FAQ Удаление Trojan-Ransom.Win32.Blocker

Семейство Trojan-Ransom.Win32.Blocker является классическим примером вредоносных программ, предназначенных для шантажа и вымогательства. При установке на компьютер эти зловреды прописываются в автозагрузку, в ключ реестра [Software\Microsoft\Windows NT\CurrentVersion\Winlogon], параметр "Userinit", в результате чего блокируют запуск ОС. Получив управление на запуске ОС, зловреды отображают окно с требованием отправить SMS с определенным текстом на указанный короткий номер. В ответ пользователю обещают выслать код разблокировки, который отключит вредоносную программу и разблокирует загрузку компьютера.

Сам по себе Trojan-Ransom.Win32.Blocker несложно удалить при помощи AVZ, AVPTool или вручную из редактора реестра, но есть одна проблема — загрузка ПК блокирована, и пользователь не может получить доступ к рабочему столу и запустить какие-либо программы или утилиты. Защищённый режим Windows также заблокирован.
Мне стало интересно, всё ли так безнадежно и может ли пользователь сделать что-либо без спецсредств, Live CD и особых технических знаний. После ряда опытов обнаружился очень простой алгоритм:

1. Нажать комбинацию WIN-U на клавиатуре — появится окно активации специальных возможностей. Оно, как оказалось, имеет очень высокий приоритет, и троянец ему не помеха.
2. 
3. Запускаем из этого окна экранную лупу. Запустившись, она выводит свое окошко, в котором есть гиперссылка «Веб-узел Майкрософт». Если нажать её, то запускается IE.
   
4. После запуска IE можно загружать из него любые целебные утилиты, типа AVZ или AVPTool, и запускать программы с диска ПК (в строке адреса можно указать любую программу), online-сканер и т.п.

Собственно, действия после запуска IE элементарны: можно пролечить ПК, сделать логи и карантины по правилам форумов «Лаборатории Касперского» и VirusInfo и удалить зловредов.

Источник

######################################################

Trojan.Winlock обладает особенностью, позволяющей ему удалять себя через 2 часа после запуска. Для тех, кто не хочет ждать, специалисты компании «Доктор Веб» подготовили специальную форму, в которую можно ввести текст предполагаемого sms-сообщения и получить код разблокировки.
На Dr.Web - инновационные технологии информационной безопасности. Комплексная защита от интернет-угроз. находится постоянно пополняемый генератор кодов разблокировки.