• اگر «سیستم عامل ویندوز قفل است چه باید کرد. بنر ویندوز مسدود شده است، چه کار کنم؟ چگونه یک بدافزار مسدود شده ویندوز می تواند وارد رایانه شما شود

    – این پیام یک تروجان است. هنگامی که تروجان Winlock رایانه شما را آلوده می کند، یک بنر مسدود کننده با یک پیام جعلی نشان می دهد که از شما می خواهد به طوری که شما از 500 تا 2000 روبل پرداخت می کنیدپشت باز کردن قفلسیستم عامل شما - این پیام را نادیده بگیرید و سعی کنید خودتان تروجان را از رایانه خود حذف کنید. این پیام ادعا می کند که شما قانون را زیر پا گذاشته اید زیرا فیلم های حاوی پورن همجنسگرایان، سوء استفاده از کودکان و موارد مشابه را تماشا کرده اید، علاوه بر این، شما همچنین این مطالب ویدیویی زشت را بازتولید کرده اید که در رابطه با آن مایکروسافت ویندوز شما را مسدود کرده است.

    برای ترساندن بیشتر شما، به طوری که مطمئن باشید "جریمه" را به مجرمان سایبری می پردازید، برخی از بنرها دارای ساعت شمارش معکوس برای باز کردن قفل یا زمان خاصی هستند. در غیر این صورت، پیام جعلی می گوید که در صورت عدم پرداخت " خوب» به طور کامل، با شارژ کردن شماره مشترک MTS یا Beeline یا با ارسال پیامک حاوی متن به یک شماره کوتاه - کلیه اسناد و فایل های شما حذف می شود و پرونده تشکیل شده علیه شما برای رسیدگی بیشتر به دادگاه ارسال می شود. .

    ناگفته نماند که این یک کلاهبرداری کامل است، این پیام جعلی را نادیده بگیرید و حداقل تلاش کنید باز کردن قفل ویندوزبا دستان خودت اگر به دلیل ناآگاهی، با این وجود، "جریمه" غیرقابل وجودی را پرداخت کرده اید، می توانید سعی کنید با اپراتور تلفن همراه خود تماس بگیرید و توضیح دهید که فریب خورده اید تا شماره مشترک خود را دوباره پر کنید تا قفل ویندوز را باز کنید. لطفا از راهنمای حذف زیر استفاده کنید تروجان Winlockو باز کردن قفل ویندوزبرای حذف کامل بنر " «.

    نحوه حذف بنر مسدود شده ویندوز

    1.کامپیوتر خود را با استفاده از شبکه در حالت ایمن بوت کنید.
    برای انجام این کار، باید کامپیوتر، لپ تاپ خود را مجددا راه اندازی کنید. اگر کامپیوتر شما روشن است، آن را خاموش کنید. در طول راه اندازی اولیه فرآیند، کلید F8 را چند بار روی صفحه کلید خود فشار دهید تا زمانی که منویی از گزینه های اضافی بوت ویندوز را مشاهده کنید، سپس Safe Mode with Networking را از لیست انتخاب کنید.

    2.فایل ها و پوشه های مخفی خود را قابل مشاهده کنید.

    نحوه نمایش فایل ها بر روی صفحه نمایش در ویندوز 7:
    روی "شروع" کلیک کنید -> "کنترل پنل" را انتخاب کنید -> روی دکمه "ظاهر و شخصی سازی" کلیک کنید -> روی "گزینه های پوشه" کلیک کنید و به تب View بروید. با کلیک بر روی دکمه "اعمال" و سپس "OK" "نمایش فایل‌ها، پوشه‌ها و درایوهای مخفی" را انتخاب کنید.

    نحوه نمایش فایل ها بر روی صفحه نمایش در ویندوز XP:
    به "رایانه من" در دسکتاپ بروید -> "ابزارها"، سپس "گزینه های پوشه" و سپس "مشاهده" را انتخاب کنید و سپس "نمایش فایل ها و پوشه های پنهان" -> "اعمال" و "تأیید" را انتخاب کنید.

