Trojan dari keluarga Winlock, yang dikenal sebagai "Pemblokir Windows", telah memeras uang dari pengguna biasa selama lebih dari lima tahun sekarang. Sekarang perwakilan dari kelas ini malware berkembang secara serius dan menjadi salah satu yang paling masalah yang sering terjadi... Di bawah ini adalah cara-cara yang disarankan untuk mengatasinya sendiri, dan rekomendasi diberikan untuk mencegah infeksi.
Malware adalah singkatan dari malware perangkat lunak - adalah istilah umum yang mengacu pada program perangkat lunak apa pun yang secara khusus dirancang untuk melakukan tindakan tidak sah dan seringkali berbahaya. Virus, pintu belakang, keyloggers, spyware, adware, rootkit, dan Trojan hanyalah beberapa contoh yang dianggap sebagai malware. Beberapa tahun yang lalu cukup menyebut sesuatu sebagai "virus" atau "Trojan horse", tetapi saat ini metode dan vektor infeksi telah muncul, dan istilah "virus dan trojan" tidak lagi memberikan definisi yang memuaskan untuk semua jenis yang ada.
Munculnya Trojan pada sistem biasanya terjadi dengan cepat dan tidak disadari oleh pengguna. Orang tersebut melakukan serangkaian tindakan yang biasa, menjelajahi web, dan tidak melakukan sesuatu yang khusus. Di beberapa titik, spanduk layar penuh baru saja muncul, yang tidak dapat dihapus dengan cara biasa.
Gambar tersebut dapat berupa pornografi terbuka, atau sebaliknya - dibingkai seketat dan semenakutkan mungkin. Hanya ada satu hasil: dalam pesan yang terletak di atas jendela lain, Anda perlu mentransfer jumlah tertentu ke nomor ini dan itu atau mengirim pesan SMS berbayar. Hal ini sering disertai dengan ancaman penuntutan pidana atau penghancuran semua data jika pengguna tidak terburu-buru membayar.
Perbarui perangkat lunak Anda. Hal ini terutama berlaku untuk hal-hal seperti sistem operasi, perangkat lunak keamanan, dan browser web Anda, tetapi juga berlaku untuk program apa pun yang sering Anda gunakan. Virus sering kali memanfaatkan bug atau eksploitasi dalam kode program ini untuk menyebar ke komputer baru, dan meskipun perusahaan yang membuat program biasanya memperbaiki lubang dengan cepat, perbaikan ini hanya berfungsi jika telah diunduh ke komputer Anda.
Cara membuka kunci komputer Anda dari virus
Penting juga untuk menghindari aktivitas yang dapat membahayakan komputer Anda. Ini termasuk membuka keterikatan yang tidak diinginkan surel, mengunjungi situs web tidak dikenal, atau mengunduh perangkat lunak dari situs web tidak tepercaya atau jaringan transfer file peer-to-peer.
Tentu saja, Anda tidak harus membayar para pemeras. Sebagai gantinya, Anda dapat mencari tahu operator mana komunikasi seluler milik nomor yang ditentukan, dan laporkan ke layanan keamanan. Dalam beberapa kasus, Anda bahkan mungkin diberi tahu kode buka kunci melalui telepon, tetapi Anda tidak dapat mengandalkannya.
Metode perawatan didasarkan pada pemahaman tentang perubahan yang dibuat Trojan pada sistem. Tetap mengidentifikasi mereka dan membatalkannya dengan cara apa pun yang nyaman.
Namun, bantuan mandiri masih tersedia melalui artikel di portal dukungan ini. Perlu juga dicatat bahwa agen kami dukungan teknis tidak memiliki akses ke kata sandi buka kunci Anda. Jika ini terjadi, Anda akan melihat pesan yang mirip dengan pesan di bawah ini di layar kunci perangkat Anda. Time Remaining password: 2 detik Untuk memulihkan platform, pilih salah satu opsi berikut:. 1 - Kata sandi pengguna 2 - Kata sandi token server.
Perangkat ini terkunci dan bisa hilang. Jika ditemukan, gunakan informasi berikut untuk mengembalikan perangkat Anda. Pilih salah satu opsi di atas untuk melanjutkan. Meskipun pemblokiran dapat terjadi karena beberapa alasan, langkah-langkah untuk membuka kuncinya sama. Beberapa dari alasan yang mungkin pemblokiran.
