Как разблокировать компьютер от вируса. Как избавиться от блокировки пк вирусом-вымогателем. Убрать баннер из автозагрузки Windows

С помощью троянов семейства Winlock, известных как «блокировщики Windows», у рядовых пользователей вымогают деньги уже более пяти лет. К настоящему времени представители этого класса вредоносных программ серьёзно эволюционировали и стали одной из самых частых проблем. Ниже предлагаются способы самостоятельной борьбы с ними и даются рекомендации по предотвращению заражения.

Появление трояна в системе обычно происходит быстро и незаметно для пользователя. Человек выполняет привычный набор действий, просматривает веб-страницы и не делает чего-то особенного. В какой-то момент просто появляется полноэкранный баннер, который не удаётся убрать обычным способом.

Картинка может быть откровенно порнографической, или наоборот – оформлена максимально строго и грозно. Итог один: в сообщении, расположенном поверх других окон, требуется перечислить указанную сумму на такой-то номер или отправить платное SMS-сообщение. Часто оно дополняется угрозами уголовного преследования или уничтожения всех данных, если пользователь не поторопится с оплатой.

Разумеется, платить вымогателям не стоит. Вместо этого можно выяснить , какому оператору сотовой связи принадлежит указанный номер, и сообщить его службе безопасности. В отдельных случаях вам даже могут сказать код разблокировки по телефону, но очень рассчитывать на это не приходится.

Методики лечения основаны на понимании тех изменений, которые троян вносит в систему. Остаётся выявить их и отменить любым удобным способом.

Голыми руками

Для некоторых троянов действительно существует код разблокировки. В редких случаях они даже честно удаляют себя полностью после ввода верного кода. Узнать его можно на соответствующих разделах сайтов антивирусных компаний – смотрите примеры ниже.

Зайти в специализированные разделы сайтов “Доктор Веб” , “Лаборатории Касперского” и других разработчиков антивирусного ПО можно с другого компьютера или телефона.

После разблокировки не радуйтесь преждевременно и не выключайте компьютер. Скачайте любой бесплатный антивирус и выполните полную проверку системы. Для этого воспользуйтесь, например, утилитой Dr.Web CureIt! или Kaspersky Virus Removal Tool .

Простым коням – простые меры

Прежде чем использовать сложные методы и спецсофт, попробуйте обойтись имеющимися средствами. Вызовите диспетчер задач комбинацией клавиш {CTRL}+{ALT}+{DEL} или {CTRL}+{SHIFT}+{ESC}. Если получилось, то мы имеем дело с примитивным трояном, борьба с которым не доставит проблем. Найдите его в списке процессов и принудительно завершите.

Посторонний процесс выдаёт невнятное имя и отсутствие описания. Если сомневаетесь, просто поочерёдно выгружайте все подозрительные до исчезновения баннера.

Если диспетчер задач не вызывается, попробуйте использовать сторонний менеджер процессов через команду «Выполнить», запускаемую нажатием клавиш {Win}+{R}. Вот как выглядит подозрительный процесс в System Explorer .

Скачать программу можно с другого компьютера или даже с телефона. Она занимает всего пару мегабайт. По ссылке «проверить» происходит поиск информации о процессе в онлайновой базе данных, но обычно и так всё понятно. После закрытия баннера часто требуется перезапустить «Проводник» (процесс explorer.exe). В диспетчере задач нажмите: Файл -> Новая задача (выполнить) -> c:Windowsexplorer.exe.

Когда троян деактивирован на время сеанса, осталось найти его файлы и удалить их. Это можно сделать вручную или воспользоваться бесплатным антивирусом.

Типичное место локализации трояна – каталоги временных файлов пользователя, системы и браузера. Целесообразно всё же выполнять полную проверку, так как копии могут находиться где угодно, а беда не приходит одна. Посмотреть полный список объектов автозапуска поможет бесплатная утилита Autoruns .

Военная хитрость

Справиться с трояном на первом этапе поможет особенность в поведении некоторых стандартных программ. При виде баннера попробуйте запустить «вслепую» Блокнот или WordPad. Нажмите {WIN}+{R}, напишите notepad и нажмите {ENTER}. Под баннером откроется новый текстовый документ. Наберите любую абракадабру и затем коротко нажмите кнопку выключения питания на системном блоке. Все процессы, включая троянский, начнут завершаться, но выключения компьютера не произойдёт.

Блокнот – коня на скаку остановит и доступ админу вернёт!

Старая школа

Более продвинутые версии троянов имеют средства противодействия попыткам избавиться от них. Они блокируют запуск диспетчера задач, подменяют другие системные компоненты.

В этом случае перезагрузите компьютер и удерживайте клавишу {F8} в момент загрузки Windows. Появится окно выбора способа загрузки. Нам требуется «Безопасный режим с поддержкой командной строки» (Safe Mode with Command Prompt). После появления консоли пишем explorer и нажимаем {ENTER} – запустится проводник. Далее пишем regedit, нажимаем {ENTER} и видим редактор реестра. Здесь можно найти созданные трояном записи и обнаружить место, откуда происходит его автозапуск.

Чаще всего вы увидите полные пути к файлам трояна в ключах Shell и Userinit в ветке

HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon

В “Shell” троян записывается вместо explorer.exe, а в “Userinit” указывается после запятой. Копируем полное имя троянского файла в буфер обмена из первой обнаруженной записи. В командной строке пишем del, делаем пробел и вызываем правой клавишей мыши контекстное меню.

В нём выбираем команду «вставить» и нажимаем {ENTER}. Один файл трояна удалён, делаем тоже самое для второго и последующих.

Удаление трояна из консоли – файл находился во временной папке.

Затем выполняем в реестре поиск по имени файла трояна, внимательно просматриваем все найденные записи и удаляем подозрительные. Очищаем все временные папки и корзину. Даже если всё прошло идеально, не поленитесь затем выполнить полную проверку любым антивирусом.

Если из-за трояна перестали работать сетевые подключения, попробуйте восстановить настройки Windows Sockets API утилитой AVZ.

Операция под наркозом

Со случаями серьёзного заражения бесполезно бороться из-под инфицированной системы. Логичнее загрузиться с заведомо чистой и спокойно вылечить основную. Существуют десятки способов сделать это, но один из самых простых – воспользоваться бесплатной утилитой Kaspersky WindowsUnlocker, входящей в состав Kaspersky Rescue Disk . Как и DrWeb LiveCD, он основан на Gentoo Linux. Файл-образ можно записать на болванку или сделать из него загрузочную флэшку утилитой Kaspersky USB Rescue Disk Maker .

Предусмотрительные пользователи делают это заблаговременно, а остальные обращаются к друзьям или идут в ближайшее интернет-кафе уже во время заражения.

При включении заражённого компьютера удерживайте клавишу для входа в BIOS. Обычно это {DEL} или {F2}, а соответствующее приглашение отображается внизу экрана. Вставьте Kaspersky Rescue Disk или загрузочную флэшку. В настройках загрузки (Boot options) выберите первым загрузочным устройством привод оптических дисков или флэшку (иногда она может отображаться в раскрываемом списке HDD). Сохраните изменения {F10} и выйдите из BIOS.

Современные версии BIOS позволяют выбирать загрузочное устройство на лету, без входа в основные настройки. Для этого требуется нажать {F12}, {F11} либо сочетание клавиш – подробнее смотрите в сообщении на экране, в инструкции к материнской плате или ноутбуку. После перезагрузки начнётся запуск Kaspersky Rescue Disk.

Доступен русский язык, а лечение можно выполнить в автоматическом или ручном режиме – пошаговую инструкцию на сайте разработчика.

Борьба на раннем этапе

Отдельный подкласс составляют трояны, поражающие главную загрузочную запись (MBR). Они появляются до загрузки Windows, и в секциях автозапуска вы их не найдёте.

Первый этап борьбы с ними заключается в восстановлении исходного кода MBR. В случае XP для этого загружаемся с установочного диска Windows, нажатием клавиши {R} вызываем консоль восстановления и пишем в ней команду fixmbr. Подтверждаем её клавишей {Y} и выполняем перезагрузку. Для Windows 7 аналогичная утилита называется BOOTREC.EXE, а команда fixmbr передаётся в виде параметра:

После этих манипуляций система вновь загружается. Можно приступать к поиску копий трояна и средств его доставки любым антивирусом.

В крестовый поход с крестовой отвёрткой

На маломощных компьютерах и особенно ноутбуках борьба с троянами может затянуться, так как загрузка с внешних устройств затруднена, а проверка выполняется очень долго. В таких случаях просто извлеките заражённый винчестер и подключите его для лечения к другому компьютеру. Для этого удобнее воспользоваться боксами с интерфейсом eSATA или USB 3.0/2.0.