    3.ما پارامتر آلوده را در پوشه های سیستم پیدا می کنیم.
    روی "شروع" -> اجرا -> %APPDATA را وارد کنید، در پنجره ای که باز می شود ما به پوشه Microsoft نیاز داریم، در این لیست از پوشه ها explorer.exe را پیدا کرده و آن را حذف کنید.

    4. ویرایشگر رجیستری را باز کنید.
    Start -> سپس Run یا All Programs را انتخاب کنید. نوع: regedit. روی OK کلیک کنید. (به نحوه حذف ورودی های رجیستری مراجعه کنید؟)

    مکان را پیدا کنید و کلید ثبت نام زیر را حذف کنید:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    5.نرم افزار حذف بدافزار قانونی را دانلود و نصب کنید تا عفونت به طور کامل حذف شود.

    اگر بعد از باز کردن قفل ویندوز نمی توانید به اینترنت دسترسی پیدا کنید:

    رایانه خود را با درایورهای شبکه بارگذاری شده در حالت ایمن بوت کنید.
    Task Manager را راه اندازی کنید. کلیک ctrl+alt+del(یا ctrl+shift+esc) و وظیفه فرآیند برنامه سرکش را پاک کنید. اگر بعد از این روش نمی توانید به هیچ برنامه ای دسترسی پیدا کنید، روی File -> New Task (Run) کلیک کنید و explorer.exe را تایپ کنید، سپس روی OK کلیک کنید.

    باز کن اینترنت اکسپلوررابزارها و سپس Internet Options را انتخاب کنید. Connections را انتخاب کنید، سپس کلیک کنید تنظیمات شبکه-> از یک سرور پروکسی برای اتصالات استفاده کنید LANعلامت زده شده، علامت کادر را بردارید و OK را بزنید.

    پس از این روش باید بتوانید به اینترنت دسترسی داشته باشید. اکنون می توانید به راحتی نرم افزار آنتی ویروس را دانلود کرده و یک اسکن کامل را اجرا کنید. دانلود، نصب کنید و فراموش نکنید که برنامه آنتی ویروس انتخاب شده را به روز کنید. سپس یک اسکن کامل سیستم را اجرا کنید.

    سلام! امروز در مورد نحوه حذف یک مسدود کننده دسکتاپ که پس از آلوده شدن رایانه به ویروسی که ویندوز را مسدود کرده است ظاهر می شود، خواهم نوشت. و اکنون پنجره ای را در مقابل خود می بینید که از شما می خواهد کد بازگشایی را وارد کنید که می توانید پس از ارسال پیامک به شماره مهاجمان با پرداخت مبلغ مشخصی آن را خریداری کنید.

    چگونه قفل ویندوز را رایگان باز کنیم؟

    هیچ کس نمی خواهد برای باز کردن قفل ویندوز پول بپردازد. و اگر به حساب مشخص شده توسط کلاهبرداران پول پرداخت کنید، هیچ تضمینی وجود ندارد که آنها یک کلید ویندوز را برای شما ارسال کنند که قفل آن باز می شود. بنابراین، ما راه هایی را برای باز کردن قفل ویندوز به صورت رایگان بررسی خواهیم کرد:

    روش 1 تغییر تاریخ در بایوس کامپیوتر است. برای کسانی که کامپیوتر ندارند سعی می کنم نحوه ورود به بایوس را توضیح دهم. یک دکمه راه اندازی مجدد روی واحد سیستم وجود دارد - اگر رایانه روشن است، آن را فشار دهید. اگر کامپیوتر خاموش است، آن را روشن کنید. چند ثانیه پس از شروع بوت شدن رایانه، کلید DELETE را روی صفحه کلید خود فشار داده و نگه دارید. اگر با موفقیت وارد سیستم شده اید، منوی BIOS با پس زمینه آبی به زبان انگلیسی روی صفحه ظاهر می شود. در BIOS شما باید به بخش Standard CMOS Features بروید، یک فیلد تاریخ فعلی وجود دارد، تاریخ را به تاریخ قبلی تغییر دهید. پس از تغییر تاریخ، Esc را فشار دهید و به منوی اصلی هدایت خواهید شد. برای ذخیره داده ها، Save & Exit Setup را انتخاب کنید، سپس y را برای تایید ذخیره فشار دهید. این روش به حل مشکل بنر مسدود کننده ویندوز کمک می کند، اما ویروس هنوز باید پیدا و حذف شود.

    روش دوم - از تلفن همراه خود یا از رایانه دیگری به وب سایت های آنتی ویروس Doctor Web بروید https://www.drweb.com/xperf/unlocker/یا Kaspersky http://www.kaspersky.ru/support/viruses/deblocker و در این بخش ها به دنبال کلید باز کردن قفل بگردید.

    روش سوم این است که خودتان ویروس را پیدا و حذف کنید. دنباله اقدامات: هنگام بارگذاری ویندوز، F8 را فشار دهید و بوت را در حالت امن با پشتیبانی از خط فرمان انتخاب کنید. پنجره ای بار می شود که در آن دستور regedit را وارد می کنیم، رجیستری باز می شود، مراقب باشید چیزی را حذف نکنید، به شعبه HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon بروید و فایلی را در سمت راست به نام Shell پیدا کنید. ; مسیری که در آنجا نوشته شده را بنویسید و 2 بار کلیک کنید و این مسیر را پاک کنید. سپس explorere.exe را وارد خط فرمان کنید و راه اندازی مجدد کنید، ویندوز بدون مشکل و بدون بنر مسدود کننده روشن می شود. حالا مسیری که یادداشت کردید رو دنبال کنید و فایل خود این ویروس رو پاک کنید! به این ترتیب ویروسی که ویندوز را مسدود کرده است پاک می کنید.

    روش چهارم - هنگام بارگذاری ویندوز F8 را فشار دهید و سعی کنید با انتخاب یک نقطه بازیابی، بازیابی سیستم را شروع کنید. پس از بازیابی موفقیت آمیز، باید ویروس را حذف کنید، یک برنامه آنتی ویروس اجرا کنید و کل رایانه را اسکن کنید.

    روش پنجم - نمادهای این ویروس ها در نوار راه اندازی سریع قابل مشاهده است. هنگامی که مکان نما را روی نماد قرار می دهید، نام فایل نمایش داده می شود که اغلب شامل مجموعه ای از اعداد است. برای یافتن این فایل از جستجو استفاده کنید. شما نمی توانید یک فایل مانند آن را حذف کنید. ابتدا نام آن را تغییر دهید و سپس حذف کنید و فراموش نکنید که سطل زباله را خالی کنید. و در هر صورت، سیستم را با یک آنتی ویروس اسکن کنید.

    روش ششم - دیسک محلی که ویندوز روی آن نصب شده است را فرمت کنید. اما این گزینه منجر به از دست رفتن اطلاعات ذخیره شده در دیسک محلی می شود. و این رادیکال ترین راه برای مقابله با مسدود کننده سیستم است؛ فقط در صورتی از آن استفاده کنید که روش های فوق برای باز کردن قفل ویندوز کمکی نکرد.

    چگونه ویروس را بعد از باز کردن قفل پاک کنیم؟ برنامه cureit را دانلود کنید که مسدود کننده های تروجان را از ویندوز حذف می کند. این لینک است http://www.freedrweb.com/cureit/?lng=ruاین ویروس اغلب در پوشه C:\System Volume Information ثبت می شود

    گاهی اوقات وقتی کامپیوتر را روشن می کنید، ممکن است پیامی روی صفحه ظاهر شود مبنی بر اینکه سیستم عامل قفل است و برای دریافت کد بازگشایی باید مبلغ مشخصی را واریز کنید. در این مورد، پیام ممکن است نشان دهنده حساب هر اپراتور تلفن همراه باشد. تعداد زیادی از کاربران با این مشکل روبرو هستند.

    این پیام توسط یک بدافزار نسبتاً رایج ایجاد می شود. البته نیازی به ارسال نیست چون هیچ شماره ای در پاسخ دریافت نمی شود. در عین حال، نباید به متن پیام توجه کنید، زیرا می توان چیزهای زیادی در آنجا نوشت، اما این فقط اختراع کلاهبردار است تا کاربر را گیج کند. در این مورد، شما نباید ناامید شوید، زیرا راه حل این مشکل بسیار ساده است.

    شایان ذکر است که تلاش برای یافتن شماره های بازگشایی در انجمن ها یا وب سایت های آنتی ویروس هیچ فایده ای ندارد، زیرا یافتن آنها غیرممکن است. حتی اگر پیام حاوی یک خط برای وارد کردن این رمز عبور باشد، این به معنای وجود آن نیست. به عنوان یک قاعده، مهاجمان به خود زحمت نمی‌دهند، به خصوص اکنون. صاحبان سیستم عامل های ویندوز XP، 7 و 8 اغلب قربانی چنین کلاهبردارانی می شوند.

    نحوه حذف ویندوز قفل شده

    در ابتدا باید با روش دستی رفع این مشکل آشنا شوید. علاوه بر این یک روش خودکار برای از بین بردن این ویروس وجود دارد که در ادامه توضیح داده خواهد شد. شایان ذکر است که در حالت خودکار کل فرآیند بسیار ساده تر است، با این حال، پس از از بین بردن ویروس، ممکن است برخی از مشکلات ظاهر شود. رایج ترین مشکل این است که دسکتاپ نمی تواند بارگیری شود.

    برای رفع این مشکل سیستم قفل شده، ابتدا باید با قابلیت استفاده از Command Prompt به حالت Safe Mode بروید. این اقدامات در سیستم عامل های مختلف به طور متفاوت انجام می شود.

    در نسخه های ویندوز XP و 7، پس از روشن کردن رایانه شخصی، باید به طور مداوم کلید F8 را فشار دهید تا گزینه های احتمالی بوت سیستم برجسته شوند، جایی که باید روی حالت امن کلیک کنید. در برخی از نسخه های BIOS، با فشار دادن دکمه F8، منویی برای انتخاب دیسک برای بوت شدن سیستم نمایش داده می شود. در این حالت باید هارد دیسک را انتخاب کنید، Enter را فشار دهید و بلافاصله F8 را فشار دهید.

    در نسخه 8 ویندوز، ورود به حالت امن کمی دشوارتر است. راه های مختلفی برای این کار وجود دارد. ساده ترین آنها روشن کردن نادرست رایانه شخصی است. در این حالت، کامپیوتر روشن می شود، اما یک پنجره قفل ظاهر می شود. در اینجا باید دکمه پاور را به مدت پنج ثانیه نگه دارید و پس از آن رایانه خاموش می شود.

    پس از راه اندازی مجدد رایانه شخصی، پنجره ای برای انتخاب روش بوت باید باز شود که در آن باید یک حالت امن با قابلیت کار با خط فرمان پیدا کنید. پس از راه اندازی خط فرمان، باید regedit را در آن بنویسید و Enter را فشار دهید.
    در نتیجه، ویرایشگر رجیستری باید بارگیری شود، جایی که کار اصلی حذف ویروس انجام می شود.

    سپس در رجیستری باید قسمت HKEY_LOCAL_MACHINE را انتخاب کنید، سپس بر روی SOFTWARE کلیک کنید، سپس به Microsoft و سپس Windows NT بروید، CurrentVersion را پیدا کنید و در نهایت Winlogon را کلیک کنید. ویروس هایی که سیستم عامل را مسدود می کنند اغلب ورودی های خود را در این پوشه قرار می دهند.