Dengan tangan kosong
Untuk beberapa Trojan, memang ada kode buka kunci. Dalam kasus yang jarang terjadi, mereka bahkan akan dengan jujur \u200b\u200bmenghapus dirinya sendiri sepenuhnya setelah memasukkan kode yang benar. Anda dapat menemukannya di bagian yang sesuai dari situs web perusahaan antivirus - lihat contoh di bawah.
Anda dapat mengakses bagian khusus Doctor Web, Kaspersky Lab, dan pengembang perangkat lunak anti-virus lainnya dari komputer atau telepon lain.
Komputer ditandai sebagai komputer curian yang dirusak secara fisik. ... Untuk memasukkan kata sandi pada perangkat yang terkunci, pilih opsi di layar untuk kata sandi, kode sandi, atau frasa sandi dan masukkan kata sandi Anda. Jika kata sandi diterima, komputer akan mulai bekerja.
Berhati-hatilah saat membaca dan memasukkan kode pemulihan, memastikan bahwa Anda tidak salah membuat simbol untuk orang lain. Jika kode pemulihan diterima, komputer akan mulai bekerja. Daftar istilah yang digunakan dalam artikel ini. Penipuan ini mengasumsikan bahwa pengguna internet menemukan bahwa komputer mereka telah dibekukan dan peringatan pop-up muncul di layar. Penipu mengklaim bahwa mereka akan membuka kunci komputer jika biayanya dibayar.
Setelah membuka kunci, jangan terlalu senang dan jangan matikan komputer Anda. Unduh apa saja antivirus gratis dan melakukan pemindaian sistem lengkap. Untuk melakukan ini, gunakan, misalnya, Dr.Web CureIt! atau Alat Penghapus Virus Kaspersky.
Kuda sederhana - ukuran sederhana
Sebelum menggunakan metode yang rumit dan perangkat lunak khusus, cobalah bertahan dengan alat yang tersedia. Panggil pengelola tugas dengan kombinasi tombol (CTRL) + (ALT) + (DEL) atau (CTRL) + (SHIFT) + (ESC). Jika berhasil, maka kita berurusan dengan Trojan primitif, perang melawan yang tidak akan menimbulkan masalah. Temukan di daftar proses dan paksa berhenti.
Jangan biarkan scammer menebus Anda - jika Anda membayar, Anda tidak dijamin akan mendapatkan kembali kendali atas komputer Anda, dan kemungkinan besar ada kehilangan data yang signifikan saat menghapus virus atau membuka kunci komputer Anda. Tiba-tiba, komputer Anda macet dan Anda mendapatkan peringatan pop-up dari otoritas yang tampaknya memiliki reputasi seperti Polisi Federal Australia. Peringatan tersebut menyatakan bahwa komputer Anda terkunci karena Anda melanggar hukum atau mengunjungi situs ilegal. Layanan ini termasuk membeli voucher tunai dari toko, yang kemudian dapat digunakan untuk pembayaran online. Jika Anda membayar, penipu mungkin atau mungkin tidak membuka kunci komputer Anda. Bahkan jika Anda mendapatkan kembali akses ke komputer Anda, malware dapat terus berjalan sehingga penipu dapat menggunakan data pribadi dan keuangan Anda untuk melakukan penipuan. Hati-hati dengan situs yang Anda kunjungi dan jangan dibuka email dari pengirim yang tidak dikenal - Email mungkin berisi malware, dan beberapa situs mungkin secara otomatis mendownload software berbahaya ke komputer Anda. Selalu jaga keamanan komputer Anda dengan perangkat lunak anti-virus dan anti-spyware serta firewall yang baik. Beli perangkat lunak komputer dan anti-virus dari sumber yang memiliki reputasi baik. Berhati-hatilah dengan apa yang Anda simpan di komputer - jika penipu mendapatkan akses ke data pribadi Anda, mereka dapat menggunakannya untuk mencuri identitas dan uang Anda. Jika menurut Anda komputer Anda terinfeksi, segera hubungi bank atau lembaga keuangan Anda dan ubah sandi Anda. Jika Anda menerima peringatan pop-up dan tidak dapat menjalankan fungsi apa pun di komputer Anda, komputer mungkin terinfeksi dan Anda mungkin memerlukan spesialis komputer untuk menghapus malware. Jika Anda dapat menjalankan beberapa fungsi keamanan di komputer Anda, gunakan perangkat lunak keamanan untuk menjalankan pemindaian virus. Sayangnya, jika Anda menerima penipuan ini, keamanan komputer Anda telah dibobol. Bahkan jika Anda berhasil mendapatkan kembali kendali atas komputer Anda - baik dengan kebijaksanaan Anda sendiri atau dengan membayar penipuan - komputer tetap dapat terinfeksi malware. Gunakan perangkat lunak keamanan Anda untuk menjalankan pemindaian virus, tetapi jika Anda ragu, hubungi vendor perangkat lunak antivirus atau spesialis komputer Anda.
- Peringatan tersebut mungkin menyertakan logo polisi agar terlihat legal.
- Sebelum mengunduh file, pastikan itu dari sumber yang memiliki reputasi baik.
- Jika file tersebut adalah sebuah program, pastikan Anda tahu persis apa yang akan dilakukannya.
Pihak ketiga membuat nama yang tidak jelas dan tidak ada deskripsi. Jika ragu, bongkar semua yang mencurigakan satu per satu sampai spanduk menghilang.
Jika Pengelola Tugas tidak dipanggil, coba gunakan manajer proses pihak ketiga melalui perintah Jalankan yang diluncurkan dengan menekan (Win) + (R). Seperti inilah proses yang mencurigakan di System Explorer.
Ini menakutkan, terutama jika Anda belum mencadangkan data Anda. “Kejahatan dunia maya berkembang seiring orang jahat semakin pintar dan menggunakan teknologi yang lebih baru,” kata Michael Kaiser, direktur eksekutif National Cybersecurity Alliance. "Mereka selalu mencari cara baru untuk mencuri uang Anda."
Memecahkan masalah melalui Internet
Mereka biasanya dapat dihapus, yang memulihkan akses ke file dan dokumen Anda. Hanya ada satu kunci dekripsi, dan orang jahat memilikinya di server mereka. Jika Anda tidak membayar tebusan, kunci ini akan dihancurkan dalam tiga hari. Untuk memberikan kesan mendesak, jam digital di layar dihitung dari 72 jam untuk menunjukkan berapa banyak waktu tersisa sebelum kunci dekripsi unik dihancurkan.
Anda dapat mengunduh program dari komputer lain atau bahkan dari telepon Anda. Ini hanya membutuhkan beberapa megabyte. Link "check" mencari database online untuk informasi tentang proses tersebut, tetapi biasanya semuanya jelas. Setelah menutup spanduk, Anda sering kali perlu memulai ulang Explorer (proses explorer.exe). Di Task Manager, klik: File -\u003e New Task (Run) -\u003e c: \\ Windows \\ explorer.exe.
Buka blokir komputer dari spanduk menggunakan antivirus
Perhatikan jam mundur kuning di pojok kiri bawah. Ini memberi waktu yang tersisa sampai kunci dekripsi unik dihancurkan dan file yang dienkripsi tidak dapat diakses secara permanen. Saya memiliki istri yang putus asa yang menuduh saya! Buka file ini dan hal-hal buruk akan mulai terjadi, meskipun mungkin perlu beberapa hari agar permintaan tebusan muncul di layar Anda setelah mesin terinfeksi.
Cara usang untuk membuka kunci
Penulis atau apakah itu jenius. Yang lain menulis: "Benda ini menjijikkan dan berpotensi menyebabkan kerusakan besar di seluruh dunia." Penipu dunia maya menargetkan bisnis dan pengguna komputer individu - siapa saja yang akan membayar untuk memulihkan akses ke file mereka.
Ketika Trojan dinonaktifkan selama sesi tersebut, ia tetap menemukan file-nya dan menghapusnya. Anda dapat melakukannya secara manual atau menggunakan antivirus gratis.
Lokasi umum Trojan ada di direktori file sementara untuk pengguna, sistem, dan browser. Tetap disarankan untuk melakukan pemeriksaan penuh, karena salinan dapat ditemukan di mana saja, dan masalah tidak datang sendiri. Lihat daftar lengkap objek autorun akan membantu utilitas gratis Autoruns.
