Los troyanos de la familia Winlock, conocidos como "bloqueadores de Windows", llevan más de cinco años extorsionando a los usuarios normales. A estas alturas, representantes de esta clase malware evolucionó seriamente y se convirtió en uno de los más problemas frecuentes... A continuación, se sugieren formas de lidiar con ellos por su cuenta y se dan recomendaciones para prevenir infecciones.
El malware es la abreviatura de malware software- es un término general que se refiere a cualquier programa de software diseñado específicamente para realizar una acción no autorizada y, a menudo, dañina. Virus, puertas traseras, keyloggers, spyware, adware, rootkits y troyanos son solo algunos ejemplos de lo que se considera malware. Hace unos años bastaba con llamar a algo "virus" o "caballo de Troya", pero hoy en día han aparecido métodos y vectores de infección, y los términos "virus y troyano" ya no dan una definición satisfactoria para todos los tipos que existen.
La aparición de un troyano en el sistema suele ocurrir de forma rápida e inadvertida para el usuario. La persona realiza el conjunto habitual de acciones, navega por la web y no hace nada especial. En algún momento, aparece un banner de pantalla completa, que no se puede eliminar de la forma habitual.
La imagen puede ser francamente pornográfica, o viceversa, enmarcada de la manera más estricta y amenazante posible. Solo hay un resultado: en un mensaje ubicado en la parte superior de otras ventanas, debe transferir la cantidad especificada a tal o cual número o enviar un mensaje SMS pagado. A menudo va acompañado de amenazas de enjuiciamiento penal o la destrucción de todos los datos si el usuario no se apresura a pagar.
Actualice su software. Esto es especialmente cierto para cosas como su sistema operativo, software de seguridad y su navegador web, pero también es cierto para cualquier programa que use con frecuencia. Los virus a menudo se aprovechan de errores o vulnerabilidades en el código de estos programas para propagarse a nuevas máquinas, y aunque las empresas que fabrican los programas suelen solucionar los problemas rápidamente, estas correcciones solo funcionan si se han descargado en su computadora.
Cómo desbloquear tu computadora de un virus
También es importante evitar actividades que puedan poner en riesgo su computadora. Estos incluyen la apertura de archivos adjuntos no deseados. Correo electrónico, visitar sitios web desconocidos o descargar software de sitios web que no son de confianza o redes de transferencia de archivos de igual a igual.
Por supuesto, no debería pagarles a los extorsionistas. En su lugar, puede averiguar qué operador celular pertenece al número especificado y notifíquelo al servicio de seguridad. En algunos casos, es posible que incluso le digan el código de desbloqueo por teléfono, pero realmente no puede contar con él.
Los métodos de tratamiento se basan en la comprensión de los cambios que realiza el troyano en el sistema. Queda por identificarlos y cancelarlos de cualquier manera conveniente.
Sin embargo, la autoayuda todavía está disponible a través de los artículos de este portal de soporte. También cabe destacar que nuestros agentes apoyo técnico no tiene acceso a su contraseña de desbloqueo. Cuando esto suceda, verá un mensaje similar al que se muestra a continuación en la pantalla de bloqueo de su dispositivo. Tiempo restante para ingresar una contraseña: 2 segundos Para restaurar la plataforma, seleccione una de las siguientes opciones:. 1 - Contraseña de usuario 2 - Contraseña del token del servidor.
Este dispositivo está bloqueado y podría perderse. Si lo encuentra, utilice la siguiente información para devolver su dispositivo. Seleccione una de las opciones anteriores para continuar. Aunque el bloqueo puede ocurrir por varias razones, los pasos para desbloquear son los mismos. Algunos de los posibles razones bloqueo.
Con las manos desnudas
Para algunos troyanos, existe un código de desbloqueo. En raras ocasiones, incluso honestamente se borrarán por completo después de ingresar el código correcto. Puede encontrarlo en las secciones correspondientes de los sitios web de las empresas antivirus; consulte los ejemplos a continuación.
Puede acceder a secciones especializadas de Doctor Web, Kaspersky Lab y otros desarrolladores de software antivirus desde otra computadora o teléfono.
La computadora está marcada como una computadora robada manipulada físicamente. ... Para ingresar una contraseña en un dispositivo bloqueado, seleccione la opción en pantalla para una contraseña, código de acceso o frase de contraseña e ingrese su contraseña. Si se acepta la contraseña, la computadora comenzará a funcionar.