    در اینجا باید به دو پارامتر Shell و Userinit توجه کنید. معانی آنها در هر نسخه از ویندوز یکسان است، بنابراین ارزش بررسی درستی آنها را دارد. برای شل، مقدار باید explorer.exe باشد، و در مورد Userinit به نظر می رسد c:\windows\system32\userinit.exe، (یک کاما در پایان باید وجود داشته باشد).

    اگر ویروسی با سیستم عامل کار کرده باشد، مقادیر متفاوت خواهد بود. بیشتر شل تغییر می کند. در این حالت، باید روی پارامتر با مقدار تغییریافته کلیک راست کرده و "Change" را انتخاب کنید، پس از آن باید مقدار صحیح را وارد کنید. علاوه بر این، باید مسیر ویروسی را که در آنجا ثبت شده است به خاطر بسپارید یا یادداشت کنید.

    بعد از این باید به آدرس HKEY_CURRENT_USER رفته و همان مسیر قسمت اول را طی کنید. در اینجا باید به Shell و Userinit نیز توجه کنید. چنین پارامترهایی نباید در این پوشه وجود داشته باشد. اگر آنها اینجا هستند، باید آنها را انتخاب کنید و روی "حذف" کلیک کنید.

    سپس در همان بخش ها باید به HKEY_CURRENT_USER بروید، سپس Software را انتخاب کنید، سپس به مایکروسافت بروید، در اینجا Windows، سپس CurrentVersion و در انتها Run را کلیک کنید و همان مسیر را با HKEY_LOCAL_MACHINE شروع کنید. در این پوشه ها، شما همچنین باید مطمئن شوید که هیچ گزینه ای برای این بخش ها به فایل های مشابه Shell از نقطه بالا منجر نمی شود. اگر آنها وجود داشته باشند، باید حذف شوند. اغلب، نام فایل ها از ترکیبی از حروف و اعداد در قالب exe. تشکیل شده است. هر چیزی شبیه به این باید حذف شود.

    سپس باید از رجیستری خارج شوید و به خط فرمان بروید. در آن شما باید Explorer را ثبت کنید و Enter را فشار دهید، که دسکتاپ سیستم باز می شود. پس از این، باید به کاوشگر سیستم عامل بروید و فایل هایی را که در بخش های راه دور ثبت شده اند حذف کنید. اغلب این فایل ها در دایرکتوری Users قرار دارند و رسیدن به مکان آنها بسیار دشوار است. ساده ترین راه برای انجام این کار، مشخص کردن مسیر دایرکتوری در نوار آدرس است. همه این فایل ها باید از بین بروند. اگر این فایل ها در پوشه Temp قرار دارند، می توانید این دایرکتوری را به طور کامل پاک کنید.

    پس از انجام تمام دستکاری ها، باید رایانه شخصی را مجدداً راه اندازی کنید. در این حالت می توانید از ترکیب Ctrl+Alt+Del استفاده کنید. پس از تمام این دستکاری ها، رایانه شخصی به طور عادی شروع به کار می کند و به خوبی کار می کند و پیام مسدود کردن ظاهر نمی شود. هنگامی که رایانه خود را برای اولین بار راه اندازی می کنید، باید "Task Scheduler" را دانلود کنید و بررسی کنید که هیچ کار عجیبی وجود ندارد. اگر چیزی پیدا شد، باید حذف شود.

    خلاص شدن از قفل شدن خودکار ویندوز با استفاده از Kaspersky Rescue Disk

    این روش برای باز کردن قفل سیستم عامل بسیار ساده تر از آنچه در بالا توضیح داده شد است. در این مورد، باید Kaspersky Rescue Disk را از منبع رسمی سازنده بر روی یک رایانه شخصی بارگیری کنید. پس از این، باید تصویر دیسک را در یک دستگاه ذخیره سازی کپی کنید.

