Днями попався черговий зразок вірусу-здирника, який від імені МВС України блокує комп'ютери користувачів. Тема вже неабияк набила оскому і не раз описувалася на цьому сайті , Але є в ньому деяка особливість, про яку я тут хочу розповісти, і, знаючи яку, вам буде легше з ними боротися.
В даний момент цей вірус детектується практично всіма популярними антивірусами ( 32 з 46 за версією virustotal.com ), Але на момент виникнення вірусу, відсоток його проникнення був незрівнянно вище.
Лікується ця зараза стандартно - завантаженням з LiveCD і аналізом процесів автозапуску основної системи. Схожі випадки описані тут і тут і тут :
Аналізуємо об'єкти автозапуску основної системи за допомогою програми Autoruns (File - Analyse Offline System ...)
Особливістю даного вірусу є те, що він змінює записи в реєстрі Windows, що відповідають за завантаження операційної системи:
Бачимо, що змінені оригінальні значення Userinit і Shell
Що це означає на практиці? Це означає, що просто видаливши вірусний файл (вручну або антивірусом), ми мало чого доб'ємося: вікно з вірусом вже не з'являється, але і виндовс завантажитися до кінця все одно не може. Щоб відновити завантаження нам необхідно виправити ці дві пошкоджені записи:
Для того щоб виправити невірну запис у програмі Autoruns натискаємо правою клавішею на записи і вибираємо пункт Jump to Entry ... після чого переходимо в редактор реєстру
Після чого відкривається редактор реєстру:
Виправляємо редактором реєстру неправильні записи
Оригінальні значення ключів реєстру Shell, UIHost, Userinit:
HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Userinit є «c: \ windows \ system32 \ userinit.exe,»
HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Shell є «explorer.exe»
HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ UIHost є «logonui.exe»
(Для Windows XP, Vista, 7 32 і 64 bit)
Перевірити гілку автозавантаження HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run на наявність там значення «1jfuweif.exe«. При наявності такого - видалити його.
Після чого оновлюємо вікно програми «Autoruns» і контролюємо правильність внесених змін:
Оновлюємо вікно програми і контролюємо правильність внесених змін
Обов'язково потрібно видалити сам вірусний файл (в нашому випадку він називається 1jfuweif.exe). Зазвичай він знаходиться в папці тимчасових файлів користувача. Пересканіровать реєстр на наявність інших гілок реєстру із значенням «1jfuweif.exe» і поудалять їх.
Щоб максимально спростити ситуацію скажу, що для того аби позбутися цього вірусу досить почистити тимчасові папки і зробити відновлення системи (за умови якщо воно було включено і не пошкоджено вірусами). Це дасть аналогічний результат і позбавить Вас від непотрібного колупання в реєстрі.
Після цього можна пробувати перевантажуватися вже в нормальному режимі і зрадіти чудесного зцілення (а також економії мінімум 277 грн):
1. Вражає контингент зловмисників. Написанням і поширенням такого типу вірусів зайнялися зовсім вже малолітні задрот (формулювання пропозицій в банері і розташування елементів відповідає їх рівню інтелекту). В інтернеті з'явилася велика кількість конструкторів даного типу вірусів - досить лише внести туди свій текст, якусь картинку і подумати як його ширше розповсюдити.
2. Вражає готовність виробників антивірусів брати з усіх гроші при практично нульовій їх ефективності.
3. Вражають користувачі, які ведуться на ЦЕ і платять зловмисникам (інакше ніхто б цим не займався, або принаймні, воно не досягло б таких масштабів). Ні в якому разі не піддавайтеся на вимагання і не платите їм ніяких грошей! Кодів розблокування не існує!
4. Вражає МВС. Відвертий плювок на їх репутацію і распоясавшаяся кримінальна відповідальність не виробляють на них ніякого враження.
Сумно, панове ...
Дізнатися в будь-який момент часу де знаходиться Ваш транспортний засіб, Вам допоможе gps моніторинг від компанії Саттранс-Навігатор.
PS (25.05.2013)
Ганьба нашого МВС не припиняється: