Probabil deja ați ghicit, despre ce vom vorbi acum? Da, da, da ... despre cei mai extortioniști de bani - viruși numiți Winlock. În realitate, aceste virusuri nu blochează nimic, ci doar lucrează pe toate ferestrele. Stupid, dar eficace.
Cei care întâlnesc întâi o astfel de scribbling de coderi tineri sunt adesea prinși pe momeala lor, trimiterea suma solicitate la numărul specificat. Poate că atunci când transferați fonduri către numărul atacatorului, veți primi un mesaj de răspuns cu ajutorul codului de deblocare. Cu toate acestea, elevii nu dau întotdeauna scrierile lor cu o funcție de deblocare a sistemului, atunci când introduc codul de deblocare corect. Înțelegeți voi: unele cunoștințe nu sunt suficiente, alte lecții trebuie să fie învățate, cel de-al treilea ficat să se antreneze. Ca rezultat, se obțin blocante similare ale sistemului.
Deci, astăzi vă voi spune cum să eliminați "Winlock" în modul cel mai accesibil.
Nu vă grăbiți să trimiteți suma necesară bani atacatorului, dar încercați să eliminați manual acest blocator. Cum să faceți acest lucru, vă voi spune cât mai detaliat posibil.
Despre virusul Winlock
A scrie un astfel de virus nu necesită cunoștințe profunde despre programare. Prin urmare, crearea unor astfel de programe a început să se ocupe de elevi, care au reușit să găsească pe Internet vaste instrucțiuni despre scrierea unui extortionator de virusi.
Trebuie să acordăm un credit studenților, care au scris atât de multe cuvinte interesante, din care propunerile s-au dovedit în cele din urmă.
Cu toate acestea, nu am înțeles exact ce ar trebui să fie tipărit pe o chitanță fiscală? Probabil un citat din codul penal.
producție
Numele fișierului: userinit.exe
Mărime fișier: 24576 octeți
Numele original: Gusn.exe
Nume intern: Gsn.exe
Versiune de fișier: 3.0.79.4
Eliminarea virusului Winlock
Deci, aveți acces la sistemul de fișiere al unității hard disk. Mai întâi de toate, trebuie să eliminăm sau să redenumim fișierul userinit.exe. care este localizat în C: \ Windows \ System32. Puteți șterge imediat fișierul taskmgr.exe din același folder. Figura de mai jos prezintă aceste două fișiere. Fiți atenți la pictograma acestor fișiere:
Fișierul original userinit.exe are o pictogramă complet diferită.
Acum trebuie să readucem vechiul nume la fișierul 03014DF3F.exe. care este localizat în C: \ Windows \ System32. Numele anterior al acestui fișier este userinit.exe. Da, nu ai interpretat greșit. Este userinit.exe.
Toată sarea este că virusul a redenumit fișierul original userinit.exe la 03014DF3F.exe. După aceea, virusul și-a plasat copia în directorul C: \ Windows \ System32, atribuind numele userinit.exe. Managerul de sarcini a fost, de asemenea, înlocuit cu o copie a virusului.
Acum trebuie să copiați fișierul original userinit.exe în folderul C: \ Windows \ System32 \ dllcache \.
Stop. Există deja un astfel de fișier în acest dosar. Da, așa este. Faptul că virusul chiar și în acest dosar a pierdut userinit.exe. Înlocuim vechiul fișier cu userinit.exe original.
Să ștergem și fișierul taskmgr.exe. Acest fișier a fost de asemenea suprascris de virusul extorcării.
După aceea, accesați directorul C: \ Documents and Settings \ All Users \ Application Data \. Localizați fișierul 22CC6C32.exe acolo și ștergeți-l.
Următorul pas este să reporniți computerul, apoi să activați modul: "Modul de siguranță cu suport pentru linia de comandă". Vă amintiți că acest mod este activat prin apăsarea butonului F8?
Alegeți-vă contul și în loc de desktop-ul obișnuit, linia de comandă va clipi în fața noastră. Aceasta este ceea ce am încercat să realizăm.
Este trist, dar acesta este același virus, chiar mai corect - troianul.
Să deschidem acum Explorer introducând exploratorul pe linia de comandă. În dialogul apărut răspundem pozitiv și, având linia de comandă redusă, vom vedea desktop-ul.
Putem admira desktopul fără o imagine de fundal, vom reîncepe computerul în mod obișnuit: Start - Shutdown - Repornire.
Rămâne să faceți ultimele atingeri: restaurați managerul de activități.
Te avertizez, nu încerca să începi acum. În caz contrar, va trebui să faceți din nou toate acțiunile.
Vom avea nevoie de un disc de boot Windows XP. Introduceți-l în unitate și localizați directorul E: \ I386 \ SYSTEM32 pe unitate. Unde E este litera de unitate a unității. Descoperim fișierul taskmgr.exe în acest director și îl copiem în directorul C: \ Windows \ System32. Ca răspuns, apare fereastra "Protecția fișierelor Windows". Închideți-o și în fereastra de răspuns confirmăm păstrarea versiunilor nerecunoscute ale fișierelor.
Nu vă faceți griji, aceasta este o protecție tipică pentru Windows de suprascrierea fișierelor. Este păcat că această protecție nu a funcționat atunci când troianul suprascrie fișierele.
Acum, copiați același fișier în directorul C: \ Windows \ System32 \ dllcache \.
Asta e tot. Virusul a fost șters și banii au rămas neatinsi.
Informații suplimentare
Ce a crezut elevul-coder de școală atunci când a scris următoarele rânduri: "Repornirea sau închiderea computerului va duce la eliminarea imediată a tuturor datelor, inclusiv a sistemului de operare și a codului BIOS, cu imposibilitatea recuperării ulterioare"?
Probabil credea că ar fi bine. Și am scris această prostie.
Acest lucru este chiar mai interesant: „Dacă în termen de 12 de ore de la amenda nu este plătită, toate datele de pe computerul personal vor fi șterse definitiv, iar cazul este trimis în judecată pentru judecată în temeiul articolului 242 partea 1 din Codul penal.“.
Aș dori să întreb: care este "chestiunea" dacă toate datele sunt șterse, inclusiv "sistemul de operare și codul BIOS"?
Și, din nou, înainte de a ne virusul șantajist, vă rugăm să trimiteți o sumă de bani, în valoare de 400 de ruble pe următoarele numere: 8-918-600-89-76, 8-988-160-94-63, 8-988-161-21- 06, 8-918-200-87-40, 8-988-161-21-08.
Vă puteți felicita. V-ați confruntat în mod independent cu virusul Winlock și nu ați plătit un ban.
Eu, la rândul meu, am pus acest virus în colecția mea de virusi înfrânți.
De data aceasta, elevul care a scris acest virus nu era norocos. Nu-l invidiez când oamenii în uniformă vin bătut la casa lui. Pentru că, în primul rând, el va primi o palmă de la mama sa, pentru că ea a luat virusul la locul de muncă, în momentul în care șeful a trecut și a văzut totul. Și în al doilea rând, dacă acest student are 20-30 de ani, atunci oamenii în uniformă vor însoți acest domn la noul său loc de reședință pentru următorii 3-4 ani.
Ca site-ul? Spune-le prietenilor:
Trimiteți-le prietenilor: