system Windows, gdy nie masz ważnych danych na dysku „C”, których nie miałeś czasu zapisać. Podczas ponownej instalacji systemu wszystkie pliki zostaną usunięte z dysku systemowego. Dlatego jeśli nie chcesz ponownie instalować oprogramowania i gier, możesz skorzystać z innych metod.

Po wyleczeniu i pomyślnym uruchomieniu systemu bez banera ransomware należy podjąć dodatkowe kroki, w przeciwnym razie wirus może pojawić się ponownie lub po prostu wystąpią pewne problemy w działaniu systemu. Wszystko to znajduje się na końcu artykułu. Wszystkie informacje zostały przeze mnie osobiście sprawdzone! A więc zaczynajmy!

Pomoże nam Kaspersky Rescue Disk + WindowsUnlocker!

Będziemy używać specjalnie opracowanego systemu operacyjnego. Cała trudność polega na tym, że musisz pobrać obraz na swój komputer służbowy i/lub (przewiń artykuły, tam jest).

Kiedy to będzie gotowe, potrzebujesz. W momencie uruchomienia pojawi się mały komunikat, np. „Naciśnij dowolny klawisz, aby uruchomić komputer z dysku CD lub DVD”. Tutaj musisz nacisnąć dowolny przycisk na klawiaturze, w przeciwnym razie uruchomi się zainfekowany system Windows.

Podczas ładowania naciśnij dowolny przycisk, następnie wybierz język – „Rosyjski”, zaakceptuj umowę licencyjną przyciskiem „1” i skorzystaj z trybu uruchamiania – „Grafikowy”. Po uruchomieniu systemu operacyjnego Kaspersky nie zwracamy uwagi na automatycznie uruchamiający się skaner, ale przechodzimy do menu „Start” i uruchamiamy „Terminal”


Otworzy się czarne okno, w którym wpisujemy polecenie:

odblokowujący okna

Otworzy się małe menu:


Wybierz „Odblokuj system Windows” za pomocą przycisku „1”. Sam program wszystko sprawdzi i poprawi. Teraz możesz zamknąć okno i sprawdzić cały komputer za pomocą uruchomionego skanera. W oknie zaznacz dysk z systemem operacyjnym Windows i kliknij „Uruchom skanowanie obiektów”


Czekamy na zakończenie sprawdzania (może to zająć dużo czasu) i wreszcie ponowne uruchomienie.

Jeśli masz laptopa bez myszy, a touchpad nie działa, sugeruję skorzystanie z trybu tekstowego dysku Kaspersky. W takim przypadku po uruchomieniu systemu operacyjnego należy najpierw zamknąć menu otwierane przyciskiem „F10”, a następnie wprowadzić to samo polecenie w wierszu poleceń: Windowsunlocker

Odblokowanie w trybie awaryjnym, bez specjalnych obrazów

Dzisiaj wirusy takie jak Winlocker stały się mądrzejsze i blokują ładowanie systemu Windows w trybie awaryjnym, więc najprawdopodobniej nie odniesiesz sukcesu, ale jeśli nie ma obrazu, spróbuj. Wirusy są różne i na każdego mogą zadziałać różne metody, ale zasada jest ta sama.

Uruchom ponownie komputer. Podczas uruchamiania należy naciskać klawisz F8, aż pojawi się menu Zaawansowane opcje uruchamiania systemu Windows. Musimy użyć strzałek w dół, aby wybrać z listy element o nazwie „Tryb awaryjny z obsługą wiersza poleceń”.

Tutaj musimy przejść i wybrać żądaną linię:

Następnie, jeśli wszystko pójdzie dobrze, komputer uruchomi się i zobaczymy pulpit. Świetnie! Ale to nie znaczy, że teraz wszystko działa. Jeśli nie usuniesz wirusa i po prostu uruchomisz ponownie komputer w trybie normalnym, baner pojawi się ponownie!

Jesteśmy leczeni przy użyciu systemu Windows

Musisz przywrócić system, gdy baner blokujący jeszcze nie istniał. Przeczytaj uważnie artykuł i wykonaj wszystko, co jest tam napisane. Pod artykułem znajduje się film.

