По данным антивирусной компании «Доктор Веб», трояны семейства Trojan.Winlock - те самые, которые блокируют работу компьютера, находятся на третьем месте по популярности. Это неудивительно, поскольку они приносят своим создателям не только моральное удовлетворение, но и вполне ощутимый доход.
Если вы никогда не сталкивались с «трояном-вымогателем», то либо вы не пользуетесь Windows, либо не ходите на подозрительные сайты, либо вам везет. Вредоносные программы чаще всего проникают на компьютер через «дыры» в браузере, через незащищенные порты и бесплатные утилиты, которые, якобы, выполняют какую-то невероятно полезную функцию. Например, загружают картинки в аккаунт «ВКонтакте».
Трояны паразитируют на микроплатежах через SMS и работают строго по одному принципу: они блокируют работу компьютера или браузера и предлагают перепуганному пользователю отправить сообщение на один из коротких номеров в обмен на код разблокировки. Обычно это сопровождается комментарием, что на компьютере установлена нелицензионная копия Windows и необходима срочная ее активация. Попадаются и другие варианты: кто-то пишет, что на компьютере обнаружен вирус, а кто-то в обмен на SMS-сообщение предлагает доступ к порносайтам.
Идти на поводу у мошенников не стоит категорически. Во-первых, со счета телефона уйдет не 10 рублей, как часто написано на экране, а все 400. Во-вторых, одной SMS вряд ли удастся обойтись. Нет никаких гарантий, что и после серии дорогостоящих сообщений вам, наконец, пришлют код разблокировки. Если прислали - ждите возвращение трояна на следующий день.
В этом материале мы расскажем как бороться с троянами блокирующими компьютер целиком. Как быть, если стал недоступен только браузер или несколько самых часто посещаемых сайтов, мы описали в другом материале.
1. Генераторы кодов
Самый простой и довольно эффективный способ побороть блокирующую «заразу» - это обратиться за помощью к генератору кодов. Подобный сервис бесплатно предоставляют на своих сайтах все известные антивирусные компании: «Лаборатория Касперского», «Доктор Веб» и ESET.
Для того, чтобы воспользоваться генератором, нужно ввести в его поле номер телефона, на который троян требует прислать SMS. Наиболее продвинутый сервис предлагает «Доктор Веб». Он поможет подобрать код не только по номеру телефона, но и по названию трояна, и даже по внешнему виду его окна.
Попасть в интернет с зараженного компьютера, скорее всего, не получится. Троян просто не даст увидеть или запустить браузер. Можно попытаться получить доступ к системе нажатием сочетаний клавиш: Win+R, Win+E, Win+U, Win+F или другими подобными. Если это не помогает, а другого компьютера с интернетом под рукой нет, то переходим к следующим пунктам.
2. Безопасный режим
Можно попробовать войти в зараженную Windows в безопасном режиме. Для этого нужно удерживать клавишу F8 во время загрузки системы, а затем выбрать в появившемся меню пункт «Безопасный режим». Этот вариант может не сработать, если компьютер «подцепил» слишком продуманный троян. Такие удаляют часть реестра Windows, отвечающего за запуск безопасного режима.
В безопасном режиме можно запустить браузер и сходить на перечисленные выше сайты с генераторами кодов. Если с интернетом проблемы или коды не подходят, то открываем меню «Пуск», нажимаем «Выполнить» и вводим в командной строке msconfig. В открывшемся окне «Настройки системы» нужно перейти во вкладку «Автозагрузка» и удалить все подозрительные пункты. Например: plugin.exe, xodeccc.exe, servikes.exe, winloker servis.ехе, onlain servis.ехе, synsql.exe, exxplore.exe. Чтобы не отключить ничего лишнего обращайте внимание на поле «Команда». Оно может помочь понять к какому именно приложению относится автоматически загружаемый компонент.
Другой вариант поведения в «Безопасном режиме» - откат системы на предыдущую точку восстановления. Эту опцию система обязательно предложит, правда только в том случае, если автоматический «бэкап» заранее не был отключен в настройках Windows или не был поврежден трояном. Откат системы может не помочь, если доступно всего несколько точек восстановления, на момент создания которых компьютер уже был заражен трояном.
Если и в безопасном режиме троян выводит свое блокирующее окно, которое загораживает другие приложения, но не занимает весь экран, то помочь запустить браузер, антивирус или «Настройки системы» может «Диспетчер задач», вызываемый с помощью комбинации Ctrl+Alt+Del. Обычно трояны блокируют и его, чтобы не дать пользователю принудительно завершить их работу, но в безопасном режиме диспетчер всегда доступен. В нем также можно попробовать снять все подозрительные задачи, добившись исчезновения окна.
3. Запуск компьютера с Live CD
Третий вариант поведения - загрузка с диска Live CD от «Доктор Веб». Он позволяет восстановить систему в тех случаях, когда обычная загрузка с жесткого диска невозможна из-за последствий вирусной активности. Внутри Live CD находится операционная система на базе Linux c антивирусным сканером, файловым менеджером и браузером - всем, чем нужно для успешного излечения компьютера.
Дистрибутив Live CD можно загрузить с официального сайта «Доктор Веб». Затем его нужно записать на диск и загрузить с него компьютер. Как это сделать описано в исчерпывающем руководстве, которое можно найти на том же сайте.
Что делать потом
После того, как блокировка с Windows снята, нужно обязательно очистить систему от следов трояна. В этом могут помочь бесплатные антивирусные сканеры, например, CureIT от «Доктор Веб» или Virus Removal Tool от «Лабаратории Касперского».
Если урон системе нанесен слишком сильный (например, продолжает не запускаться «Диспетчер задач»), можно воспользоваться программой AVZ, которая не только способна искать и удалять вирусы, но и «чинить» последствия их пребывания на компьютере.
Наконец, имеет смысл обратиться с жалобой на мошенников в компанию, которая сдает в аренду короткие номера. Например, один из лидеров рынка «А1 Агрегатор», чьи номера очень часто используются в «троянах-вымогателях», реагирует на обращения пользователей весьма оперативно. На их сайте можно найти список принадлежащих им номеров и стоимость SMS для абонентов разных сотовых сетей.
И безусловно, было бы здраво распечатать эту статью на всякий случай. Чтобы она была под рукой, если мошенники все же доберутся до вас.