Комп'ютер заблокований! Новий вірус-вимагач

Ваш комп'ютер заблокований за посмотр, копіювання і тиражування відеоматеріалів містять елементи педофілії і насильства над дітьми

Ваш комп'ютер заблокований за посмотр, копіювання і тиражування відеоматеріалів містять елементи педофілії і насильства над дітьми. Для зняття блокування Вам необхідно сплатити штраф у розмірі 500 рублів на номер Білайн 8-909-151-56-52. У разі оплати суми, що дорівнює штрафу або перевищує її на фіскальному чеку терміналу буде надрукований код розблокування. Його потрібно ввести в поле в нижній чати вікна і натиснути кнопку "Розблокувати". Після зняття блокірокі Ви повинні видалити всі матеріали містять елементи насильства та педофілії. Якщо протягом 12 годин штраф не буде сплачено, всі дані на Вашому комп'ютері, видаляється назавжди, а справа буде передана до суду для розгляду по статті 242 ч.1 КК РФ.
Перезавантаження або виключення комп'ютера призведе до негайного видалення ВСІХ даних, включаючи код операційної системи і BIOS, з неможливістю подальшого відновлення.

Буквально за пару днів надійшло декілька пацієнтів з подобою симптомами. З Першого погляду нічого особливого - звичайний блокіратор, вже не раз писав про них в розділі вірусологія . Однак цей тип трохи відрізняється від описаних раніше, наприклад Internet Security і відмінність це поганенький.

Даний вимагач замінює собою системи файл userinit.exe, що знаходиться в каталозі C: \ WINDOWS \ system32 \, чого не помічалося за його попередниками.

За доброю традицією, для лікування знадобиться завантажувальний диск або флешка. Отримавши доступ до системи, після завантаження з диска або флешки виконайте наступні дії:

  1. У каталозі C: \ Documents and Settings \ All Users \ Application Data \ видаляємо файл з назвою 22CC6C32.exe
  2. У каталозі C: \ WINDOWS \ system32 \ видаляємо файл userinit.exe
  3. У цьому ж каталозі знаходимо і перейменовуємо файл 03014D3F.exe в userinit.exe
  4. Для Windows XP перевіряємо розмір файлу userinit.exe в каталозі C: \ WINDOWS \ system32 \ dllcache \ з тим, який ми тільки що зробили. Якщо розмір не збігається, замінюємо його перейменованим файлом.
  5. Підключаємо реєстр хворий системи, як це зробити вручну читаємо тут . Заходимо в наступну гілку реєстру:
  6. HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon

    Параметру Shell прописуємо його початкове значення explorer.exe

    Параметр Userinit виправляємо на C: \ WINDOWS \ system32 \ userinit.exe, (все зайве прибрати)

    exe, (все зайве прибрати)

  7. Пошуком в реєстрі знаходимо і видаляємо всі записи, де міститься 22CC6C32.exe
  8. перезавантажуємо комп'ютер
  9. Підписуйтесь на канал Яндекс.Дзен і дізнавайтеся першими про нові матеріали, опублікованих на сайті.

Дополнительная информация

rss
Карта