Perusahaan kami terinfeksi pagi ini. Virus menghantam mobil 4 hari yang lalu dan hari ini kami menerima pesan pop-up tebusan. Semua file di drive jaringan yang dapat diakses pengguna sekarang dienkripsi. Kami memiliki cadangan, meskipun tidak cukup segar, jadi terlepas dari semua perasaan kami terhadapnya, kami membayar uang tebusan dan semuanya mulai mendekripsi dalam semalam. Tentu saja, tidak ada jaminan bahwa akan ada akhir yang bahagia jika Anda membayar uang tebusan. Dan kemudian ada masalah besar - dengan melakukan ini, Anda membantu mendanai operasi kriminal.
Siluman militer
Pada tahap pertama, fitur dalam perilaku beberapa program standar... Saat Anda melihat spanduk, coba luncurkan Notepad atau WordPad secara membabi buta. Tekan (WIN) + (R), tulis notepad dan tekan (ENTER). Yang baru akan terbuka di bawah spanduk dokumen Teks... Panggil omong kosong apa pun lalu tekan sebentar tombol matikan pada unit sistem. Semua proses, termasuk Trojan, akan mulai dihentikan, tetapi komputer tidak mau mati.
Cara menghapus spanduk menggunakan kode buka kunci
Sambungkan ke internet dan tidak ada cara untuk memastikan bahwa perangkat lunak jahat tidak masuk ke komputer Anda - meskipun Anda mengikuti semua aturan kerja yang aman... Karena itu, Anda perlu bertindak defensif, yang artinya teratur cadangan.
"Mundur, mundur, mundur, mundur," kata Schmidt. "Ini adalah satu-satunya cara untuk mengurangi risiko kehilangan file Anda secara permanen." Ini salinan cadangan harus menjadi gambaran singkat dari segala sesuatu di sistem, bukan sinkronisasi sederhana, seperti halnya dengan sebagian besar eksternal otomatis hard drive dan banyak lagi layanan cloud... Dengan cadangan yang disinkronkan ini, file tersimpan yang telah diubah pada drive master akan ditimpa dengan yang baru. Jika malware mengenkripsi file penting Anda, cadangan ini juga akan dienkripsi dan tidak berguna.
Notepad - akan menghentikan kuda yang berlari kencang dan mengembalikan akses ke admin!
Sekolah tua
Versi Trojans yang lebih maju memiliki sarana untuk melawan upaya untuk menyingkirkannya. Mereka memblokir peluncuran pengelola tugas, menggantikan komponen sistem lainnya.
Dalam kasus ini, restart komputer Anda dan tahan tombol (F8) sejenak. boot Windows... Jendela pemilihan metode pengunduhan akan muncul. Kami membutuhkan "Safe Mode dengan Command Prompt". Setelah konsol muncul, tulis explorer dan tekan (ENTER) - explorer akan mulai. Selanjutnya, tulis regedit, tekan (ENTER) dan lihat editor registri. Di sini Anda dapat menemukan entri yang dibuat oleh trojan dan menemukan tempat dimulainya secara otomatis.
Hapus spanduk dari startup Windows
Cadangan Anda harus diputuskan dari komputer Anda hingga saat berikutnya Anda perlu mengaksesnya. Pesan tersebut menuduh bahwa Anda telah mengunjungi atau mendistribusikan konten berhak cipta secara ilegal seperti video, musik, dan perangkat lunak. Oleh karena itu, untuk menghapus larangan di komputer Anda, pembayaran diperlukan dalam waktu 48-72 jam. Jenis malware ini dipanggil dan digunakan untuk meminta pembayaran dari korban. Pada gilirannya, penipu "berjanji" untuk membuka blokir komputer Anda.
Paling sering, Anda akan melihat jalur lengkap ke file Trojan di Shell dan kunci Userinit di cabang
HKLM \\ Software \\ Microsoft \\ Windows NT \\ CurrentVersion \\ Winlogon
Di Shell, Trojan ditulis sebagai pengganti explorer.exe, dan di Userinit, ini ditunjukkan setelah koma. Salin nama lengkap file Trojan ke clipboard dari entri pertama yang terdeteksi. DI garis komando tulis del, beri spasi dan klik kanan menu konteks.