Jeśli to nie pomoże, naciśnij przyciski „Win + R” i wpisz polecenie w oknie, aby otworzyć edytor rejestru:

regedit

Jeśli zamiast pulpitu zostanie uruchomiona czarna linia poleceń, po prostu wpisz polecenie „regedit” i naciśnij „Enter”. Musimy sprawdzić niektóre sekcje rejestru pod kątem obecności wirusów, a ściślej mówiąc, złośliwego kodu. Aby rozpocząć tę operację, przejdź do tej ścieżki:

HKEY_LOCAL_MACHINE\Software\Microsoft\WinNT\CurrentVersion\Winlogon

Teraz sprawdzamy w kolejności następujące wartości:

  • Shell – tutaj należy wpisać „explorer.exe”, nie powinno być innych opcji
  • Userinit – tutaj powinien być tekst „C:\Windows\system32\userinit.exe”,

Jeśli system operacyjny jest zainstalowany na innym dysku niż C:, litera będzie inna. Aby zmienić nieprawidłowe wartości, kliknij prawym przyciskiem myszy linię, którą chcesz edytować i wybierz „edytuj”:

Następnie sprawdzamy:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Nie powinno tu być w ogóle kluczy Shell i Userinit, jeśli są, usuń je.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

Pamiętaj też, aby:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

Jeśli nie jesteś pewien, czy musisz usunąć klucz, możesz po prostu najpierw dodać „1” do parametru. Ścieżka będzie niepoprawna, a program po prostu się nie uruchomi. Następnie możesz przywrócić go do stanu poprzedniego.

Teraz musisz uruchomić wbudowane narzędzie do czyszczenia systemu, robimy to w ten sam sposób, w jaki uruchomiliśmy edytor rejestru „regedit”, ale piszemy:

czystymgr

Wybierz dysk z systemem operacyjnym (domyślnie C:) i po skanowaniu zaznacz wszystkie pola oprócz „Aktualizuj pliki kopii zapasowej pakietu”

I kliknij „OK”. Dzięki tej akcji być może wyłączyliśmy automatyczne uruchamianie wirusa, a następnie musimy wyczyścić ślady jego obecności w systemie, o czym przeczytamy na końcu artykułu.

Narzędzie AVZ

Pomysł jest taki, że w trybie awaryjnym uruchomimy dobrze znane narzędzie antywirusowe AVZ. Oprócz skanowania w poszukiwaniu wirusów program ma wiele funkcji rozwiązywania problemów systemowych. Ta metoda powtarza kroki mające na celu zamknięcie dziur w systemie po zadziałaniu wirusa, m.in. Aby się z nim zapoznać, przejdź do kolejnego punktu.

Naprawa problemów po usunięciu oprogramowania ransomware

Gratulacje! Jeśli to czytasz, oznacza to, że system uruchomił się bez banera. Teraz muszą sprawdzić cały system. Jeśli użyłeś dysku ratunkowego Kaspersky i tam zaznaczyłeś, możesz pominąć ten punkt.

Z działalnością złoczyńcy może wynikać jeszcze jeden problem - wirus może szyfrować Twoje pliki. Nawet po całkowitym usunięciu po prostu nie będziesz mógł korzystać ze swoich plików. Aby je odszyfrować, musisz użyć programów ze strony internetowej Kaspersky: XoristDecryptor i RectorDecryptor. Znajdują się tam również instrukcje użytkowania.

Ale to nie wszystko, bo... Winlocker najprawdopodobniej spłatał systemowi brudną figlę i zaobserwowane zostaną różne usterki i problemy. Na przykład Edytor rejestru i Menedżer zadań nie uruchamiają się. Do leczenia systemu użyjemy programu AVZ.

Podczas pobierania za pomocą przeglądarki Google Chrome mogą wystąpić problemy, ponieważ... Ta przeglądarka uważa program za złośliwy i nie pozwala na jego pobranie! To pytanie zostało już poruszone na oficjalnym forum Google, a w chwili pisania tego artykułu wszystko to już normalne.

Aby nadal pobierać archiwum za pomocą programu, należy przejść do „Pobieranie” i tam kliknąć „Pobierz złośliwy plik” :) Tak, rozumiem, że wygląda to trochę głupio, ale najwyraźniej Chrome uważa, że ​​program może zaszkodzić przeciętnemu użytkownikowi . I to prawda, jeśli wepchniesz to gdziekolwiek! Dlatego ściśle przestrzegamy instrukcji!