Чтобы не разносить заразу, предварительно отключаем на “лечащем” компьютере автозапуск с HDD (да и с других типов носителей не мешало бы). Сделать это удобнее всего бесплатной утилитой AVZ, но саму проверку лучше выполнять чем-то другим. Зайдите в меню «Файл», выберите «Мастер поиска и устранения проблем». Отметьте «Системные проблемы», «Все» и нажмите «Пуск». После этого отметьте пункт “Разрешён автозапуск с HDD” и нажмите “Исправить отмеченные проблемы”.

Также перед подключением заражённого винчестера стоит убедиться, что на компьютере запущен резидентный антивирусный мониторинг с адекватными настройками и есть свежие базы.

Если разделы внешнего жёсткого диска не видны, зайдите в «Управление дисками». Для этого в окне «Пуск» -> «Выполнить» напишите diskmgmt.msc и затем нажмите {ENTER}. Разделам внешнего жёсткого диска должны быть назначены буквы. Их можно добавить вручную командой «изменить букву диска…». После этого проверьте внешний винчестер целиком.

Для предотвращения повторного заражения следует установить любой антивирус с компонентом мониторинга в режиме реального времени и придерживаться общих правил безопасности:

  • старайтесь работать из-под учётной записи с ограниченными правами;
  • пользуйтесь альтернативными браузерами – большинство заражений происходит через Internet Explorer;
  • отключайте Java-скрипты на неизвестных сайтах;
  • отключите автозапуск со сменных носителей;
  • устанавливайте программы, дополнения и обновления только с официальных сайтов разработчиков;
  • всегда обращайте внимание на то, куда на самом деле ведёт предлагаемая ссылка;
  • блокируйте нежелательные всплывающие окна с помощью дополнений для браузера или отдельных программ;
  • своевременно устанавливайте обновления браузеров, общих и системных компонентов;
  • выделите под систему отдельный дисковый раздел, а пользовательские файлы храните на другом.

Следование последней рекомендации даёт возможность делать небольшие образы системного раздела (программами Symantec Ghost, Acronis True Image, Paragon Backup and Recovery или хотя бы стандартным средством Windows “Архивация и восстановление”). Они помогут гарантированно восстановить работу компьютера за считанные минуты независимо от того, чем он заражён и могут ли антивирусы определить трояна.

В статье приведены лишь основные методы и общие сведения. Если вас заинтересовала тема, посетите сайт проекта GreenFlash. На страницах форума вы найдёте множество интересных решений и советы по созданию мультизагрузочной флэшки на все случаи жизни.

Распространение троянов Winlock не ограничено Россией и ближним зарубежьем. Их модификации существуют практически на всех языках, включая арабский. Помимо Windows, заражать подобными троянами пытаются и Mac OS X. Пользователям Linux не дано испытать радость от победы над коварным врагом. Архитектура данного семейства операционных систем не позволяет написать сколь-нибудь эффективный и универсальный X-lock. Впрочем, “поиграть в доктора” можно и на виртуальной машине с гостевой ОС Windows.

По данным Лабораторий Касперского и Dr.Web вирусы-вымогатели были самыми распространенными среди вредоносных программ в прошедшем году и бьют все рекорды в году настоящем. Вам очень повезло, если ваш компьютер надежно защищен и ещё не принимал такого «гостя».

Что такое вирус-вымогатель?

Это вредоносная программа, как правило, троянская, которая блокирует работу вашего компьютера и предлагает восстановить статус-кво, если вы отправите платное SMS на короткий номер.
Самое интересное, что отправка этого сообщения чаще всего не имеет никаких последствий, то есть, деньги вы потратите, а результата не получите. Причем, очень часто SMS обходится гораздо дороже той суммы, которая указана.
Вирусы-вымогатели бывают нескольких видов. Одни – ограничивают доступ к веб-сайтам или работу с браузером. Другие – шифруют файлы пользователя. Третьи – блокируют доступ к ресурсам операционной системы или ограничивают действия в ней. Прячутся такие вирусы, как правило, среди файлов с расширениями zip, rar, exe, bat, com.

Как не стать жертвой вируса-вымогателя?

1. Конечно же, никак не обойтись без . С последними, постоянно обновляемыми базами данных. Защиту от вирусов вполне может обеспечить как платный, так и бесплатный антивирус. В любом случае вы сами оцениваете важность стабильной работы и защиты данных на вашем компьютере. Экономить на защите – не самый лучший вариант.
2. Из обязательных действий, которые стоит возлагать на вашу антивирусную программу – полная на наличие вирусов. Периодичность проверки снова же вы определяете для себя сами, но как минимум раз в неделю такую проверку делать стоит.
Компании-производители систем защиты от вирусов также предлагают проверять файлы непосредственно на их сайтах, это так называемые онлайн-сканеры. Если у вас сомнения в отношении некоторых файлов на вашем компьютере, проверить их можно еще раз, каждый по отдельности:
Онлайн-сканер Dr.Web
http://vms.drweb.com/online/
Kaspersky Online Scanner
http://www.kaspersky.ru/scanforvirus
Компания Dr.Web предлагает также собственное решение – Dr.Web LinkChecker. Это набор плагинов для трех браузеров (Mozilla Firefox, Opera и Internet Explorer), после установки которых все открываемые вами страницы и файлы, скачиваемые из интернета, будут проверяться на наличие вредоносных программ заранее, т.е. до того, как вы что-то откроете или скачаете.
3. Стоит ли в очередной раз повторять, что некоторые ресурсы лучше обходить десятой дорогой. Речь о сайтах обещающих , много бесплатного порно и т.п. Кстати, ресурсы, предлагающие всевозможные кряки, программы для взлома, ключи и тому подобный софт также потенциально опасны для вашего компьютера. Кстати, любые программы – будь-то обычная программа для просмотра фотографий, IM-клиент или даже стандартный набор кодеков – рекомендую читателям МирСоветов загружать их с официальных сайтов. Как минимум, ресурс должен быть надежным и проверенным.
Крупные поисковые сайты (например, Яндекс, Google) уже научились распознавать сайты, зайдя на которые вы можете получить в награду вирус, и предупреждают об этом. Но если вы не уверены в надежности сайта (даже официальные сайты иногда могут нести угрозу заражения), можно проверить его самостоятельно. Это легко осуществимо на странице того же онлайн-сканера Dr.Web, где нажав по ссылке «Проверить ссылку (URL)» и введя адрес страницы сайта, вы узнаете, не содержит ли интересующий ваш ресурс вирусы.
Не лишним будет поставить дополнительную защиту для проверки посещаемых сайтов до их открытия. Например можно воспользоваться бесплатными Dr.Web LinkChecker (http://www.freedrweb.com/linkchecker/), которые встраиваются во все наиболее популярные браузеры: Mozilla Firefox, Opera, Internet Explorer.
4. Не стоит открывать электронные письма или файлы от незнакомых вам людей или переходить по ссылкам, полученным от незнакомцев. Чаще, именно там содержатся вирусы-вымогатели, и не только они.
5. Важные для вас пароли и логины рекомендуется хранить отдельно.
6. Все диски, флешки, карты памяти и прочие съемные носители, которые вы подключаете к компьютеру, сразу проверяйте на наличие вредоносных программ и только потом начинайте работу с ней. К тому же автозапуск съемных носителей (автоматическое открытие при подключении) лучше отключить совсем, вирусы умеют прятаться и там. Для отключения автозапуска воспользуйтесь справкой по вашей операционной системе.
В случае же, когда ранее работавшая программа не запускается, не открываются файлы, с которыми еще недавно вы спокойно работали, не получается выйти в интернет или вообще невозможно работать с компьютером… когда взамен всего этого появляется окно с требованием отправить смс, почти наверняка вам пришлось познакомиться с одним из видов вирусов-вымогателей. Конечно же, отправлять сообщения никуда не советуем, результата не будет. А вот бороться с вирусом можно и нужно.
Для этого желательно иметь набор утилит для лечения вашего компьютера от подобных вирусов. О них мы и расскажем далее. Но если вы не уверены, что сможете справиться с лечением вашего компьютера самостоятельно, лучше обратитесь за помощью к специалисту.

