Міністерство внутрішніх справ України блокує комп'ютери

1. PS (25.05.2013)

Днями попався черговий зразок вірусу-здирника, який від імені МВС України блокує комп'ютери користувачів. Тема вже неабияк набила оскому і не раз описувалася на цьому сайті , Але є в ньому деяка особливість, про яку я тут хочу розповісти, і, знаючи яку, вам буде легше з ними боротися.

В даний момент цей вірус детектується практично всіма популярними антивірусами ( 32 з 46 за версією virustotal.com ), Але на момент виникнення вірусу, відсоток його проникнення був незрівнянно вище.

Лікується ця зараза стандартно - завантаженням з LiveCD і аналізом процесів автозапуску основної системи. Схожі випадки описані тут і тут і тут :

Аналізуємо об'єкти автозапуску основної системи за допомогою програми Autoruns (File - Analyse Offline System ...)

Особливістю даного вірусу є те, що він змінює записи в реєстрі Windows, що відповідають за завантаження операційної системи:

Бачимо, що змінені оригінальні значення Userinit і Shell

Що це означає на практиці? Це означає, що просто видаливши вірусний файл (вручну або антивірусом), ми мало чого доб'ємося: вікно з вірусом вже не з'являється, але і виндовс завантажитися до кінця все одно не може. Щоб відновити завантаження нам необхідно виправити ці дві пошкоджені записи:

Для того щоб виправити невірну запис у програмі Autoruns натискаємо правою клавішею на записи і вибираємо пункт Jump to Entry ... після чого переходимо в редактор реєстру

Після чого відкривається редактор реєстру:

Виправляємо редактором реєстру неправильні записи

Оригінальні значення ключів реєстру Shell, UIHost, Userinit:

HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Userinit є «c: \ windows \ system32 \ userinit.exe,»

HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Shell є «explorer.exe»

HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ UIHost є «logonui.exe»

(Для Windows XP, Vista, 7 32 і 64 bit)

Перевірити гілку автозавантаження HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run на наявність там значення «1jfuweif.exe«. При наявності такого - видалити його.

Після чого оновлюємо вікно програми «Autoruns» і контролюємо правильність внесених змін:

Оновлюємо вікно програми і контролюємо правильність внесених змін

Обов'язково потрібно видалити сам вірусний файл (в нашому випадку він називається 1jfuweif.exe). Зазвичай він знаходиться в папці тимчасових файлів користувача. Пересканіровать реєстр на наявність інших гілок реєстру із значенням «1jfuweif.exe» і поудалять їх.

Щоб максимально спростити ситуацію скажу, що для того аби позбутися цього вірусу досить почистити тимчасові папки і зробити відновлення системи (за умови якщо воно було включено і не пошкоджено вірусами). Це дасть аналогічний результат і позбавить Вас від непотрібного колупання в реєстрі.

Після цього можна пробувати перевантажуватися вже в нормальному режимі і зрадіти чудесного зцілення (а також економії мінімум 277 грн):

1. Вражає контингент зловмисників. Написанням і поширенням такого типу вірусів зайнялися зовсім вже малолітні задрот (формулювання пропозицій в банері і розташування елементів відповідає їх рівню інтелекту). В інтернеті з'явилася велика кількість конструкторів даного типу вірусів - досить лише внести туди свій текст, якусь картинку і подумати як його ширше розповсюдити.

2. Вражає готовність виробників антивірусів брати з усіх гроші при практично нульовій їх ефективності.

3. Вражають користувачі, які ведуться на ЦЕ і платять зловмисникам (інакше ніхто б цим не займався, або принаймні, воно не досягло б таких масштабів). Ні в якому разі не піддавайтеся на вимагання і не платите їм ніяких грошей! Кодів розблокування не існує!

4. Вражає МВС. Відвертий плювок на їх репутацію і распоясавшаяся кримінальна відповідальність не виробляють на них ніякого враження.

Сумно, панове ...

Дізнатися в будь-який момент часу де знаходиться Ваш транспортний засіб, Вам допоможе gps моніторинг від компанії Саттранс-Навігатор.

PS (25.05.2013)

Ганьба нашого МВС не припиняється: