В последнее время наблюдается рост количества вредоносных программ-вымогателей, требующих отправить sms-сообщение для получения доступа к заблокированной системе или к пользовательским файлам.
8 апреля 2009 г. компания «Доктор Веб» сообщила о появлении нового образца подобной троянской программы, которая при запуске Windows предлагает ввести «регистрационный код» – якобы для регистрации нелицензионной копии Windows. Для разблокировки доступа к системе (якобы для получения регистрационного кода) требуется отправить платное sms-сообщение – с указанным текстом (последовательность случайных цифр) на указанный номер.
Примерный текст сообщения: «Windows заблокирован. Для разблокировки необходимо отправить смс с текстом 4128800256 на номер 3649. Попытка переустановить систему может привести к потере важной информации и нарушениям работы компьютера».
В окне доступны текстовое поле Ввести полученный код и кнопка Активация.
Что представляет собой вирус, блокирующий запуск Windows
Данная вредоносная программа была добавлена в вирусную базу Dr.Web 08.04.2009 г., под названием Trojan.Winlock.19. Ее модификации автоматически распознаются технологией Origins TracingTM как Trojan.Winlock.origin. Trojan.Winlock распространяется в виде поддельных кодеков.
Антивирус Касперского распознает вирус с 13.04.2009 г., как Trojan-Dropper.Win32.Blocker.a. Panda Security с 20.04.2009 г. идентифицирует вирус, как Trj/SMSlock.A.
Вирус представляет собой троянскую программу, устанавливающую в систему другую вредоносную программу, которая блокирует работу операционной системы Windows.
Программа является приложением Windows (PE EXE-файл). Имеет размер 88576 байт. Написана на C++.
Деструктивные действия вируса
После активации вирус извлекает из своего тела файл во временный каталог текущего пользователя Windows – %Temp%\ .tmp ( – случайная последовательность цифр и букв латинского алфавита).
Данный файл имеет размер 94208 байт и детектируется Антивирусом Касперского как Trojan-Ransom.Win32.Agent.af.
После успешного сохранения файл запускается на выполнение, выполняя следующие действия:
– для автоматического запуска в разделе [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] системного реестра вирус изменяет значение строкового (REG_SZ) параметра Userinit – на %Temp%\.tmp;
– в зависимости от текущей даты вирус отправляет http-запрос: http://%3Crnd1%3E.com/regis***.php?guid={}&wid=&u=&number=install=1,
где – url-ссылка, сформированная по специальному алгоритму в зависимости от текущей даты;
– специально сформированный уникальный идентификатор;
– случайное число;
– серийный номер жесткого диска;
– после перезагрузки ПК вирус выводит окно с предложением отправить sms-сообщение на указанный номер для разблокировки;
– при разблокировании операционной системы Windows в рабочем каталоге вируса создается файл командного интерпретатора под именем a.bat. В данный файл записывается код для удаления оригинального файла вируса и самого файла командного интерпретатора. Затем файл a.bat запускается на выполнение (кстати, этот вирус «склонен к самоубийству»: через 2 часа после запуска он делает себе «харакири», то есть самоуничтожается, если в течение 2-х часов код разблокировки не введен).
Как разблокировать Windows
Для разблокировки используйте бесплатный сервис Deblocker на сайтах "Лаборатории Касперского" и "Доктор Веб". Сервис поможет убрать баннер (рекламный модуль) с рабочего стола, разблокировать Windows без отправки смс или вернуть зашифрованные вирусом файлы.
Для ручной разблокировки Windows, заблокированной вирусом Trojan.Winlock, вы можете воспользоваться формой, разработанной специалистами «Доктор Веб»: – в текстовое поле Текст для SMS введите текст sms (с экрана монитора заблокированной системы), нажмите кнопку OK; – в текстовом поле Код активации появится код, который нужно ввести в текстовое поле Ввести полученный код на заблокированной системе. Текст для SMS:
Код активации:
Как удалить вирус вручную
Загрузите Windows в так называемой «чистой среде», например, воспользовавшись загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander:
вставьте диск с ERD Commander в лоток CD-ROM, перезагрузите ПК;
во время перезагрузки нажмите Delete для входа в CMOS Setup Utility;
установите загрузку ПК с CD-ROM, нажмите F10, санкционируйте сделанные изменения, начнется перезагрузка;
в появившемся меню Мастер восстановления Windows XP выберите Загрузка ERD Commander –> Enter;
внизу появится строка состояния Starting Winternals ERD Commander;
после загрузки драйвера видеокарты в появившемся окне нажмите кнопку Skip Network Configuration;
в окне Welcome to ERD Commander выберите свою ОС –> OK;
когда загрузится Рабочий Стол, дважды щелкните значок My Computer;
в окне ERD Commander Explorer раскройте диск, на котором установлена ОС (как правило, C:\);
удалите оригинальный файл вируса, как правило, он расположен во временном каталоге текущего пользователя Windows – %Temp%\.tmp (может иметь атрибуты Скрытый, Системный, Только чтение);
закройте окно ERD Commander Explorer;
нажмите Start –> Administrative Tools –> RegEdit;
в окне ERD Commander Registry Editor найдите раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon];
исправьте значение строкового REG_SZ-параметра Userinit на C:\WINDOWS\system32\userinit.exe, (если система установлена на диске C:\, если на другом диске, то <�буква_диска> :\Windows\system32\userinit.exe,). Вирус устанавливает значение этого параметра %Temp%\.tmp;
в этом же разделе исправьте (при необходимости) значение строкового REG_SZ-параметра Shell на Explorer.exe;
закройте окно ERD Commander Registry Editor;
нажмите Start –> Log Off –> Restart –> OK;
во время перезагрузки нажмите Delete для входа в CMOS Setup Utility;
установите загрузку ПК с винчестера, нажмите F10, санкционируйте сделанные изменения, начнется перезагрузка;
загрузите Windows в обычном режиме;
проверьте систему антивирусом со свежими базами.
Примечания
1. Внимание! Не поддавайтесь на уловки вирусописателей, – не отправляйте sms по указанному номеру, не дарите деньги вымогателям, создавшим вирус.
-
Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами с регулярно (не менее одного раза в неделю!) обновляемыми базами.
suka
70000004
pidr
odinraz
4erti
obana
Поскольку данный код нельзя ввести с виртуальной клавиатуры блокера, необходимо:
1. нажать кнопку [Пуск] ([Start]) посредством кнопки [Win] на клавиатуре
2. выбрать пункт меню "Выполнить" ("Run")
3. в открывшемся окне набрать код деактивации "obana"
4. скопировать текст в буфер (Ctrl-A, Ctrl-C или с помощью мыши)
5. в поле ввода блокера нажать правой кнопкой мыши и в выпавшем меню выбрать пункт "вставить" ("paste")
6. нажать кнопку для деактивации блокера
poputalda
Поскольку данный код нельзя ввести с виртуальной клавиатуры блокера, необходимо:
1. нажать кнопку [Пуск] ([Start]) посредством кнопки [Win] на клавиатуре
2. выбрать пункт меню "Выполнить" ("Run")
3. в открывшемся окне набрать код деактивации "poputalda"
4. скопировать текст в буфер (Ctrl-A, Ctrl-C или с помощью мыши)
5. в поле ввода блокера нажать правой кнопкой мыши и в выпавшем меню выбрать пункт "вставить" ("paste")
6. нажать кнопку для деактивации блокера
pizdec
Поскольку данный код нельзя ввести с виртуальной клавиатуры блокера, необходимо:
1. нажать кнопку [Пуск] ([Start]) посредством кнопки [Win] на клавиатуре
2. выбрать пункт меню "Выполнить" ("Run")
3. в открывшемся окне набрать код деактивации "pizdec"
4. скопировать текст в буфер (Ctrl-A, Ctrl-C или с помощью мыши)
5. в поле ввода блокера нажать правой кнопкой мыши и в выпавшем меню выбрать пункт "вставить" ("paste")
6. нажать кнопку для деактивации блокера
poputal
Поскольку данный код нельзя ввести с виртуальной клавиатуры блокера, необходимо:
1. нажать кнопку [Пуск] ([Start]) посредством кнопки [Win] на клавиатуре
2. выбрать пункт меню "Выполнить" ("Run")
3. в открывшемся окне набрать код деактивации "poputal"
4. скопировать текст в буфер (Ctrl-A, Ctrl-C или с помощью мыши)
5. в поле ввода блокера нажать правой кнопкой мыши и в выпавшем меню выбрать пункт "вставить" ("paste")
6. нажать кнопку для деактивации блокера
natan
Поскольку данный код нельзя ввести с виртуальной клавиатуры блокера, необходимо:
1. нажать кнопку [Пуск] ([Start]) посредством кнопки [Win] на клавиатуре
2. выбрать пункт меню "Выполнить" ("Run")
3. в открывшемся окне набрать код деактивации "natan"
4. скопировать текст в буфер (Ctrl-A, Ctrl-C или с помощью мыши)
5. в поле ввода блокера нажать правой кнопкой мыши и в выпавшем меню выбрать пункт "вставить" ("paste")
6. нажать кнопку для деактивации блокера
in-male
Поскольку данный код нельзя ввести с виртуальной клавиатуры блокера, необходимо:
1. нажать кнопку [Пуск] ([Start]) посредством кнопки [Win] на клавиатуре
2. выбрать пункт меню "Выполнить" ("Run")
3. в открывшемся окне набрать код деактивации "in-male"
4. скопировать текст в буфер (Ctrl-A, Ctrl-C или с помощью мыши)
5. в поле ввода блокера нажать правой кнопкой мыши и в выпавшем меню выбрать пункт "вставить" ("paste")
6. нажать кнопку для деактивации блокера
123456
16342131
pret
Поскольку данный код нельзя ввести с виртуальной клавиатуры блокера, необходимо:
1. нажать кнопку [Пуск] ([Start]) посредством кнопки [Win] на клавиатуре
2. выбрать пункт меню "Выполнить" ("Run")
3. в открывшемся окне набрать код деактивации "pret"
4. скопировать текст в буфер (Ctrl-A, Ctrl-C или с помощью мыши)
5. в поле ввода блокера нажать правой кнопкой мыши и в выпавшем меню выбрать пункт "вставить" ("paste")
6. нажать кнопку для деактивации блокера
lord
Поскольку данный код нельзя ввести с виртуальной клавиатуры блокера, необходимо:
1. нажать кнопку [Пуск] ([Start]) посредством кнопки [Win] на клавиатуре
2. выбрать пункт меню "Выполнить" ("Run")
3. в открывшемся окне набрать код деактивации "lord"
4. скопировать текст в буфер (Ctrl-A, Ctrl-C или с помощью мыши)
5. в поле ввода блокера нажать правой кнопкой мыши и в выпавшем меню выбрать пункт "вставить" ("paste")
6. нажать кнопку для деактивации блокера
bingo
Поскольку данный код нельзя ввести с виртуальной клавиатуры блокера, необходимо:
1. нажать кнопку [Пуск] ([Start]) посредством кнопки [Win] на клавиатуре
2. выбрать пункт меню "Выполнить" ("Run")
3. в открывшемся окне набрать код деактивации "bingo"
4. скопировать текст в буфер (Ctrl-A, Ctrl-C или с помощью мыши)
5. в поле ввода блокера нажать правой кнопкой мыши и в выпавшем меню выбрать пункт "вставить" ("paste")
6. нажать кнопку для деактивации блокера
kisskiss
Поскольку данный код нельзя ввести с виртуальной клавиатуры блокера, необходимо:
1. нажать кнопку [Пуск] ([Start]) посредством кнопки [Win] на клавиатуре
2. выбрать пункт меню "Выполнить" ("Run")
3. в открывшемся окне набрать код деактивации "kisskiss"
4. скопировать текст в буфер (Ctrl-A, Ctrl-C или с помощью мыши)
5. в поле ввода блокера нажать правой кнопкой мыши и в выпавшем меню выбрать пункт "вставить" ("paste")
6. нажать кнопку для деактивации блокера
йц321
Поскольку данный код нельзя ввести с виртуальной клавиатуры блокера, необходимо:
1. нажать кнопку [Пуск] ([Start]) посредством кнопки [Win] на клавиатуре
2. выбрать пункт меню "Выполнить" ("Run")
3. в открывшемся окне набрать код деактивации "йц321"
4. скопировать текст в буфер (Ctrl-A, Ctrl-C или с помощью мыши)
5. в поле ввода блокера нажать правой кнопкой мыши и в выпавшем меню выбрать пункт "вставить" ("paste")
6. нажать кнопку для деактивации блокера
qa321
Поскольку данный код нельзя ввести с виртуальной клавиатуры блокера, необходимо:
1. нажать кнопку [Пуск] ([Start]) посредством кнопки [Win] на клавиатуре
2. выбрать пункт меню "Выполнить" ("Run")
3. в открывшемся окне набрать код деактивации "qa321"
4. скопировать текст в буфер (Ctrl-A, Ctrl-C или с помощью мыши)
5. в поле ввода блокера нажать правой кнопкой мыши и в выпавшем меню выбрать пункт "вставить" ("paste")
6. нажать кнопку для деактивации блокера
qwas12345
Поскольку данный код нельзя ввести с виртуальной клавиатуры блокера, необходимо:
1. нажать кнопку [Пуск] ([Start]) посредством кнопки [Win] на клавиатуре
2. выбрать пункт меню "Выполнить" ("Run")
3. в открывшемся окне набрать код деактивации "qwas12345"
4. скопировать текст в буфер (Ctrl-A, Ctrl-C или с помощью мыши)
5. в поле ввода блокера нажать правой кнопкой мыши и в выпавшем меню выбрать пункт "вставить" ("paste")
6. нажать кнопку для деактивации блокера
zxas12345
Поскольку данный код нельзя ввести с виртуальной клавиатуры блокера, необходимо:
1. нажать кнопку [Пуск] ([Start]) посредством кнопки [Win] на клавиатуре
2. выбрать пункт меню "Выполнить" ("Run")
3. в открывшемся окне набрать код деактивации "zxas12345"
4. скопировать текст в буфер (Ctrl-A, Ctrl-C или с помощью мыши)
5. в поле ввода блокера нажать правой кнопкой мыши и в выпавшем меню выбрать пункт "вставить" ("paste")
6. нажать кнопку для деактивации блокера
as12345
Поскольку данный код нельзя ввести с виртуальной клавиатуры блокера, необходимо:
1. нажать кнопку [Пуск] ([Start]) посредством кнопки [Win] на клавиатуре
2. выбрать пункт меню "Выполнить" ("Run")
3. в открывшемся окне набрать код деактивации "as12345"
4. скопировать текст в буфер (Ctrl-A, Ctrl-C или с помощью мыши)
5. в поле ввода блокера нажать правой кнопкой мыши и в выпавшем меню выбрать пункт "вставить" ("paste")
6. нажать кнопку для деактивации блокера
zx123456
Поскольку данный код нельзя ввести с виртуальной клавиатуры блокера, необходимо:
1. нажать кнопку [Пуск] ([Start]) посредством кнопки [Win] на клавиатуре
2. выбрать пункт меню "Выполнить" ("Run")
3. в открывшемся окне набрать код деактивации "zx123456"
4. скопировать текст в буфер (Ctrl-A, Ctrl-C или с помощью мыши)
5. в поле ввода блокера нажать правой кнопкой мыши и в выпавшем меню выбрать пункт "вставить" ("paste")
6. нажать кнопку для деактивации блокера
qw12345
Поскольку данный код нельзя ввести с виртуальной клавиатуры блокера, необходимо:
1. нажать кнопку [Пуск] ([Start]) посредством кнопки [Win] на клавиатуре
2. выбрать пункт меню "Выполнить" ("Run")
3. в открывшемся окне набрать код деактивации "qw12345"
4. скопировать текст в буфер (Ctrl-A, Ctrl-C или с помощью мыши)
5. в поле ввода блокера нажать правой кнопкой мыши и в выпавшем меню выбрать пункт "вставить" ("paste")
6. нажать кнопку для деактивации блокера
нахуй
Поскольку данный код нельзя ввести с виртуальной клавиатуры блокера, необходимо:
1. нажать кнопку [Пуск] ([Start]) посредством кнопки [Win] на клавиатуре
2. выбрать пункт меню "Выполнить" ("Run")
3. в открывшемся окне набрать код деактивации "нахуй"
4. скопировать текст в буфер (Ctrl-A, Ctrl-C или с помощью мыши)
5. в поле ввода блокера нажать правой кнопкой мыши и в выпавшем меню выбрать пункт "вставить" ("paste")
6. нажать кнопку для деактивации блокера
WISH I HAD AN ANGEL
WISH I HAD AN ANGEL Внимание: после 'I' 2 пробела
LORD OF THE LAST DAY
SHAME ON THE NIGHT
TNMTTF
GALAGA
BATTLE TOADS
DOUBLE DRAGON
DUCK HUNT
SKY DESTROYER
BOMBERMAN
TETRIS
DIGGER
DUNE 2
KYRANDIA
WARCRAFT
X-COM
SORRY
1234567890 сделать одну за другой 3 попытки ввести данный пароль, после 3 попытки блокер деактивируется
IDSPISPOPD
Аккуратно вводите код: если вводить код слишком быстро, некоторые символы могут непропечататься!
PLANET HELL
FEED MY HEAD
WE ROCK
NOGLUES
VALDEZ
DNKEYS
DNRATE
SHAZAM
DNITEMS
DNHYPER
IDES OF MARCH
DTLP
TDTHP
GAME OVER MAN
BREATHE DEEP
WHATS MINE IS MINE
THERE IS NO COW LEVEL
DNSTUFF
HURRY UP GUYS
SALLY SHEARS
RADIO FREE ZERG
IRON FORGE
IDCHOPPERS
IDCLIP
IDKFA
BLACK SHEEP WALL
OPERATION CWAL
EYE OF NEWT
IDDQD
POT OF GOLD
SHOW ME THE MONEY
CORWIN OF AMBER
IDSPISPOPD
11-22
Аккуратно вводите код: если вводить код слишком быстро, некоторые символы могут непропечататься!
123456789
relby1239
12345 , в остальные поля вписать по 1
сделать 2 попытки ввода данного кода
Ввод кода может быть затруднен - особенность работы блокера. Для ввода потребуется следующее: счелкать мышкой на поле ввода и тут же нажимать кнопку 1, это позволит ввести цифру 1. Если не получается - попробовать попытку еще раз. Таким образом ввести весь код.
гуталин
фисташка
солнышко
белиссимо
драндулет
443309556
мушкет
1568052047267
293533405156
39393374699391066
178168902389162
72202364417869
15261772507103
21303163463693
1961181123425
681896525
чупакабра
трататушечки
курвинаро
4937692539367
560044840019
1345360543
27688196308
52715
25788
6813331
162073
11294421
757311
4488578
герболай
337474361
44881351
14890531
22815481
63568926
24614120
516999
24689274
75805121
77572807
32185473
44805173
3237870
9209342
7719090a
41917310
86717722
7719090
312470
51686466
94916350
84723242
61361357
66131104
11634203
65114511
11173805
33276686
67244209
50394633
jqKSlwXN
75252932
33629465
23562750
+9999999
5000499544
403956320
LTIjrcEZ
usaywScx
owOsMyte
NUyjfDYA
GbEHqlMU
FmQTOWwh
dZCuqUCA
mOdLBhEb
SvPKSIYT
czvOWMuX
aItemksN
ajhElvrc
oPSqXSVD
BEsOWEHC
pkPXNkYq
eckiJbku
XFpQTgqm
ZOiMHkgC
YFvQcmWg
RuCaHCcN
hBDygWmU
byXNIlFV
GBEfHJir
owuLAyte
я не пидор
курвинаро
гауджаг
любознательность
сковорода
21122012
любые 18 символов
любые 20 символов
любые 15 символов
rably1239
relby1239
dfvgbh123
dfvgbh789
СПОСОБ #1: Подробный способ разблокировки смотрите здесь. СПОСОБ #2: Подробный способ разблокировки смотрите здесь. Из под BIOS перевести часы на 2 суток вперед. Это приведет к деактивации блокера. После этого необходимо просканировать машину антивирусом.
8059547
80079521
9980254
996301
99105784
986764
98673
986346
9850021
9785254
9208841
90650231
9004585474
899652
897019909
896301
878534
874375
866453
8310874
83080901
80255474
796658502
793658
7796024
7788645
77820109
776554
77645
77544357
775331144
775333
775200
769408
76644335
76564545
7633021
7588854525
7543200
73936
73699520
73080554
715020
711993
70780544
6756765
675645
67553
66819
6565438
65453
644332
635400
636394
5702226
56543878
56453
5590114
553357
536985
455654
4343432
39955544
3910254
389601
386302
37950255
369020
36420102
353534
339854
3398821
339852144
3369854785
3369022
33664477
330997
31428961
302807
243434333
1986057
19630277
123456789
085521
00059070
80640897
Feed mi haed
FEED MY HEAD
31428961
LORD OF THE LAST DAY
WE ROCK
8059547
80640897
SHAME ON THE NIGHT
NOGLUES
16342131
DNKEYS
poputal
in-male
pret
123456
lord
bingo
zxas12345
kisskiss
йц321
zx123456
qw12345
qwas12345
as12345
qa321
TNMTTF
73050487
36420102
128
dfvgbh789
99105784
11111 (ввести во все поля, пробовать 2 раза)
VALDEZ
Ввести 11111 во все поля, повторить ввод 2 раза
DNRATE
80633210
8893020
DNITEMS
232999757
DUCK HUNT
DTLP
SHAZAM
SKY DESTROYER
Ввести 11111 во все три поля, нажать "закрыть", 2 раза подряд
TETRIS
DIGGER
avc0cet
s1d0r
p1d0r
KuKuKtoTut???
12345, в остальных полях любые числа (2 раза)
DNHYPER
11111 (ввести 3 раза подряд)
11111 в каждое поле два раза подряд
*115#
DUNE 2
00000 (ввести два раза)
KYRANDIA
39520104
12345 (ввести несколько раз)
TDTHP
DTDHP
775331144
|