Как избавиться от вируса-вымогателя

Что делать, если вирус-вымогатель все-таки попал в ваш компьютер? Во-первых, не стоит паниковать. Несмотря на то, что вирусы-вымогатели стремительно эволюционируют, с ними всё-таки можно бороться. Нужно лишь взять себя в руки и предпринять ряд мер.
Чтобы преуспеть в борьбе с вирусом-вымогателем, нужно сначала определить, какой именно гость навестил вас и ваш компьютер.
1. Вирусы, блокирующие доступ в интернет . Если вы не можете выйти в интернет или попасть на большинство сайтов и видите перед собой баннер с требованием отправить платное SMS, скорее всего, вас посетил один из этих вирусов: Trojan-Ransom.BAT.Agent.c или Trojan-Ransom.Win32.Digitala (Get Accelerator, Digital Access, Get Access, Download Manager v1.34, Ilite Net Accelerator).
Первый, как видно из названия, имеет расширение bat. Этот вирус меняет файл Hosts, расположенный в корневом каталоге системного диска (Windows-95/98/ME) или в папке WindowsSystem32driversetc (Windows NT/2000/XP/Vista). Нужно открыть этот файл с помощью любого текстового редактора и удалить все строки, кроме 127.0.0.1 localhost.
Затем провести полное сканирование компьютера антивирусом. После проверки перезагрузите компьютер. Проблема должна исчезнуть.
Что же касается вирусов группы Trojan-Ransom.Win32.Digitala, то тут всё гораздо сложнее. Эти вредоносные программы могут маскироваться под легальное программное обеспечение. Они гораздо сложнее и умеют прятать себя. Итак, перед вами висит ненавистное окошко с требованием выкупа за восстановление работоспособности вашего компьютера. Пожалуй, первое что, можно попытаться сделать для избавления от вирусов, которые требуют введения кода активации через отправку смс – это попытаться узнать этот самый код. Для этого с помощью другого компьютера (в крайнем случае с мобильного телефона) нужно зайти на сайт одного из производителей антивирусного ПО (ссылки приведены ниже), на страницу с сервисом деактивации вирусов-вымогателей:
Сервис деактивации вымогателей-блокеров Лаборатории Касперского
http://support.kaspersky.ru/viruses/deblocker
Техподдержка ESET NOD32: Разблокировка Windows
http://www.esetnod32.ru/.support/winlock/
Dr.Web: Разблокировка Windows от Trojan.Winlock
http://www.drweb.com/unlocker/
Нужно лишь заполнить несколько полей, и система выдаст вам код, с помощью которого вы сможете разблокировать работу своего компьютера. Если предоставленный вам числовой код помог, и компьютер вновь заработал, не стоит останавливаться на достигнутом! Скорее всего, что где-то внутри операционной системы остались следы вредного вируса. Они могут дать знать о себе немного позже частыми сбоями работы, а возможно, и повторной блокировкой. Чтобы этого не случилось, рекомендую читателям МирСоветов проверить операционную систему при помощи антивируса, не забудьте перед этим обновить его базы данных.
Если код разблокировки не помог, можно попробовать вылечить ваш компьютер при помощи утилиты Digita_Cure (продукт Лаборатории Касперского), специально предназначенной для лечения вирусов-вымогателей группы Trojan-Ransom.Win32.Digitala, или программы CureIt (продукт Dr.Web), которая обнаруживает и другие виды вирусов. Их можно скачать бесплатно на сайтах этих лабораторий:
Утилита Digita_Cure
Страница программы: http://www.kaspersky.ru/support/viruses/solutions?print=true&qid=208637303
Ссылка для скачивания: http://www.kaspersky.ru/support/downloads/utils/digita_cure.zip
Утилита CureIt
Страница программы: http://www.freedrweb.com/cureit/
Ссылка для скачивания: http://www.freedrweb.com/download+cureit/gr/
Перед тем, как начать лечение от вируса, нужно закрыть доступ в интернет и перезагрузить компьютер в безопасном режиме, нажав кнопку F8 сразу после включения и выбрав пункт «Загрузка в безопасном режиме». Затем необходимо будет запустить флешку или диск с утилитой Digita_Cure (или CureIt) и провести полную проверку компьютера. Как вариант, можно использовать съемный винчестер с альтернативной антивирусной программой. После лечения компьютер нужно будет перезагрузить в обычном режиме. Вирус-вымогатели после этой процедуры должен быть удален.
2. Вирусы, блокирующие браузер . Если вы путешествуете по всемирной паутине при помощи обозревателя Internet Explorer и, заходя на любой сайт, видите на экране баннер весьма откровенного содержания, на котором написан короткий номер и требование выкупа, знайте, у вас в гостях Trojan-Ransom.Win32.Hexzone или Trojan-Ransom.Win32.BHO. Эти вирусы не блокируют работу всего компьютера, а живут только в .
Они используют механизм надстроек ВНО (browser helper object). Решить проблему можно вручную, используя следующий алгоритм. Открываете Internet Explorer, находите пункт меню «Сервис», далее выбираете пункт «Надстройки» (управление надстройками) > «Включение и отключение настроек». Кликнув на последний пункт, вы увидите все надстройки, установленные в браузере. Ваша задача – проверить все надстройки, у которых нет записи в графе «Издатель» или написано «Не проверено».
Поочередно отключаете их, каждый раз запуская Internet Explorer заново. Та надстройка, после отключения которой исчезнет порнобаннер, – вредоносная, и ее нужно будет отключить.
Также удалить этот вид вирусов-вымогателей можно при помощи утилиты AVPTool от Касперского (http://support.kaspersky.ru/viruses/avptool2010?level=2) или CureIT от Dr.Web (http://www.freedrweb.com/cureit/).
3. Вирусы, блокирующие доступ к ОС . Если на вашем компьютере не запускается ни одна программа, кроме Internet Explorer и Outlook Express, а перед вами окошко с требованием выкупа за , то к вам попал вирус, блокирующий операционную систему, один из таких – Trojan-Ransom.Win32.Krotten.
Чтобы избавить свой компьютер от вируса-вымогателя этой группы можно также обратиться в сервис бесплатной разблокировки (ссылки на страницы сервисов разблокировки были даны выше). После разблокировки не забудьте провести глубокую проверку компьютера лицензионной антивирусной программой со свежими базами.
В случае неудачи нужно будет воспользоваться LiveCD от Dr.Web, предназначенный для аварийного восстановления системы.

Страница программы: http://www.freedrweb.com/livecd/
Ссылка для скачивания образа: ftp://ftp.drweb.com/pub/drweb/livecd/minDrWebLiveCD-5.0.1.iso
Вам нужно будет скачать и записать образ на диск, сделав его загрузочным (это можно сделать с помощью программы CDBurnerXP, выставив при записи опцию «Make disk bootable»). После чего, задав в BIOS’е First Boot Device: , осуществить загрузку компьютера с этого диска. LiveCD от Dr.Web уже содержит средства для лечения и удаления вирусов, но в данном случае вредоносная программа может мешать запуску встроенных в загрузочный диск утилит.
И, скорей всего, понадобится помощь других антивирусных утилит, записанных на флеш-накопитель. Их нужно будет переименовывать в «iexplore.exe», после этого их можно будет запустить. А помочь могут такие средства, как AVPTool от Касперского (описание продукта находится здесь http://support.kaspersky.ru/viruses/avptool2010?level=2) или утилита AVZ (http://z-oleg.com/secur/avz/download.php), правда, для работы с нею нужны скрипты. Для их составления можно обратиться на специализированные форумы, например, VirusInfo. Прежде чем воспользоваться услугами специалистов форума, внимательно ознакомьтесь с правилами, прочитайте FAQ и зарегистрируйтесь. Вам предоставят скрипт, предназначенный именно для вашего случая. Далее от вас понадобится скопировать скрипт, в меню программы выбрать «Файл – Выполнить скрипт», вставить скрипт в открывшееся окно и нажать «Запустить». Еще раз повторимся: если вы не уверены, что сможете сделать всё правильно сами, лучше обратиться к специалисту.
Замечено, некоторые вирусы, блокирующие доступ к ресурсам операционной системы, удаляются сами ровно через 2 часа после проникновения на компьютер. Для избавления от вируса оказывается достаточно перевести часы в BIOS"е вперед более чем на пару часов. После перезагрузки окно с требованием отправить смс исчезает, как и следы от присутствия вируса. Но тем не менее полная проверка антивирусом рекомендуется, для профилактики.
4. Вирусы-шифровальщики . Отдельное место занимают вирусы, которые шифруют данные, хранящиеся на вашем компьютере: Trojan-Ransom.Win32.GPCode, Trojan-Ransom.Win32.Encore, Trojan.Ramvicrype. Как правило, страдают файлы с расширениями txt, xls, doc. Узнать о том, что ваш компьютер заражен, вы сможете, благодаря отсутствию доступа к информации и окошку на рабочем столе или текстовому документу, вложенному в каталог с зашифрованными файлами.
Шифровальщики – пожалуй, самые страшные вирусы-вымогатели. Для их лечения еще совсем недавно не существовало стандартных методов. Сегодня лаборатория Dr.Web предлагает утилиты, разработанные специально для лечения вирусов этого типа (http://www.freedrweb.com/aid_admin/). По приведенной ссылке можно скачать серию утилит для борьбы с вирусами типа Trojan-Ransom.Win32.Encore. Они предоставляются бесплатно.
Можно также воспользоваться бесплатными утилитами PhotoRec (создана Кристофом Гренье, распространяется согласно лицензии GPL) и StopGpcode2 (продукт Лаборатории Касперского). Инструкция по с их помощью очень подробно и доступно описывается на странице сайта securelist.com:
http://www.securelist.com/ru/viruses/encyclopedia?virusid=313444#doc2
Компания Symantec разработала утилиту, которая борется с вирусом-шифровальщиком Ramvicrype. Этот вирус шифрует файлы в системной папке, присваивая им расширение.vicrypt. Как правило, на компьютере, пораженном этим вирусом, не запускается ни одна программа. Скачать бесплатную утилиту Trojan.Ramvicrype Removal Tool можно на официальном сайте компании Symantec:
http://www.symantec.com/en/uk/business/security_response/writeup.jsp?docid=2009-102921-3210-99
Перед запуском антивирусной утилиты от Symantec необходимо закрыть все программы, отключить компьютер от сети. Внимание: в инструкции к использованию утилиты рекомендуется также отключить службу восстановления системы. После проверки компьютера нужно сделать перезагрузку и выполнить повторную проверку. Только после этих действий следует восстановить подключение к сети и снова включить службу восстановления.

