Специалист Лаборатории Касперского Олег Зайцев опубликовал заметку о том, как можно бороться с вирусом-шантажистом.
Семейство Trojan-Ransom.Win32.Blocker является классическим
примером вредоносных программ, предназначенных для шантажа и
вымогательства. При установке на компьютер они прописываются в
автозагрузку, в ключ реестра [Software\Microsoft\Windows
NT\CurrentVersion\Winlogon], параметр "Userinit", в результате чего
блокируют запуск ОС. Получив управление на запуске ОС, зловреды
отображают окно с требованием отправить SMS с определенным текстом на
указанный короткий номер. В ответ пользователю обещают выслать код
разблокировки, который отключит вредоносную программу и разблокирует
загрузку компьютера.
Сам по себе Trojan-Ransom.Win32.Blocker несложно удалить при помощи
AVZ, AVPTool или вручную из редактора реестра, но есть одна проблема —
загрузка ПК блокирована, и пользователь не может получить доступ к
рабочему столу и запустить какие-либо программы или утилиты. Защищённый
режим Windows также заблокирован.
"Мне стало интересно, всё ли так безнадежно и может ли пользователь
сделать что-либо без спецсредств, Live CD и особых технических
знаний?", - задался вопросом Олег Зайцев. В результате изысканий был
обнаружен довольно простой алгоритм. Сначала необходимо нажать
комбинацию WIN-U, что вызовет окно специальных возможностей,
изображенное на рисунке.
Оно обладает очень высоким приоритетом и не блокируется трояном.
В появившемся окне выбираем экранную лупу, а в окошке данного
инструмента кликаем на гиперссылку "Веб-узел Майкрософт". Это приведет
к запуску IE, из которого можно загружать
любые целебные утилиты, типа AVZ или AVPTool, и запускать программы с
диска ПК (в строке адреса можно указать любую программу), online-сканер
и т.п.
|