Tenga cuidado al leer e ingresar el código de recuperación, asegurándose de no confundirse con los símbolos de otros. Si se acepta el código de recuperación, la computadora comenzará a funcionar. Glosario de términos utilizados en este artículo. Esta estafa asume que los usuarios de Internet descubren que su computadora se ha congelado y aparece una advertencia emergente en la pantalla. El estafador afirma que desbloqueará la computadora si se paga la tarifa.
Después de desbloquear, no se llene de alegría y no apague su computadora. Descarga cualquier antivirus gratis y realizar un análisis completo del sistema. Para ello, utilice, por ejemplo, Dr.Web CureIt! o la herramienta de eliminación de virus Kaspersky.
Caballos simples - medidas simples
Antes de utilizar métodos complejos y software especial, intente arreglárselas con las herramientas disponibles. Abra el Administrador de tareas con la combinación de teclas (CTRL) + (ALT) + (SUPR) o (CTRL) + (MAYÚS) + (ESC). Si funciona, entonces estamos ante un troyano primitivo, cuya lucha no causará problemas. Encuéntrelo en la lista de procesos y fuerce el cierre.
No permita que un estafador lo rescate: si paga, no se le garantiza que recuperará el control de su computadora y es probable que haya una pérdida significativa de datos al eliminar un virus o desbloquear su computadora. De repente, su computadora se congela y recibe una advertencia emergente de lo que parece ser una autoridad acreditada como la Policía Federal Australiana. La advertencia indica que su computadora está bloqueada porque ha infringido la ley o ha visitado un sitio ilegal. Estos servicios incluyen la compra de un vale en efectivo en una tienda, que luego se puede utilizar para pagos en línea. Si paga, los estafadores pueden o no desbloquear su computadora. Incluso si recupera el acceso a su computadora, el malware puede continuar ejecutándose para que los estafadores puedan usar sus datos personales y financieros para cometer fraude. Tenga cuidado con los sitios que visita y no abre correos electrónicos de remitentes desconocidos: los correos electrónicos pueden contener malware y algunos sitios pueden descargar automáticamente software malicioso en su computadora. Mantenga siempre su computadora segura con software antivirus y anti-spyware y un buen firewall. Compre software informático y antivirus de una fuente confiable. Tenga cuidado con lo que almacena en su computadora: si un estafador obtiene acceso a sus datos personales, puede usarlos para robar su identidad y su dinero. Si cree que su computadora está infectada, comuníquese inmediatamente con su banco o institución financiera y cambie sus contraseñas. Si recibe una alerta emergente y no puede realizar ninguna función en su computadora, es posible que esté infectada y que necesite un especialista en informática para eliminar el malware. Si puede realizar algunas funciones de seguridad en su computadora, utilice un software de seguridad para ejecutar un análisis de virus. Si recibió esta estafa, desafortunadamente, la seguridad de su computadora se ha visto comprometida. Incluso si logró recuperar el control de su computadora, ya sea por su propia discreción o pagando un fraude, aún puede estar infectada con malware. Use su software de seguridad para ejecutar un escaneo de virus, pero si tiene alguna duda, comuníquese con su proveedor de software antivirus o especialista en computadoras.
- La advertencia puede incluir un logotipo de la policía para que parezca legal.
- Antes de descargar el archivo, asegúrese de que sea de una fuente confiable.
- Si el archivo es un programa, asegúrese de saber exactamente lo que hará.
El tercero produce un nombre vago y ninguna descripción. En caso de duda, simplemente descargue todos los sospechosos uno por uno hasta que la pancarta desaparezca.
Si no se invoca el Administrador de tareas, intente usar un administrador de procesos de terceros a través del comando Ejecutar que se inicia presionando las teclas (Win) + (R). Así es como se ve un proceso sospechoso en System Explorer.
Esto da miedo, especialmente si no ha realizado una copia de seguridad de sus datos. “El delito cibernético evoluciona a medida que los malos se vuelven más inteligentes y utilizan tecnología más nueva”, dijo Michael Kaiser, director ejecutivo de la Alianza Nacional de Ciberseguridad. "Siempre están buscando nuevas formas de robar su dinero".
Resolviendo el problema a través de Internet
Por lo general, se pueden eliminar, lo que restaura el acceso a sus archivos y documentos. Solo hay una clave de descifrado, y los malos la tienen en su servidor. Si no paga el rescate, esta clave se destruirá en tres días. Para dar una sensación de urgencia, el reloj digital en la pantalla se cuenta desde las 72 horas para mostrar cuánto tiempo queda antes de que se destruya la clave de descifrado única.
Puede descargar el programa desde otra computadora o incluso desde su teléfono. Solo toma un par de megabytes. El enlace "comprobar" busca en la base de datos en línea información sobre el proceso, pero por lo general todo está claro. Después de cerrar el banner, a menudo es necesario reiniciar Explorer (el proceso explorer.exe). En el Administrador de tareas, haga clic en: Archivo -> Nueva tarea (Ejecutar) -> c: \ Windows \ explorer.exe.
Desbloquear la computadora del banner usando antivirus
Tenga en cuenta el reloj inverso amarillo en la esquina inferior izquierda. Esto le da el tiempo restante hasta que se destruya la clave de descifrado única y los archivos cifrados sean permanentemente inaccesibles. ¡Tengo una esposa angustiada que me acusa! Abra este archivo y comenzarán a suceder cosas malas, aunque pueden pasar algunos días hasta que la solicitud de rescate aparezca en su pantalla después de que la máquina esté infectada.
Manera anticuada de desbloquear
El autor o es un genio. Otro escribió: "Esta cosa es repugnante y tiene el potencial de causar un daño enorme en todo el mundo". Los estafadores cibernéticos se dirigen tanto a empresas como a usuarios individuales de computadoras, cualquiera que pague para restaurar el acceso a sus archivos.
Cuando el troyano está desactivado durante la sesión, todo lo que queda es encontrar sus archivos y eliminarlos. Puede hacerlo manualmente o utilizar un antivirus gratuito.
Una ubicación típica de un troyano es en los directorios de archivos temporales del usuario, el sistema y el navegador. Aún es recomendable realizar una verificación completa, ya que las copias se pueden ubicar en cualquier lugar y el problema no viene solo. Mirar Lista llena Los objetos de ejecución automática ayudarán a la utilidad gratuita Autoruns.
Nuestra empresa se infectó esta mañana. El virus golpeó el automóvil hace 4 días y hoy recibimos un mensaje emergente de rescate. Todos los archivos de la unidad de red a los que el usuario tuvo acceso ahora están encriptados. Teníamos copias de seguridad, aunque no eran lo suficientemente recientes, así que a pesar de todos nuestros sentimientos en contra, pagamos el rescate y todo comenzó a descifrarse de la noche a la mañana. Por supuesto, no hay garantía de que haya un final feliz si pagas el rescate. Y luego está el gran problema: al hacer esto, está ayudando a financiar una operación criminal.
Sigilo militar
En la primera etapa, una característica en el comportamiento de algunos programas estándar... Cuando vea un banner, intente ejecutar a ciegas el Bloc de notas o WordPad. Presione (WIN) + (R), escriba el bloc de notas y presione (ENTER). Se abrirá uno nuevo debajo del banner. Documento de texto... Marque cualquier galimatías y luego presione brevemente el botón de apagado en unidad del sistema... Todos los procesos, incluido el troyano, comenzarán a finalizar, pero la computadora no se apagará.
Cómo quitar un banner usando códigos de desbloqueo
Conéctese y no hay forma de asegurarse de que el malware no ingrese a su computadora, incluso si sigue todas las reglas trabajo seguro... Por lo tanto, debe actuar a la defensiva, lo que significa regular respaldo.
“Retroceda, retroceda, suba, retroceda”, dijo Schmidt. "Esta es la única forma de reducir el riesgo de perder sus archivos de forma permanente". Esta Copia de respaldo debe ser una instantánea de todo lo que hay en el sistema, no una simple sincronización, como es el caso de la mayoría de las aplicaciones externas automatizadas. unidades de disco duro Y muchos servicios en la nube... Con estas copias de seguridad sincronizadas, los archivos guardados que han cambiado en la unidad maestra se sobrescriben con otros nuevos. Si el malware encripta sus archivos esenciales, estas copias de seguridad también estarán encriptadas y serán inútiles.
Bloc de notas: detendrá el caballo al galope y devolverá el acceso al administrador.
Vieja escuela
Las versiones más avanzadas de troyanos tienen un medio para contrarrestar los intentos de deshacerse de ellos. Bloquean el lanzamiento del administrador de tareas, reemplazan otros componentes del sistema.
En este caso, reinicie su computadora y mantenga presionada la tecla (F8) por un momento. Arranque de Windows... Aparecerá la ventana de selección del método de descarga. Necesitamos el modo seguro con símbolo del sistema. Después de que aparezca la consola, escriba el explorador y presione (ENTRAR); el explorador se iniciará. A continuación, escriba regedit, presione (ENTER) y vea el editor de registro. Aquí puede encontrar las entradas creadas por el troyano y encontrar el lugar desde donde se ejecuta automáticamente.
Eliminar banner del inicio de Windows
Su copia de seguridad debe desconectarse de su computadora hasta la próxima vez que necesite acceder a ella. El mensaje afirma que ha visitado o distribuido ilegalmente contenido protegido por derechos de autor, como videos, música y software. Por lo tanto, para eliminar la prohibición en su computadora, se requiere el pago dentro de las 48-72 horas. Este tipo de malware se invoca y utiliza para solicitar el pago de la víctima. A su vez, el estafador promete desbloquear su computadora.
La mayoría de las veces, verá las rutas completas a los archivos troyanos en las claves de Shell y Userinit en la rama
HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
En Shell, el troyano está escrito en lugar de explorer.exe, y en Userinit, se indica después de la coma. Copie el nombre completo del archivo troyano en el portapapeles desde la primera entrada detectada. V línea de comando escriba del, haga un espacio y haga clic con el botón derecho en el menú contextual.
Arranque la computadora infectada en modo seguro usando la red
La ventana " Opciones extra descargas ". V modo seguro notará que el fondo del escritorio se reemplaza con un color negro sólido.
Escanear su computadora con software antivirus
Si ya lo ha instalado en su computadora, descargue las últimas definiciones de malware y ejecute un análisis completo de su computadora. Sin embargo, si no tiene un software de eliminación de malware, descárguelo e instálelo. Independientemente de la herramienta que elija utilizar, asegúrese de descargar las definiciones de malware más recientes.En él, seleccione el comando "insertar" y presione (ENTER). Se ha eliminado un archivo troyano, hacemos lo mismo con el segundo y los siguientes.
Eliminando el troyano de la consola: el archivo estaba en una carpeta temporal.
Luego realizamos una búsqueda en el registro por el nombre del archivo troyano, revisamos cuidadosamente todas las entradas encontradas y eliminamos las sospechosas. Limpiamos todas las carpetas temporales y la papelera. Incluso si todo salió a la perfección, no sea demasiado vago para luego realizar un análisis completo con cualquier antivirus.
Si deja de trabajar debido a un troyano conexiones de red, intenta restaurar Configuraciones de Windows API de sockets usando la utilidad AVZ.
Operación bajo anestesia general.
Es inútil tratar con casos de infección grave por debajo del sistema infectado. Es más lógico arrancar de uno limpio conocido y curar tranquilamente el principal. Hay docenas de formas de hacer esto, pero una de las más fáciles es usar la utilidad gratuita Kaspersky WindowsUnlocker incluida con Kaspersky Rescue Disk. Como DrWeb LiveCD, está basado en Gentoo Linux. El archivo de imagen puede escribirse en un disco o convertirse en una unidad flash de arranque utilizando la utilidad Kaspersky USB Rescue Disk Maker.
Los usuarios prudentes hacen esto con anticipación, mientras que el resto recurre a sus amigos o al cibercafé más cercano durante la infección.
Al encender la computadora infectada, mantenga presionada la tecla para ingresar al BIOS. Suele ser (DEL) o (F2), y el mensaje correspondiente se muestra en la parte inferior de la pantalla. Inserte Kaspersky Rescue Disk o una unidad flash USB de arranque. En la configuración de descarga ( Opciones de arranque) seleccione la unidad de disco óptico o la unidad flash como primer dispositivo de arranque (a veces puede aparecer en el Lista de discos duros). Guarde los cambios (F10) y salga del BIOS.
Moderno Versión de BIOS Le permite seleccionar un dispositivo de arranque sobre la marcha, sin entrar en la configuración básica. Para hacer esto, debe presionar (F12), (F11) o una combinación de teclas; para obtener más detalles, consulte el mensaje en la pantalla, en las instrucciones para tarjeta madre o portátil. Después del reinicio, Kaspersky Rescue Disk comenzará a ejecutarse.
El idioma ruso está disponible y el tratamiento se puede realizar automáticamente o modo manual – instrucciones paso a paso en el sitio web del desarrollador.
Lucha temprana
Troyanos que atacan a los principales registro de arranque(MBR). Aparecen antes de que Windows arranque y no los encontrará en las secciones de ejecución automática.
El primer paso para tratar con ellos es restaurar código fuente MBR. En el caso de XP, para ello arrancamos desde disco de instalación Windows, al presionar la tecla (R), llamamos a la consola de recuperación y escribimos el comando fixmbr en ella. Confirme con la tecla (Y) y reinicie. Para Windows 7, una utilidad similar se llama BOOTREC.EXE y el comando fixmbr se pasa como parámetro:
Después de estas manipulaciones, el sistema se reinicia. Puede comenzar a buscar copias del troyano y sus vehículos de entrega con cualquier software antivirus.
En una cruzada con un destornillador Phillips
En ordenadores de bajo consumo y especialmente portátiles, la lucha contra los troyanos puede llevar mucho tiempo, ya que arrancar desde dispositivos externos difícil, y la verificación lleva mucho tiempo. En tales casos, simplemente retire el disco duro infectado y conéctelo a otra computadora para su tratamiento. Para ello, es más conveniente utilizar cajas con una interfaz eSATA o USB 3.0 / 2.0.
Para no propagar la infección, primero deshabilitamos la ejecución automática desde el disco duro en la computadora "tratante" (y no estaría de más comenzar desde otros tipos de medios). Es más conveniente hacer esto con la utilidad AVZ gratuita, pero la verificación en sí se realiza mejor con otra cosa. Vaya al menú "Archivo", seleccione "Asistente de resolución de problemas". Marque "Problemas del sistema", "Todos" y haga clic en "Iniciar". Después de eso, marque el elemento "Autorunión permitido desde HDD" y haga clic en "Solucionar los problemas marcados".
Además, antes de conectar un disco duro infectado, debe asegurarse de que la supervisión antivirus residente se esté ejecutando en la computadora con la configuración adecuada y que haya bases de datos nuevas.
Si las secciones del exterior disco duro no están visibles, vaya a "Administración de discos". Para hacer esto, en la ventana "Inicio" -> "Ejecutar" escriba diskmgmt.msc y luego presione (ENTRAR). A las particiones del disco duro externo se les deben asignar letras. Se pueden agregar manualmente usando el comando "cambiar letra de unidad ...". Después de ese cheque disco duro externo enteramente.
Para evitar la reinfección, debe instalar cualquier antivirus con un componente de monitoreo en tiempo real y cumplir con las reglas generales de seguridad:
- tratar de trabajar desde abajo cuenta con derechos limitados;
- utilice navegadores alternativos: la mayoría de las infecciones se producen a través de Internet Explorer;
- deshabilite los scripts de Java en sitios desconocidos;
- deshabilitar la ejecución automática desde medios extraíbles;
- instale programas, complementos y actualizaciones solo desde los sitios web oficiales de los desarrolladores;
- siempre preste atención a dónde conduce realmente el enlace propuesto;
- bloquee las ventanas emergentes no deseadas con complementos del navegador o programas independientes;
- instalar actualizaciones oportunas para navegadores, componentes generales y del sistema;
- asigne una partición de disco separada para el sistema y almacene los archivos de usuario en otra.
Seguir la última recomendación permite realizar pequeñas imágenes de la partición del sistema (con los programas de Symantec Ghost, Acronis True Imagen, copia de seguridad y recuperación de Paragon o al menos estándar Herramienta de Windows"Archivado y Restauración"). Le ayudarán con una recuperación garantizada de la computadora en cuestión de minutos, independientemente de con qué esté infectada y si los antivirus pueden detectar el troyano.
El artículo proporciona solo métodos básicos e información general. Si está interesado en el tema, visite el sitio web del proyecto GreenFlash. En las páginas del foro encontrará muchas soluciones interesantes y consejos para crear una unidad flash de arranque múltiple para todas las ocasiones.
La distribución de troyanos Winlock no se limita a Rusia y los países vecinos. Existen modificaciones en casi todos los idiomas, incluido el árabe. Además de Windows, Mac OS X también está tratando de infectar esos troyanos. Los usuarios de Linux no pueden experimentar la alegría de derrotar a un enemigo insidioso. La arquitectura de esta familia de sistemas operativos no permite escribir ningún X-lock eficiente y universal. Sin embargo, puedes "jugar al doctor" en máquina virtual con un sistema operativo invitado de Windows.