Boot komputer yang terinfeksi ke Safe Mode menggunakan jaringan
Jendela " Opsi tambahan unduhan ". DI mode aman Anda akan melihat bahwa latar belakang desktop diganti dengan warna hitam pekat.
Memindai komputer Anda dengan perangkat lunak antivirus
Jika Anda telah menginstal di komputer Anda, unduh definisi perangkat lunak perusak terbaru dan jalankan pemindaian penuh di komputer Anda. Namun, jika Anda tidak memiliki perangkat lunak penghapus malware, unduh dan instal. Alat apa pun yang Anda putuskan untuk digunakan, pastikan Anda mengunduh definisi perangkat lunak perusak terbaru.Di dalamnya, pilih perintah "sisipkan" dan tekan (ENTER). Satu file trojan telah dihapus, kami melakukan hal yang sama untuk file kedua dan selanjutnya.
Menghapus trojan dari konsol - file tersebut berada di folder sementara.
Kemudian kami melakukan pencarian di registri dengan nama file trojan, dengan hati-hati meninjau semua entri yang ditemukan dan menghapus yang mencurigakan. Kami menghapus semua folder sementara dan tempat sampah. Sekalipun semuanya berjalan dengan sempurna, jangan malas kemudian lakukan full scan dengan antivirus apapun.
Jika Trojan berhenti bekerja koneksi jaringan, coba pulihkan pengaturan Windows Sockets API menggunakan utilitas AVZ.
Operasi dengan anestesi umum
Percuma menangani kasus infeksi serius dari bawah sistem yang terinfeksi. Lebih logis untuk boot dari yang bersih dan dengan tenang menyembuhkan yang utama. Ada banyak cara untuk melakukan ini, tetapi salah satu cara termudah adalah menggunakan utilitas Kaspersky WindowsUnlocker gratis yang disertakan dengan Kaspersky Rescue Disk. Seperti DrWeb LiveCD, ini didasarkan pada Gentoo Linux. File image dapat ditulis ke disk atau dijadikan flash drive yang dapat di-boot dari disk tersebut menggunakan utilitas Kaspersky USB Rescue Disk Maker.
Pengguna yang bijaksana melakukannya dengan baik sebelumnya, sementara sisanya beralih ke teman mereka atau pergi ke kafe Internet terdekat selama infeksi.
Saat menyalakan komputer yang terinfeksi, tahan tombol untuk masuk ke BIOS. Ini biasanya (DEL) atau (F2) dan prompt terkait ditampilkan di bagian bawah layar. Masukkan Kaspersky Rescue Disk atau USB flash drive yang dapat di-boot. Dalam pengaturan unduhan ( Opsi boot) pilih drive disk optik atau flash drive sebagai perangkat boot pertama (terkadang mungkin muncul di dapat diperluas daftar HDD). Simpan perubahan (F10) dan keluar dari BIOS.
Modern versi BIOS Memungkinkan Anda memilih perangkat boot dengan cepat, tanpa masuk ke pengaturan dasar. Untuk melakukan ini, Anda perlu menekan (F12), (F11) atau kombinasi tombol - untuk lebih jelasnya, lihat pesan di layar, dalam instruksi untuk motherboard atau laptop. Setelah reboot, Kaspersky Rescue Disk akan mulai berjalan.
Bahasa Rusia tersedia, dan perawatan dapat dilakukan secara otomatis atau mode manual – petunjuk langkah demi langkah di situs web pengembang.
Berjuang lebih awal
Trojan yang menyerang utama boot record (MBR). Mereka muncul sebelum Windows melakukan boot, dan Anda tidak akan menemukannya di bagian autorun.
Langkah pertama untuk mengatasinya adalah memulihkan kode sumber MBR. Dalam kasus XP, untuk ini kita boot disk instalasi Windows, dengan menekan tombol (R), kami memanggil konsol pemulihan dan menulis perintah fixmbr di dalamnya. Konfirmasikan dengan tombol (Y) dan reboot. Untuk Windows 7, utilitas serupa disebut BOOTREC.EXE, dan perintah fixmbr diteruskan sebagai parameter:
Setelah manipulasi ini, sistem melakukan booting lagi. Anda dapat mulai mencari salinan Trojan dan kendaraan pengirimannya dengan antivirus apa pun.
Pada perang salib dengan obeng Phillips
Pada komputer berdaya rendah dan terutama laptop, perang melawan Trojan bisa memakan waktu lama, sejak booting dari perangkat eksternal sulit, dan verifikasi membutuhkan waktu yang sangat lama. Dalam kasus seperti itu, cukup lepaskan hard drive yang terinfeksi dan hubungkan ke komputer lain untuk perawatan. Untuk melakukan ini, akan lebih nyaman menggunakan boks dengan antarmuka eSATA atau USB 3.0 / 2.0.
Agar tidak menyebarkan infeksi, pertama-tama kita nonaktifkan autorun dari HDD pada komputer yang "merawat" (dan tidak ada salahnya memulai dari jenis media lain). Paling mudah melakukan ini dengan utilitas AVZ gratis, tetapi pemeriksaan itu sendiri lebih baik dilakukan dengan yang lain. Buka menu File, pilih Troubleshooting Wizard. Periksa "Masalah Sistem", "Semua" dan klik "Mulai". Setelah itu, centang item "Allowed autorun dari HDD" dan klik "Perbaiki masalah yang ditandai".
Selain itu, sebelum menyambungkan hard drive yang terinfeksi, Anda harus memastikan bahwa pemantauan antivirus tetap berjalan di komputer dengan pengaturan yang memadai dan ada database baru.
Jika bagian dari luar hard disk tidak terlihat, buka "Manajemen Disk". Untuk melakukannya, di jendela "Start" -\u003e "Run" tulis diskmgmt.msc dan kemudian tekan (ENTER). Partisi pada hard drive eksternal harus diberi huruf. Mereka dapat ditambahkan secara manual dengan perintah "ubah huruf drive ...". Setelah itu cek hard drive eksternal sepenuhnya.
Untuk mencegah infeksi ulang, Anda harus menginstal antivirus apa pun dengan komponen pemantauan waktu nyata dan mematuhi aturan keamanan umum:
- mencoba bekerja dari bawah akun dengan hak terbatas;
- gunakan browser alternatif - kebanyakan infeksi terjadi melalui Internet Explorer;
- nonaktifkan skrip Java di situs yang tidak dikenal;
- nonaktifkan autorun dari media yang dapat dilepas;
- instal program, add-on, dan pembaruan hanya dari situs web resmi pengembang;
- selalu perhatikan ke mana sebenarnya tautan yang disarankan mengarah;
- memblokir pop-up yang tidak diinginkan dengan add-on browser atau program mandiri;
- menginstal pembaruan tepat waktu untuk browser, komponen umum dan sistem;
- alokasikan partisi disk terpisah untuk sistem, dan simpan file pengguna di partisi lain.
Mengikuti rekomendasi terakhir memungkinkan untuk membuat gambar kecil dari partisi sistem (dengan program Symantec Ghost, Acronis True Image, Paragon Backup and Recovery atau setidaknya standar alat Windows "Pengarsipan dan Pemulihan"). Mereka akan membantu Anda dengan jaminan pemulihan komputer dalam hitungan menit, terlepas dari apa komputer itu terinfeksi dan apakah antivirus dapat mendeteksi Trojan.
Artikel ini hanya memberikan metode dasar dan informasi umum. Jika Anda tertarik dengan topik tersebut, kunjungi situs web proyek GreenFlash. Di halaman forum Anda akan menemukan banyak solusi dan tip menarik untuk membuat flash drive multiboot untuk semua kesempatan.
Distribusi Trojan Winlock tidak terbatas pada Rusia dan negara tetangga. Modifikasi ada di hampir semua bahasa, termasuk bahasa Arab. Selain Windows, Mac OS X juga mencoba menginfeksi Trojan semacam itu.Pengguna Linux tidak dapat merasakan kegembiraan saat mengalahkan musuh yang berbahaya. Arsitektur keluarga sistem operasi ini tidak memungkinkan penulisan X-lock yang efisien dan universal. Namun, Anda bisa "bermain dokter" mesin virtual dengan OS tamu Windows.
