 |
Удаление вируса блокировщика и устранение уязвимости |
+15
В данной статье мы рассмотрим способы удаления с компьютера вируса блокировщика, или как его еще называют - вымогателя, который записывается в загрузочный сектор MBR и запускается еще до загрузки Windows. Также обсудим самый распространенный механизм заражения и расскажем, как избавиться от уязвимости в системе, которая позволяет вирусу спокойно запускаться, обходя антивирусную защиту.
Немного об уязвимости.В данном случае для заражения чаще всего используют уязвимость платформы Java, которая установлена практически на каждом компьютере. Зайдите в "Панель управления" - "Программы и компоненты" (windows 7) или "Установка и удаление программ" (в windows xp), и найдите в списке Java. Если у вас установлена Java 6 update 20 какой-то, срочно обновитесь на последнюю версию с
официально сайта Jawa, при этом обязательно удалите предыдущую версию, так как новая версия не заменяет старую, а устанавливается дополнительно.
Как происходит заражение. Компьютеру, имеющему уязвимость в программном обеспечении, в данном случае старые версии Java, для заражения достаточно просто зайти на сайт с вирусом. Остальное за вас все сделает Java. С сайта во временную папку на ваш компьютер загружается сам вирус в виде исполняемого exe файла, и при помощи специального кода на сайте вашей Jave дается команда запустить этот файл. Происходит запуск этой вредоносной программы, как будто вы сами скачали и запустили двойным щелчком этот файл. Запуск Javой исполняемых файлов без ведома пользователя и считается уязвимостью. Далее запущенная вредоносная программа записывает в загрузочный сектор MBR специальный файл со страшным текстом про порно и вымогающим денег, который показывается пользователю после перезагрузки компьютера. Антивирусные продукты его спокойно пропускают, так как исполняемый файл вируса обновляется каждый день, а в базы антивирусов он попадает только на второй или третий день. И имейте ввиду что данная уязвимость позволяет запускать любые исполняемые файлы на вашем ПК, не только блокировщики, так что следите за обновлениями Java, а если заражение произошло, предлагаем ознакомиться со способами разблокировки.
Как разблокировать компьютер от вируса (вариант для windows 7).Для разблокировки компьютера от вируса вымогателя, запускающегося с загрузочного сектора MBR вам необходимо перезаписать загрузчик с установочного диска Windows. Обратите внимание, что установочный диск должен соответствовать вашей системе. Если установлена Windows 7 x86 (32 бит версия) то и диск должен быть Windows 7 x 86, а если у вас x64 версия, то соответственно и диск берите windows 7 x64. Если таковые диски у вас отсутствуют, можете скачать отсюда:
Windows 7 x86 (32bit) или
Windows 7 x64 (64 bit) и записать на DVD диск.
Далее необходимо выполнить загрузку с этого диска, установив приоритет загрузки в bios или через boot menu.
Выполнив загрузку с установочного диска в первом окне нажмите "Далее"
В следующем окне выбираем "Восстановление системы".
Должна определиться установленная система, нажмите кнопку "Далее".
Средство восстановления попробует восстановить запуск Windows автоматически.
Потом следует выбрать пункт "Показать дополнительные возможности восстановления системы".
Затем выбираем пункт "Командная строка".
Откроется черное окно командной строки, где нужно ввести следующие команды:
bootrec /fixboot и нажать "Enter" - появится сообщение "Операция успешно завершена".
bootrec /fixmbr и нажать "Enter" - снова появится сообщение "Операция успешно завершена".
Последняя команда
exit.
Нажимаем на кнопку перезагрузка, после чего Windows 7 с восстановленным MBR должна нормально запуститься.
Если у вас отсутствует установочный диск, можете взять отсюда:
скачать Windows XPЗапишите скачанный ISO образ windows XP на CD диск и выполните с него загрузку. В первом окне нажмите клавишу R чтобы запустить консоль восстановления.
Далее консоль покажет установленные системы и запросит, в какую windows выполнить вход. В нашем случае это система под номером 1. Вводим цифру
1 и нажимаем "Enter"
Теперь потребуется ввести пароль админа, если пароля не было, ни чего не вводите и нажмите "Enter".
Потом вводим команду
fixboot и нажимаем "Enter"
Будет задан вопрос действительно ли мы хотим записать новый загрузочный сектор в раздел С? Вводим букву Y (английскую) и нажимаем "Enter".
Должно появиться сообщение об успешной записи загрузочного сектора. Вводим вторую команду
fixmbr
Появится предупреждение, мы согласимся, снова введя английскую
y и нажав "Enter".
Появится сообщение об успешном применении новой загрузочной записи. Введем "exit" и перегрузимся.
Бывают редкие случаи, когда вирус изменяет таблицу разделов жесткого диска, и данный способ не сработает, так как консоль восстановления не видит установленной системы. Тогда придется снимать жесткий диск с зараженной машины, подключать к рабочему компу с обновленным антивирусом и выполнять сканирование. Как только появятся новые способы борьбы с подобными вирусами блокировщиками, мы опубликуем материал. Следите за обновлениями на сайте. С уважением команда sewin.me.
