Recent, a existat o creștere a numărului de programe de extorcare a malware-ului care necesită trimiterea unui mesaj SMS pentru a avea acces la sistemul blocat sau la fișierele utilizatorilor.
Textul mesajului de probă: "Windows-ul este blocat. Pentru a debloca necesitatea de a trimite SMS-uri cu text 4128800256 la numărul de telefon 3649. Încercarea de a reinstala sistemul poate duce la pierderea de informații importante și defecțiune. "
În fereastră, puteți introduce câmpul de text Introduceți codul primit și butonul Activare.
Ce este un virus care blochează pornirea Windows?
Acțiunile distructive ale virusului
După activarea virusului extrage fișierul din corpul său într-un director temporar al utilizatorului Windows curent -% temp% \ tmp (- secvență aleatorie de numere și litere ale alfabetului latin).
Acest fișier este de 94208 octeți în mărime și este detectat de Kaspersky Anti-Virus ca Trojan-Ransom.Win32.Agent.af.
După o salvare reușită, fișierul este lansat pentru execuție prin efectuarea următoarelor acțiuni:
- pentru pornirea automată în secțiunea [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon]
Regiștrii de sistem modifică valoarea parametrului șir (REG_SZ) Userinit - la% Temp% \ .mpmp;
- În funcție de data curentă, virusul trimite o solicitare http:
- după repornirea PC-ului, virusul afișează o fereastră cu o sugestie de a trimite un mesaj SMS la numărul specificat pentru a debloca;
- când sistemul de operare Windows este deblocat, în directorul de lucru al virusului este creat un fișier de interpret de comandă sub numele a.bat. Acest cod scrie codul pentru a elimina fișierul original de virus și fișierul shell propriu-zis. Apoi a.bat fisier este executat (de altfel, virusul este „sinucidere“: 2 ore după începerea, el face o „harakiri“, adică autodistruge în cazul în care în decurs de 2 ore de la codul de deblocare este introdus).
Cum se deblochează Windows
Pentru a debloca manual Windows, a blocat virusul de Trojan.Winlock, puteți utiliza un formular elaborat de specialiștii de „Doctor Web“: - textul în caseta de text pentru a introduce text SMS SMS (cu un sistem de monitor cu ecran blocat), apăsați butonul OK; - în câmpul de text al codului de activare, apare codul pe care trebuie să-l introduceți în câmpul Introduceți codul primit în sistemul blocat.
Cum se elimină un virus manual
Descărcați Windows într-un așa-numit "mediu curat", de exemplu, utilizând un disc de salvare bootabil, cum ar fi Windows miniPE sau ERD Commander:
1. Atenție. Nu vă supuneți trucilor scriitorilor virușilor, - nu trimiteți SMS-uri la numărul specificat, nu dați bani extortioniștilor care au creat virusul.
2. Amintiți-vă că este mai ușor să vă avertizați decât să vă vindecați! Utilizați firewall-uri și programe antivirus fiabile cu baze de date actualizate în mod regulat (cel puțin o dată pe săptămână!).