Rozpakowujemy archiwum z programem, zapisujemy je na nośnik zewnętrzny i uruchamiamy na zainfekowanym komputerze. Przejdźmy do menu „Plik -> Przywracanie systemu”, zaznacz pola jak na obrazku i wykonaj operacje:

Idziemy teraz następującą ścieżką: „Plik -> Kreator rozwiązywania problemów”, następnie idź do „Problemy systemowe -> Wszystkie problemy” i kliknij przycisk „Start”. Program przeskanuje system, a następnie w wyświetlonym oknie zaznacz wszystkie pola z wyjątkiem „Wyłącz automatyczne aktualizacje systemu operacyjnego” i tych, które zaczynają się od frazy „Zezwalaj na automatyczne uruchamianie z...”.

Kliknij przycisk „Napraw zauważone problemy”. Po pomyślnym zakończeniu przejdź do: „Ustawienia przeglądarki i poprawki -> Wszystkie problemy”, tutaj zaznaczamy wszystkie pola i klikamy przycisk „Napraw zauważone problemy” w ten sam sposób.

To samo robimy z „Prywatnością”, ale tutaj nie zaznaczaj pól odpowiedzialnych za czyszczenie zakładek w przeglądarkach i cokolwiek innego, co uważasz za konieczne. Sprawdzamy w sekcjach „Czyszczenie systemu” i „Usuwanie oprogramowania reklamowego/paska narzędzi/porywacza przeglądarki”.

Na koniec zamknij okno bez opuszczania AVZ. W programie znajdziemy „Narzędzia -> Edytor rozszerzeń Eksploratora” i odznacz te elementy, które są zaznaczone na czarno. Przejdźmy teraz do: „Narzędzia -> Menedżer rozszerzeń przeglądarki Internet Explorer” i całkowicie usuń wszystkie linie w wyświetlonym oknie.

Powiedziałem już powyżej, że ta część artykułu jest również jednym ze sposobów wyleczenia systemu Windows z ransomware bannerowego. W takim przypadku musisz pobrać program na swój komputer służbowy, a następnie zapisać go na dysku flash lub dysku. Wszystkie czynności wykonujemy w trybie awaryjnym. Istnieje jednak inna opcja uruchomienia AVZ, nawet jeśli tryb awaryjny nie działa. Musisz zacząć od tego samego menu podczas uruchamiania systemu, w trybie „Rozwiązywanie problemów z komputerem”.

Jeśli masz go zainstalowanego, zostanie wyświetlony na samej górze menu. Jeśli go tam nie ma, spróbuj uruchomić system Windows, aż pojawi się baner, i odłącz komputer. Następnie włącz go - może zostać zaproponowany nowy tryb uruchamiania.

Uruchamiany z płyty instalacyjnej systemu Windows

Innym pewnym sposobem jest uruchomienie komputera z dowolnego dysku instalacyjnego systemu Windows 7-10 i wybranie tam opcji nie „Instaluj”, ale "Przywracanie systemu". Gdy narzędzie do rozwiązywania problemów jest uruchomione:

  • Musisz tam wybrać „Wiersz poleceń”.
  • W czarnym oknie, które się pojawi, wpisz: „notatnik”, tj. uruchom zwykły notatnik. Wykorzystamy go jako mini dyrygent
  • Przejdź do menu „Plik -> Otwórz”, wybierz typ pliku „Wszystkie pliki”
  • Następnie znajdź folder z programem AVZ, kliknij prawym przyciskiem myszy plik „avz.exe”, który ma zostać uruchomiony, i uruchom narzędzie za pomocą pozycji menu „Otwórz” (a nie pozycji „Wybierz”!).

Jeśli wszystko inne zawiedzie

Dotyczy przypadków, gdy z jakiegoś powodu nie można uruchomić komputera z dysku flash z nagranym obrazem Kaspersky lub programem AVZ. Wystarczy wyjąć dysk twardy z komputera i podłączyć go jako drugi dysk do komputera służbowego. Następnie uruchom komputer z NIEZAINFEKOWANEGO dysku twardego i przeskanuj SWOJ dysk skanerem Kaspersky.

Nigdy nie wysyłaj wiadomości SMS, o które proszą oszuści. Niezależnie od tekstu, nie wysyłaj wiadomości! Staraj się unikać podejrzanych witryn i plików i ogólnie czytaj. Postępuj zgodnie z instrukcjami, a wtedy Twój komputer będzie bezpieczny. I nie zapomnij o programie antywirusowym i regularnych aktualizacjach systemu operacyjnego!

Oto film, w którym możesz zobaczyć wszystko na przykładzie. Playlista składa się z trzech lekcji:

PS: która metoda Ci pomogła? Napisz o tym w komentarzach poniżej.

informacje o mobie