    پس از شروع از این دیسک، از شما خواسته می شود یک دکمه را فشار دهید و سپس زبان منو را مشخص کنید. شما باید مناسب را انتخاب کنید. پس از این، باید موافقت نامه مجوز را بپذیرید. برای این کار باید روی صفحه کلید عدد 1 را فشار دهید، پس از این دستکاری ها، منوی دیسک ظاهر می شود که باید حالت گرافیکی را انتخاب کنید.

    پس از راه اندازی پوسته گرافیکی، که به شما امکان انجام دستکاری های مختلف را می دهد، باید Windows unlock را انتخاب کنید. سپس باید موارد «Boot Sectors»، «Hidden startup objects» و درایو C را انتخاب کنید. پس از آن باید روی «Run check» کلیک کنید.

    در پایان اسکن، گزارشی روی صفحه ظاهر می شود که اقدامات انجام شده و نتایج آنها را نمایش می دهد. به عنوان یک قاعده، این دستکاری ها برای باز کردن قفل سیستم عامل کاملاً کافی است. پس از این، باید روی "خروج" کلیک کنید و رایانه را خاموش کنید. پس از خاموش کردن رایانه، باید درایو را بردارید و رایانه را دوباره راه اندازی کنید. سیستم عامل باید شروع شود و می توانید کار را روی رایانه شروع کنید.

    اینها همه دستکاری های ساده ای هستند که به خلاص شدن از انسداد سیستم عامل کمک می کنند. حتی کاربران مبتدی نیز می توانند آنها را اجرا کنند.

    اگر وقتی کامپیوتر خود را دوباره روشن می کنید، پیامی می بینید که ویندوز قفل شده است و برای دریافت شماره آنلاک باید 3000 روبل انتقال دهید، چند نکته را بدانید:

    • شما تنها نیستید - این یکی از رایج ترین انواع بدافزار (ویروس) است.
    • هیچ جایی ارسال نکنید، به احتمال زیاد شماره را دریافت نخواهید کرد. نه به حساب Beeline، نه به MTS، یا هر جای دیگری.
    • هر متنی مبنی بر اینکه جریمه پرداخت می شود، مشمول قانون کیفری است، اشاره به امنیت مایکروسافت و مواردی از این دست چیزی نیست جز متنی که توسط یک ویروس نویس احتمالی ساخته شده است تا شما را گمراه کند.
    • حل مشکل و حذف پنجره قفل شده ویندوز بسیار ساده است، اکنون نحوه انجام آن را خواهیم فهمید.

    یک پنجره قفل معمولی ویندوز (واقعی نیست، خودم آن را کشیدم)

    همانطور که قبلاً گفتم، این روش حذف قفل ویندوز تا حدودی ساده تر است. شما باید Kaspersky Rescue Disk را از وب‌سایت رسمی http://support.kaspersky.ru/viruses/rescuedisk#downloads از یک رایانه در حال کار دانلود کنید و تصویر را روی یک دیسک یا درایو فلش USB قابل بوت رایت کنید. پس از این، باید از این دیسک در رایانه قفل شده بوت شوید.

    پس از راه‌اندازی از Kaspersky Rescue Disk، ابتدا یک اعلان برای فشار دادن هر کلید و سپس انتخاب زبان مشاهده خواهید کرد. ما یکی را انتخاب می کنیم که راحت تر است. مرحله بعدی قرارداد مجوز است، برای پذیرش آن، باید 1 را روی صفحه کلید فشار دهید.

    منوی دیسک نجات کسپرسکی

    منوی Kaspersky Rescue Disk ظاهر می شود. Graphics Mode را انتخاب کنید.