Если ни один из приведенных выше способов вам не помог, придется обращаться к специалистам технической поддержки сайта производителя вашего антивирусного ПО.
В заключение хотелось бы отметить, что профилактика всегда лучше, чем лечение. Поэтому всегда соблюдайте правила интернет-безопасности и не экономьте на защите своего компьютера – пользуйтесь лицензионными антивирусными программами. И ещё, очень важные файлы лучше всего хранить не только на жестком диске компьютера, но и на каком-нибудь другом носителе, например, дублировать их на CD, DVD или флешку.

Часто пользователи обращаются к нам с такой проблемой:

При запуске браузера открывается сайт mvd.ru с предупреждением о необходимости заплатить штраф:

Министерство Внутренних Дел Российской Федерации. Вами был нарушен закон! МВД РФ было обнаружено использование вашего электронного устройства с противоправной целью, а именно - просмотр и копирование материалов содержащих элементы педофилии, насилия и ГЕЙ-ПОРНО. На оплату штрафа Вам отведено 12 часов.

При попытке открыть любой другой сайт всё равно открывается mvd.ru. К тому же, на иконке сетевых подключений присутствует треугольник «Подключение ограничено». Антивирус не находит никаких вирусов и вредоносных программ на компьютере. Как удалить сообщение mvd.ru из браузера?


Вот так выглядит страница с требованием оплатить штраф:

Прямо на обманной странице присутствует форма для перечисления денег мошенникам якобы для разблокировки компьютера. На самом деле, эта страница не имеет никакого отношения к сайту mvd.ru. Она подменена мошенниками. Если открыть этот сайт с не заражённого компьютера, откроется настоящий сайт МВД.

Существует другая разновидность страницы с сообщением:

Доступ в сеть Интернет заблокирован Для разблокировки введите свой номер телефона и следуйте инструкциям в смс

На экране отображается лишь форма для ввода телефонного номера и кнопки Отослать и К вводу кода :

Причина появления мошеннической веб-страницы

Страница-вымогатель появляется из-за того, что вредоносная программа изменила адрес DNS-сервера вашего компьютера. Как следствие — при запросе любого сайта DNS-ответ подменяется мошенническим сервером и выдаёт мошенническую веб-страницу, цель которой выманить деньги.

Настоящее МВД не может заблокировать компьютер за просмотр запрещенных сайтов. И тем более, МВД никогда не будет требовать уплаты штрафа на мобильный .

Удаление mvd.ru

1 Нажмите правой кнопкой мыши по значку сети в панели задач.

2 Выберите Центр управления сетями и общим доступом :

Если у вас не отображается ни одно подключение, проверьте, подключены ли вы к Wi-Fi или подключен ли кабель.

4 Нажмите кнопку Свойства :

5 Выделите в списке Протокол Интернета версии 4 .

6 Нажмите кнопку Свойства :

Здесь мы видим сторонний DNS-сервер, который был указан вредоносной программой:

7 Установите переключатель в положение Получить адрес DNS-сервера автоматически .

8 Нажмите ОК :

9 Нажмите Закрыть для применения настроек:

Внимание! Бывают случаи, когда вредоносное ПО изменяет настройки DNS не только на компьютере, но и на роутере. Особенно, если для входа на веб-интерфейс роутера используется логин и пароль по умолчанию, вроде admin/admin . Поэтому, рекомендуем проверить корректность настроек DNS на роутере. Информацию о том, какие настройки DNS являются правильными, вы можете получить у вашего Интернет-провайдера. Также, советуем установить свой надёжный пароль для входа на веб-интерфейс роутера (модема).

Смотрите на видео, как это делается:

Если ничего не помогло

Если после выполнения вышеописанный действий вместо нужного сайта всё равно открывается мошенническая страница, выполните дополнительные действия.

1. Ещё раз зайдите в настройки сетевой карты.

