Аппетиты вирусов-вымогателей растут

КОМПЬЮТЕРНАЯ ВЕРСТКА П.А. КОРНИЕНКО

А.Л. МОКРУШИН

 

Подписано в печать 2.07.2012 г. Т. – 500 экз. Формат 60х84/8. Обьем 14,4 уч. – изд.л.

Печать ротационно-трафаретная. Бумага офисная. Заказ № 439

 

 

Редакционно-издательский отдел МГУП

Отпечатано в лаборатории множительной техники МГУП

 

127550, Москва, ул. Прянишникова, 19

 

Аппетиты вирусов-вымогателей растут

На страницах блога я уже не раз писал о вирусах-вымогателях - началось всё с вируса Internet Security два года назад. Потому не буду переливать из пустого в порожнее и в очередной раз подробно и в деталях рассказывать о лечении.

Однако аппетиты у них растут, конечно не у самих вирусов, а их владельцев. Очередной такой любитель быстрой наживы требует 1000 рублей за код разблокировки... действительно, чего мелочиться то.

Внимание! Вопрос к тем, кто всё ещё отправляет деньги - действительно код приходит? Впрочем, те кто читает этот пост, вряд-ли дадут ответ...

На этот раз, как видите, блокиратор выступает от имени приложения Microsoft Security Essentials. А угрозы стандартные, как под копирку, только номер телефона сменился и ценник подрос.

Случилась эта ерунда на красивом ноутбуке SONY PCG-71812V, довольно свеженькая модель, однако брошу камешек булыжник в огород SONY. Какого... спрашивается, понадобилось так урезать BIOS? Ведь это не BIOS, а какой-то обрубок получился, где нет элементарной возможности загрузиться с флешки. Из-за новизны модели, мой реанимационный CD, к слову довольно древний, вываливался в синий экран смерти. Так что пришлось спасательную операцию проводить из безопасного режима, что не внушало оптимизма в успехе.

Однако, блокиратор оказался довольно хилым в Windows 7, позволив благополучно загрузиться в безопасном режиме с поддержкой командной строки.

Дальше оставалось дело техники - пишем в командной строке:

regedit

Проверяем содержимое четырех веток реестра:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

Как видите, две ветки относятся ко всему компьютеру, а две к текущему пользователю. Удаляем всё подозрительное, в моем случае подозрительное было следующего вида:

С реестром закончили. Осталось почистить тела этой дряни, благо из картинки видно, что находится это всё во временной папке пользователя. в командной строке пишем:

explorer

Переходим в С: -> Пользователи -> [имя пользователя] -> AppData -> Local -> Temp, где удаляем всё подчистую. Кстати, чтобы включить отображение скрытых файлов (иначе вы этой папки не увидите) нажмите в Windows 7 кнопку Alt для отображения скрытого меню. Подробнее писал в статье как в windows 7 сменить расширения файлов.

Собственно всё. Решил не перегружать ноутбук штатным образом, просто выключить питание варварским методом (5 секунд держать кнопку включения). Включение показало, что блокиратор успешно покинул компьютер.

Источник: http://mdex-nn.ru/page/appetity-virusov-vymogatelej-rastut