    تنظیمات اسکن ویروس

    پس از این، پوسته گرافیکی راه اندازی می شود که در آن می توانید بسیاری از کارها را انجام دهید، اما ما علاقه مند هستیم که ویندوز را سریع باز کنیم. کادرهای «بخش‌های راه‌اندازی»، «اشیاء راه‌اندازی پنهان» را علامت بزنید و در همان زمان می‌توانید درایو C: را نیز بررسی کنید (بررسی بسیار بیشتر طول می‌کشد، اما مؤثرتر خواهد بود). روی "Run Check" کلیک کنید.

    پس از اتمام بررسی، می توانید به گزارش نگاه کنید و ببینید دقیقاً چه کاری انجام شده است و نتیجه چه بوده است - معمولاً چنین بررسی برای حذف قفل ویندوز کافی است. روی "خروج" کلیک کنید و سپس کامپیوتر خود را خاموش کنید. پس از خاموش شدن، دیسک یا فلش درایو کسپرسکی را بردارید و کامپیوتر را دوباره روشن کنید - ویندوز دیگر نباید قفل باشد و می توانید به کار خود بازگردید.

    اگر هنگام بارگذاری سیستم عامل به جای دسکتاپ معمولی، این یا پیامی مشابه را مشاهده کردید و حتی با تهدید به تخریب اطلاعات، آسیب به رایانه، دستگیری، اعدام و غیره در صورت عدم پرداخت در مدت کوتاهی مواجه شدید. زمان، در حالی که این پیام به هیچ وجه قابل حذف یا کوچک سازی نیست (هیچ اقدامی غیر از وارد کردن کد باز کردن قفل امکان پذیر نیست)، بدانید: شما قربانی کلاهبرداران باج افزار شده اید، اما هرگز نباید به آنها پرداخت کنید. با انجام این کار، شما فقط از توسعه بیشتر بدافزار حمایت مالی می کنید؛ علاوه بر این، ارسال پول به جایی به این معنی نیست که برای شما یک کد ذخیره می فرستند و حتی اگر این کار را انجام دهند، این واقعیت نیست که وضعیت در آن تکرار نشود. یک هفته. در این مقاله نحوه جلوگیری از چنین عفونتی و درمان رایانه خود را در صورت وقوع، با استفاده از مثال یک موقعیت مشابه شرح خواهم داد.

    امروزه چنین عفونتی نسبتاً به ندرت یافت می شود، اما مردم هنوز هم موفق می شوند آن را در جایی پیدا کنند و سپس باید تجربه گذشته خود را به خاطر بسپارند و وظیفه از بین بردن این بلا را بر عهده بگیرند. دو سال پیش، وضعیت ویروس های Winlocker به سادگی فاجعه آمیز بود: تقریباً همه به طور مکرر آلوده شدند. نبوغ ویروس نویسان شگفت انگیز بود: مواردی وجود داشت که وضعیت فقط با نصب مجدد کامل سیستم حل می شد. پس از دستگیری باندی از چنین "برنامه نویسان" در مسکو در سال گذشته، وضعیت به طرز چشمگیری بهبود یافت. من از مبلغی که آنها در شش ماه به دست آوردند شگفت زده شدم: میلیارد (!!!) روبل.

    حالا حادثه امروز را شرح می دهم

    علائم:پنجره ویروس در بالای همه موارد دیگر قرار دارد، Task Manager مسدود شده است، مجموعه ای استاندارد از تهدیدات. در میان نوآوری ها، باید به این نکته اشاره کرد که نویسندگان چنین ویروس هایی دیگر پیشنهاد ارسال پول از طریق پیامک را ندارند. در عوض، شما باید کیف پول WebMoney خود را دوباره پر کنید (در این مورد، ردیابی نویسنده ویروس تقریبا غیرممکن است) و مقادیر افزایش یافته است: اگر اخاذی های قبلی 30 گریونیا درخواست می کردند، اکنون آنها 100 گریونا می خواهند (و جنایتکارانه). مسئولیت در اوکراین از 60 hryvnia شروع می شود). چیزی که باعث خنده من شد اجرای کاملاً اسفناک ویروس بود: آنها حتی نتوانستند یک حالت تمام صفحه را اجرا کنند (ظاهرا رزولوشن صفحه نمایش 1200×800 در دسته بعید است))) بنابراین غلبه بر آن دشوار نبود. (اما اگر قربانیان شروع به انتقال پول به آنها کنند، کتاب های هوشمند زیادی در زمینه برنامه نویسی می خرند و دفعه بعد چیز ظریف تری خواهند نوشت!) ، یک دسته از خطاهای گرامری ("...گزارش های مسدود کردن ..."))).