  • Установите автоматическое получение IP.
  • Укажите вручную DNS-сервер компании Google: 8.8.8.8
  • Нажмите OK для сохранения:

  • Нажмите Закрыть в двух окнах.
  • Запустите командную строку.
  • Введите:
ipconfig /flushdns
  • Нажмите Enter:

3. Выполните очистку временных файлов с помощью CCleaner ()

Что делать, если айпад или айфон заблокирован МВД

Если вымогатель «оплатите штраф 3000 рублей» появился на устройстве Apple, то:

1. Сначала попробуйте очистить историю и куки

Зайдите в Настройки :

Откройте раздел Сафари .
Нажмите Очистить историю и Очистить :

Затем нажмите Удалить файлы cookie и данные и снова Очистить :

2. Если предыдущее действие не помогло разблокировать айпад, проще всего сделать сброс настроек (hard reset) с помощью программы iTunes:

Как убрать МВД с Android-устройства

1. Сперва попробуйте такой вариант: войдите в Настройки , Диспетчер приложений , найдите свой браузер (например Chrome), откройте свойства приложения и нажмите Очистить данные :

2. Если не помогло, есть более радикальный метод: сделать сброс устройства.

Войдите в Recovery на своем Android-устройстве. Чаще всего для этого потребуется:

  • выключить смартфон/планшет,
  • зажать центральную кнопку (home).
  • нажать клавишу увеличения громкости и кнопку питания .
  • держать до появления зеленого робота на дисплее.

(Читайте о различных вариантах входа в рекавери на разных устройствах: )

Выберите wipe data/factory reset :

И подтвердите, выбрав YES :

Вирус вымогатель – это крайне опасная вредоносная программа, что при попадании в операционную систему персонального компьютера полностью блокирует ее работу. Чтобы разблокировать компьютер от вируса вымогателя, требуется оплата специального кода путем отправки СМС или перевода по указанным реквизитам. В противном случае, он угрожает уничтожить все имеющиеся на ПК данные.

Что делать в сложившейся ситуации и как предотвратить заражение, мы и поговорим в данной статье.

Вирусы-вымогатели существуют нескольких видов, а именно те, которые:

  • Блокируют сайты.
  • Блокируют работу браузера.
  • Блокируют работу операционной системы.

Конечно, это далеко не весь список подобных угроз, их существует огромное множество, все они разные и требуют разных сумм.

Какими бы они ни были, атака вируса вымогателя нацелена на то, чтобы испугать вас и получить ваши деньги. И что неудивительно, многие действительно оплачивают код, чтобы избавиться от проблемы. Но дело в том, что отправка сообщениями не поможет убрать вирус вымогатель с компьютера, и вы просто-напросто зря потратите деньги. Именно поэтому ни в коем случае нельзя отсылать деньги! Этим вы не спасете ситуацию и не решите возникшую проблему.

Принимаем меры по защите ПК

Вредоносные утилиты водятся везде, в том числе и на многочисленных сайтах для взрослых, файлообменниках и прочих подобных ресурсах. Крайне часто они прячутся в файлах с расширениями exe, zip, rar, .msi, cmd, bat. Они могут маскироваться под обычный флеш-плеер, установив который, операционная система полностью заблокируется. Более того, можно заразиться как по сети, так и через съемные носители.

Несколько советов, как защитить свой ноутбук :


Если вы пренебрегли вышеуказанными советами и ваш ПК был атакован то, как удалить вирус вымогатель мвд рб или любую другую вредоносную программу мы поговорим дальше.

Как избавиться от угрозы и восстановить работу Windows

Если вы не знаете, как работает стандартный вирус вымогатель или шифровальщик, то для вас будет сюрпризом известие, что простой процедурой удаления от него не избавишься. Это значит, что вирус должен быть удален автоматически при помощи надежного антивируса, который будет способным обнаружить вредоносную программу и удалить ее.

Однако такие вирусы, как предупреждение мвд в интернете, могут блокировать работу антивируса, а то и вовсе не дать системе загрузиться, в таком случае вылечить компьютер становится значительно сложнее.

Удаление с помощью антивирусного ПО с загрузкой в безопасном режиме


Шаг 2: Удаление вируса:


Откат системы до точки восстановления

Очень эффективный способ, который позволит откатить все изменения Windows до момента, когда ПК или ноутбук еще не был заражен вымогателем.

Инструкция для Windows XP/Vista/7

  1. Делаем так же, как и указано для вышеописанного способа, только в окне «Advanced Boot Options» выбираем «Command Prompt».

Шаг 2: Проводим восстановление.