Трояны семейства Winlock известны, как блокировщики Windows, которые уже достаточно давно вымогают деньги у рядовых пользователей. Сегодня эти вредоносные программы стали более совершенными и доставляют массу проблем. С ними можно бороться самостоятельно, если следовать рекомендациям по предотвращению заражения.

Троян появляется в системе быстро и незаметно. Пользователь совершает обычные действия, просматривает веб-страницы, не делая ничего особенного. Но в определенный момент возникает полноэкранный баннер, убрать который не удается.

Изображение может быть разным: порнографическим либо напротив строгим и грозным. Но результате всегда одинаков: поверх всех окон появляется сообщение с требованием перечислить указанную сумму на тот или иной номер или отправить платное смс. Почти всегда его сопровождают угрозы об уголовном преследовании или уничтожении всех данных, если оплата не будет выполнена.

Очевидно, что платить не надо. Следует узнать, к какому оператору связи относится указанный номер и сообщить о проблеме в службу безопасности. В некоторых случаях вам могут сказать код разблокировки, но сильно надеяться на этом не стоит.

Способы решения проблемы предполагают понимание тех изменений, которые происходят в системе после появления трояна. После этого их нужно найти и отменить.

Для некоторых троянов предусмотрен код разблокировки. В редких случаях они удаляют себя полностью после введения правильного кода. Найти его можно на сайтах антивирусных программ. Попасть в соответствующий раздел сайтов «Доктор Веб» или «Лаборатория Касперского» можно с телефона или другого компьютера. После разблокировки следует скачать любой антивирус и полностью проверить систему.

Прежде чем применять более сложные методы и спецсофт, попробуйте использовать имеющиеся возможности. Откройте диспетчер задач с помощью клавиш {CTRL}+{ALT}+{DEL} или {CTRL}+{SHIFT}+{ESC}. Если результат положительный, значит в системе действует примитивный троян, удалить который не очень сложно. В списке процессов найдите его и принудительно завершите. Обнаружить посторонний процесс просто, он имеет невнятное имя, а описание отсутствует. При сомнениях по очереди выгружайте все подозрительные процессы до тех пор, пока баннер не исчезнет.

Если диспетчер не открывается, попробуйте запустить сторонний менеджер процессов с помощью команды «Выполнить», нажмите {Win}+{R}. Программу можно скачать с другого компьютера или с телефона. По ссылке проверить начинается поиск информации о процессе в базе данных онлайн. Но в большинстве случаев все предельно понятно. Когда баннер закроется, необходимо перезапустить «Проводник» — процесс explorer.exe. В диспетчере задач выберите Файл, затем Новая задача (выполнить), далее c:\Windows\explorer.exe. Когда троян на время сеанса деактивирован, нужно найти его файлы и убрать их. Сделать это можно вручную либо с помощью антивируса.

В большинстве случаев троян появляется в каталогах временных файлов. Рекомендуется все же выполнить полную проверку, так как копии могут остаться в других папках. Полный список объектов автозапуска позволяет увидеть бесплатная утилита Autoruns.

Все программы на одной флэшке

На первом этапе устранить троян поможет изменение в поведении отдельных стандартных программ. Если вы увидели баннер, запустите вслепую Блокнот или WordPad. Нажмите {WIN}+{R}, введите notepad и подтвердите с помощью {ENTER}. Под баннером появится новый документ. Наберите в нем любые буквы и отключите компьютер. Все процессы, в том числе троян, начнут завершаться, но само устройство не отключится. Останется диалоговое окно «Сохранить изменения в файле?». На этом этапе мы баннера уже нет и можно полностью устранить трояна до перезагрузки.

Более совершенные версии троянов обладают свойством противодействия попыткам устранить их. Они блокирует запуск диспетчера задач, заменяют системные компоненты. В этом случае необходима перезагрузка, в момент загрузки системы жмите клавишу F8. Вы увидите окно выбора способа загрузки. Выберите «Безопасный режим с поддержкой командной строки» (Safe Mode with Command Prompt)». Когда появится консоль, набираем explorer, затем ENTER, после этого запустится проводник. Пишем regedit, подтверждаем, откроется редактор реестра. В нем можно найти записи, созданные трояном, а также место, откуда начинается его автозапуск. В большинстве случаев пользователь видит полные пути к файлам трояна в ключах Shell и Userinit в ветке

HKLM\Software\Microsoft\Windows NT\Current Version\Winlogon

В Shell троян подменяет explorer.exe, а в Userinit указывается после запятой. Из первой обнаруженной записи копируем полное имя троянского файла. В командной строке набираем

Del, пробел и открываем контекстное меню правой кнопкой мыши. Выбираем команду вставить, подтверждаем. Один файл трояна удален. То же самое проделываем для второго и последующих.

В реестре запускаем поиск по имени файла трояна, просматриваем все записи и убираем подозрительные. Чистим все временные папки и корзину. После этого рекомендуется выполнить полную проверку компьютера антивирусом. Если троян повлиял на работу сетевых подключений, попробуйте восстановить настройки Windows Sockets API с помощью утилиты AVZ.

Если заражение серьезное, бороться с ним из-под инфицированной системы нет смысла. Более целесообразно загрузиться с чистой и вылечить основную. Это можно сделать разными способами, самый просто — бесплатная утилита Kaspersky WindowsUnlocker. Файл-образ можно записать на болванку или создать из него загрузочную флэшку.

Опытные пользователи делают это заблаговременно, другие принимают меры уже во время заражения. Включая зараженный компьютер, удерживайте клавишу, чтобы зайти в BIOS. Это может быть DEL или F2. Соответствующее приглашение можно увидеть в нижней части экрана. Вставьте Kaspersky Rescue Disk или загрузочную флэшку. Привод оптических дисков или флэшку выберите первым загрузочным устройством. Изменения нужно сохранить с помощью клавиши F10, после этого выйдите из BIOS.

Современные версии BIOS дают возможность выбрать загрузочное устройство без входа в основные настройки. Достаточно нажать F12, F11 либо комбинацию клавиш. Более подробную информацию можно получить из сообщения на экране, в инструкции к материнской плате или ноутбуку. После перезагрузки запустится Kaspersky Rescue Disk. Лечение можно выполнять автоматически или вручную.

Отдельная категория — трояны, которые поражают главную загрузочную запись MBR. Они появляются до загрузки Windows, и их нельзя найти в автозапуске. Чтобы ликвидировать такой троян, нужно, прежде всего, восстановить исходный код MBR. Для этого необходимо выполнить загрузку с установочного диска Windows, открыть консоль восстановления с помощью клавиши R. Набираем в ней команду fixmbr, подтверждаем клавишей Y, перезагружаем компьютер. Это касается XP. Для Windows 7 существует утилита BOOTREC.EXE, необходимая команда представлена в виде параметра Bootrec.exe/FixMbr. После этих действий система вновь загружается. Теперь антивирусом можно поискать копии трояна и средств его доставки.

На компьютерах, не отличающихся мощностью, и ноутбуках борьба с троянами затягивается. Это обусловлено тем, что загрузка с внешних устройств затруднено, а проверка выполняется долго. В случае заражения извлеките зараженный винчестер и используйте для лечения другой компьютер. Удобно пользоваться боксами с интерфейсом eSATA или USB 3.0/2.0. Не забудьте при этом отключить автозапуск с HDD, чтобы на распространять заразу. Поможет бесплатная утилита AVZ. Проверку лучше выполнить чем-то другим. В меню Файл выберите «Мастер поиска и устранения проблем», ставим отметку «Системные проблемы», «Все» и кликаем «Пуск». После этого выделите пункт «Разрешён автозапуск с HDD» и нажмите «Исправить отмеченные проблемы».

Также до подключения зараженного винчестера убедитесь, что на компьютере работает резидентный антивирусный мониторинг с нормальными настройками. Если разделы внешнего диска не виды, откройте «Управление дисками». Через Пуск нажмите Выполнить, наберите diskmgmt.msc, подтвердите. Все разделы внешнего жесткого диска обозначаются буквами, их можно добавить вручную. После этого проверьте весь винчестер.

Чтобы не произошло повторного заражения, установите любой антивирус, в котором есть компонент мониторинга в режиме реального времени и соблюдайте общие правила безопасности:

— для работы используйте учетную записи с ограниченными правами,

— пользуйтесь другими браузерами — в основном заражение происходит через Internet Explorer,

— отключайте Java-скрипты на неизвестных сайтах и автозапуск со сменных носителей,

— программы устанавливайте только с официальных сайтов,

— обращайте внимание, куда ведет предлагаемая ссылка,

— убирайте нежелательные всплывающие окна, в этом помогут дополнения для браузера или отдельные программы,

— своевременно устанавливайте обновления системных компонентов,

— выберите для системы отдельный дисковый раздел, пользовательские файл отправьте на другой.

Последнее правило позволяет делать небольшие образы системного раздела с помощью программ Symantec Ghost, Acronis True Image, Paragon Backup and Recovery или стандартного средства Windows «Архивация и восстановление». Это поможет восстановить быстро работу компьютера независимо от того, чем он заражен и способен ли антивирус определить трояна.

Это лишь основные методы и общая информация. Более подробную информацию можно найти на сайте проекта GreenFlash. Здесь представлено множество интересных решений, а также советы по созданию мультизагрузочной флэшки для любой ситуации.

Трояны Winlock распространены не только в России и ближнем зарубежье. Их модификации существуют почти на всех языках. Кроме Windows, они поражают и Mac OS X. Пользователям Linux не удастся победить этого коварного врага, так как на сегодняшний.