    مکانیسم عفونت، نحوه عملکرد ویروس و نحوه حذف آن

    در راه اندازی یک فایل "superclubber.bat" با متن وجود دارد:

    @echo خاموش
    عنوان superclubber
    superclubber.exe را راه اندازی کنید

    شناسایی troyan winlock با استفاده از ابزار Sysinternals Autoruns در راه اندازی ویندوز

    یعنی فایل "superclubber.exe" را که ویروس واقعی است راه اندازی می کند. بر این اساس، کل مراحل درمان به حذف این ورودی رجیستری و دو فایل ( متأسفانه، چنین ویروس های ساده ای بسیار نادر هستند، معمولاً برای خلاص شدن از شر آن باید به شدت عرق کنید.). تجزیه و تحلیل این فایل در وب سایت virustotal.com نشان داد که در حال حاضر تنها توسط 14 آنتی ویروس از 43 آنتی ویروس شناسایی شده است. درصد پایین (!)). Avira (TR/Crypt.CFI.Gen)، Avast (Win32:Rootkit-gen)، AVG (Generic23.AMUX)، DrWeb (Trojan.Winlock.3724)، Kaspersky (Trojan-Ransom.Win32.Blocker.apz)، NOD32 (نوعی از تروجان Win32/LockScreen.AHP) از جمله کسانی بودند که شناسایی کردند. از کسانی که هنوز آن را دارند تعریف نمی کند و بر این اساس از آن می گذرندلازم به ذکر است آنتی ویروس های مایکروسافت، پاندا، سیمانتک، مک آفی، جی دیتا.

    پس از راه اندازی مجدد، پنجره دیگر باز نمی شود، به این معنی که ویروس دیگر فعال نیست.

    علت عفونتاین کامپیوتر معلوم شد که آخرین تاریخ آپدیت آنتی ویروس Avast 13 ژوئن بوده (یعنی بیش از یک ماه بود که آپدیت نشده بود) و هنوز از وضعیت این ویروس در آن تاریخ اطلاعی نداشت و بنابراین از دست داد

    روش عفونت:تجزیه و تحلیل بیشتر نشان داد که فرد کل زمان قبل از عفونت را در سایت های مختلف پورنو (بیش از 100 سایت متوالی) سپری کرده است. یکی از این سایت ها حاوی کدهای مخرب (سوء استفاده جاوا) بود که باعث آلودگی می شد.

    مشاهده تاریخچه مرورگر اپرا نشان داد که در روز آلودگی کاربر از تعداد زیادی از سایت های پورنو بازدید کرده است

    پاکسازی نهایی

    ما آنتی ویروس را به روز می کنیم و یک اسکن کامل سیستم را انجام می دهیم:

    در نتایج اسکن ما فایل هایی را که از طریق آنها عفونت رخ داده است شناسایی می کنیم

    در نتایج اسکن، فایل هایی را پیدا می کنیم که از طریق آنها عفونت رخ داده است. در این حالت کاملاً بدون توجه کاربر اتفاق افتاد و نیازی به اقدامی از او نداشت. باز هم متذکر می شوم: اگر کاربر به خود زحمت می داد تا آنتی ویروس را به روز نگه دارد، این آلودگی اتفاق نمی افتاد!

    ما همین کار را با Malwarebytes Anti-Malware انجام می دهیم:

    بیشتر بخوانید: