Winlocker est un type de logiciel malveillant qui verrouille le système d'exploitation de l'utilisateur. Naturellement, si ce virus pénètre dans votre ordinateur, il commence immédiatement à agir. Par exemple, après une infection, il s'enregistre automatiquement au démarrage du système, ce qui signifie qu'il démarre automatiquement avec l'ordinateur personnel. Une fois lancé, Winlocker restreint l'utilisateur dans littéralement toutes les actions avec la souris et le clavier de l'ordinateur. Dans le même temps, il demande également d'envoyer une certaine somme d'argent sur le compte spécifié, après paiement de laquelle elle sera censée être automatiquement supprimée. Bien entendu, si l’utilisateur tombe dans le piège d’une telle astuce, aucun déverrouillage du système ne se produira.
Winlocker a principalement l'extension .exe. De plus, il est généralement diffusé via divers messages électroniques qui intéressent l'utilisateur à un degré ou à un autre. Une pièce jointe est jointe à un tel message, qui peut être soit une image, soit une vidéo (bien qu'en fait il s'agisse du même Winlocker). Pour ne pas tomber dans le piège, il suffit à l’utilisateur d’être vigilant et de regarder au moins l’extension du fichier qui lui a été envoyé. Généralement, les images ont l'extension suivante : .jpg, .pmg, .gif, etc. Les vidéos, à leur tour, ont .avi, .mp4, .flv, etc. Si l'extension du fichier ne correspond pas à ces extensions, il s'agit probablement de Winlocker (dont l'extension est .exe).
Comment supprimer Winlocker ?
Si ce malware pénètre dans votre ordinateur personnel, vous devez d’abord le supprimer du démarrage, puis le supprimer complètement du PC. Tout d’abord, avant de procéder à la suppression, vous devez vérifier quelles fonctions Winlocker a bloquées. Pour ce faire, appuyez sur la combinaison de touches de raccourci Ctrl + Alt + Suppr. Si ces étapes ne donnent rien, essayez de lancer le programme Exécuter en utilisant la combinaison Win + R et en entrant la commande regedit.
Il convient de noter que dans la plupart des cas, aucune de ces commandes ne fonctionne. Ensuite, vous devez démarrer l'ordinateur en mode sans échec (après le redémarrage, appuyez sur le bouton F8). Ensuite, la commande regedit est également écrite sur la ligne de commande et l'éditeur de registre est lancé. Ici, vous devez accéder aux branches suivantes : HKEY_LOCAL_MACHINE / SOFTWARE / Microsoft / Windows / CurrentVersion / Run et HKEY_CURRENT_USER / Software / Microsoft / Windows / CurrentVersion / Run. Dans ces branches, vous devez supprimer les programmes qui ne vous sont pas familiers : hkcmd.exe, igfxtray.exe, igfxpers.exe. Ensuite, vous devez rechercher les paramètres Shell et UserInit, dont la valeur doit inclure respectivement explorer.exe et le chemin d'accès au fichier userinit.exe (C:/Windows/system32/userinit.exe).
Habituellement, au lieu de l'un de ces paramètres, le chemin d'accès au fichier malveillant est spécifié. Vous devez vous en souvenir, et une fois les valeurs correctes saisies, suivez ce chemin, recherchez le fichier et supprimez-le.
Cheval de Troie de fenêtre.Winlock 19
Cheval de Troie.Winlock (Winlocker) - une famille de programmes malveillants qui bloquent ou rendent difficile le travail avec le système d'exploitation, et nécessitent le transfert d'argent aux attaquants pour restaurer les fonctionnalités de l'ordinateur, un cas particulier de Ransomware (ransomware). Ils sont apparus pour la première fois fin 2007. Les virus Ransomware se sont répandus au cours de l'hiver 2009-2010 ; selon certaines données, des millions d'ordinateurs ont été infectés, principalement parmi les internautes russophones. La deuxième vague d’activité de ces logiciels malveillants s’est produite en mai 2010.
Auparavant, les numéros courts surtaxés étaient généralement utilisés pour transférer de l'argent ; aujourd'hui, ces programmes peuvent également nécessiter de transférer de l'argent vers des portefeuilles électroniques (par exemple, Yandex.Money) ou le solde d'un numéro de téléphone mobile. La nécessité de transférer de l'argent s'explique souvent par le fait que « vous avez bénéficié d'un accès gratuit temporaire à un site pour adultes, vous devez payer pour une utilisation continue » ou qu'« une copie sans licence de Windows a été trouvée sur votre ordinateur ». L’option « pour visionner, copier et reproduire des vidéos de maltraitance d’enfants et de pédophilie » est également possible. Les modes de propagation du cheval de Troie.Winlock et des virus similaires sont variés : dans une proportion significative des cas, l'infection se produit via des vulnérabilités du navigateur lors de la consultation de sites infectés, ou lorsque les escrocs utilisent des « bundles » spéciaux qui leur permettent d'infecter uniquement les ordinateurs nécessaires, également via le navigateur.
Classification des différents fournisseurs
- Cheval de Troie.Winlock– selon la classification de la société Doctor Web.
- Cheval de Troie-Rançon– selon la classification de la société Kaspersky Lab.
- Cheval de Troie.LockScreen– selon la classification ESET.
Arrière-plan
Le premier ransomware est apparu en décembre 1989. Les utilisateurs recevaient par courrier des disquettes contenant un programme fournissant des informations sur le SIDA. Après l'installation, le système est devenu inutilisable et les utilisateurs ont dû payer pour le restaurer. Le premier bloqueur de SMS a été enregistré le 25 octobre 2007. Le ransomware a provoqué un crash du système (écran bleu de la mort). Contrôle du système presque complètement bloqué.
Description
Trojan.Winlock, simulant un écran bleu de la mort
À l'heure actuelle, les employés de diverses sociétés antivirus ont enregistré plusieurs milliers de types différents de Winlockers. Les premiers types ne nécessitaient pas plus de 10 roubles pour le déverrouillage, et si l'utilisateur laissait l'ordinateur allumé pendant un certain temps, ils s'autodétruisaient (par exemple, le cheval de Troie.Winlock 19 lui-même était supprimé sans laisser de trace après 2 heures.) Cependant, plus tard, des variétés plus dangereuses sont apparues qui n'ont pas été supprimées elles-mêmes et ont exigé de 300 à 1 000 roubles pour le déverrouillage.
Les Winlockers s'adressent principalement aux utilisateurs russes ; plus tard, des versions étrangères sont également apparues. Ils utilisent des méthodes d’ingénierie sociale. Généralement, la nécessité de payer une somme d’argent s’explique par l’utilisation de logiciels sans licence ou par le visionnage de films pornographiques. Il convient de noter que dans la plupart des cas, l’infection provient de sites pornographiques. Bien souvent, les raisons de la nécessité d'envoyer des SMS ou les méthodes d'obtention d'un code semblent absurdes, par exemple : « Votre ordinateur est bloqué pour visionner de la pornographie avec des mineurs et de la bestialité. Pour déverrouiller votre ordinateur, vous devez recharger le solde de votre téléphone sur n'importe quel terminal de paiement. Après le paiement, le code de déverrouillage doit apparaître sur le reçu de paiement. Les fautes d’orthographe ne sont pas rares. De plus, presque toutes les bannières contiennent un avertissement indiquant qu'une tentative de tromper le « système de paiement » entraînera une perturbation de l'ordinateur ou la destruction des données. Certains d'entre eux disposent même d'un compte à rebours intégré, après quoi le virus promet de détruire toutes les données des utilisateurs. Le plus souvent, il s’agit d’une simple menace qui convainc l’utilisateur de donner de l’argent à l’attaquant. Cependant, certaines versions sont livrées avec des outils de destruction de données, mais en raison du faible professionnalisme des auteurs, des fonctionnalités d'installation ou pour d'autres raisons, ils ne fonctionnent le plus souvent pas correctement.
L'infection peut survenir lors du lancement de programmes se faisant passer pour l'installateur d'un programme authentique ou d'archives auto-extractibles. Parallèlement, le « contrat de licence » (que l'utilisateur moyen lit rarement) stipule que l'utilisateur s'engage à installer sur son ordinateur une application « publicitaire » qu'il doit visualiser un certain nombre de fois, ou refuser de visualiser en envoyant un SMS. Le nombre de vues requises se compte généralement par milliers, les utilisateurs préfèrent donc envoyer des SMS à l'attaquant.
L’apparence de « l’interface » du cheval de Troie est très colorée et variée. Mais pour la plupart, ils sont unis soit par la similitude avec les menus standards de Windows, soit par la présence de matériel pornographique (photos, beaucoup moins souvent des animations et des vidéos utilisant les capacités d'Adobe Flash), ainsi qu'une fenêtre de saisie d'un code de déverrouillage. . Il existe des variétés très similaires à l'écran bleu de la mort ou à la fenêtre d'accueil standard de Windows. Il n'est pas rare non plus qu'ils se déguisent en programme antivirus (par exemple, Kaspersky Anti-Virus).
Trojan.Winlock peut être grossièrement divisé en 3 types, selon la difficulté qu'ils rendent le travail de l'utilisateur :
- 1 type- ce sont des bannières ou des informateurs pornographiques qui apparaissent uniquement dans la fenêtre du navigateur. Le type le plus facilement retiré. Ils prétendent généralement être des plugins supplémentaires ou des modules complémentaires de navigateur.
- Type 2- ce sont des bannières qui restent sur le bureau après la fermeture du navigateur et en couvrent en même temps la majeure partie. Mais les utilisateurs ont généralement toujours la possibilité d'ouvrir d'autres programmes, notamment le Gestionnaire des tâches et l'Éditeur du Registre.
- Tapez 3 sont un type de bannières qui sont chargées une fois le bureau Windows complètement chargé. Ils ferment presque tout le bureau, bloquent le lancement du gestionnaire de tâches, de l'éditeur de registre et démarrent en mode sans échec. Certaines variétés bloquent complètement le clavier, fournissant à l'utilisateur uniquement les touches numériques de leur « interface » et une souris fonctionnelle pour saisir le code.
Que faire en cas d'infection par Trojan.Winlock
voir également
Remarques
Liens
- AntiWinLocker - LiveCD spécial pour supprimer le virus ransomware
- Moyens de lutter contre les ransomwares de classe Trojan-Ransom
| Logiciel malveillant | |
|---|---|
| Malware infectieux | |
Les escrocs suivent l’air du temps et toutes les innovations modernes deviennent des armes efficaces entre leurs griffes. Des millions de Russes ont déjà été victimes d'un virus informatique Cheval de Troie Winlock 8854. L'intrigue est pratiquement la même, l'ordinateur se fige soudainement, une image apparaît à l'écran : "Attention ! L'ordinateur est infecté par un virus, puis l'algorithme continue." Comment supprimer le cheval de Troie Winlock 6999 et restaurer tout à sa forme précédente ? Il vous suffit d'envoyer un SMS au numéro, le coût d'un tel SMS varie de 500 à 2500 roubles, ou de recharger votre numéro d'abonné MTS ou Beeline du même montant !
Infection par un virus de la famille Cheval de Troie Winlock 8004, 3300, 2868, 6049, 7443 et d'autres, après quoi le cheval de Troie Windows Winlock 8811 a été bloqué, l'œuvre d'escrocs. Vous risquez de vous retrouver prisonnier d'escrocs si vous payez des SMS, rechargez votre numéro ou votre compte. Ou appelez un technicien informatique à votre domicile pour obtenir de l'aide, car tous les utilisateurs ayant accès à Internet sont en danger. Il suffit de télécharger un dessin animé ou un jeu vidéo à partir d’une source peu fiable et bonjour, le cheval de Troie Winlock 3333 est déjà sur votre PC.
Va faire face à Bannière Winlock Il est presque impossible de simplement redémarrer le système d'exploitation de l'ordinateur. Le plan des escrocs est simple, que vous le vouliez ou non, sans savoir comment supprimer Winlock, vous enverrez un SMS ou de l’argent. N'essayez en aucun cas de faire cela. En envoyant un message, vous donnez pratiquement votre numéro de téléphone aux escrocs, et ils ne se débarrasseront pas de vous. Lorsque vous envoyez votre numéro et le code de confirmation fourni sur le site, les fraudeurs reçoivent immédiatement l'autorisation de l'opérateur mobile et, en principe, peuvent débiter des fonds de votre numéro plus d'une fois ! Ne désespérez pas ! Comme pour tous les virus Cheval de Troie Winlock 7285 peut être supprimé de votre ordinateur.
Comment supprimer le cheval de Troie Winlock 8811
Déblocage du cheval de Troie Winlock via le registre
Si nous ne pouvons pas démarrer en mode sans échec, nous aurons besoin d'un disque de démarrage pour accéder au système d'exploitation. Démarrez à partir de n’importe quel CD amorçable. Après quoi, vous devez vous rendre dans le registre pour le modifier, car le cheval de Troie Winlock y est souvent enregistré. Pour ceux qui ne savent pas comment s’y rendre, maintenez enfoncés les boutons du clavier et saisissez la commande. Vous devez vous rendre dans la section registre :
Nous corrigeons les paramètres ici : Shell to [ explorer.exe], paramètre Userinit sur [ C:WINDOWS\SYSTEM32\userinit.exe,]. N'oubliez pas la virgule à la fin de la ligne. Voilà, le cheval de Troie Winlock est neutralisé. Maintenant, démarrons comme d'habitude et soyons satisfaits de notre travail !
Comment déverrouiller le cheval de Troie Winlock 8811 à l'aide de l'utilitaire KasperskyRescuDisk10 enregistré sur une clé USB amorçable
Pourquoi devez-vous graver KasperskyRescuDisk10 sur une clé USB ? Le fait est qu'un ordinateur infecté par la bannière Winlock ne pourra pas démarrer en mode normal. Par conséquent, vous devrez faire confiance au lecteur flash et traiter votre ordinateur à partir de celui-ci.
Première étape. Nous gravons l'image ISO de KasperskyRescueDisk10 sur une clé USB en exécutant l'utilitaire Rescue2usb.exe
Pour déverrouiller le cheval de Troie Windows Winlock 6198, nous aurons besoin de l'utilitaire KasperskyRescueDisk10. Nous allons sur le site Web de Kaspersky à l'url http://www.kaspersky.ru/support/viruses/rescuedisk/all?qid=208642325. Et on retrouve les lignes « Télécharger l'image KasperskyRescue Disk10 ».
Ici, nous devons télécharger deux fichiers : une image ISO de KasperskyRescueDisk10 et un utilitaire permettant d'écrire cette image sur USB, c'est-à-dire sur une clé USB. Vous pouvez bien sûr le graver sur un CD, mais il est toujours beaucoup plus simple de travailler avec une clé USB. Cliquez sur les fichiers et téléchargez-les – cela prendra du temps. Avant de graver l'image sur un lecteur flash, vous devez la formater. Vous devez garder à l'esprit que toutes les données importantes sur la clé USB seront supprimées. Dès que tout est téléchargé sur l'ordinateur. Vous devez exécuter l'utilitaire Rescue2usb.exe pour graver l'image kav_rescue_10.iso.
Tout d'abord, lancez l'utilitaire et cliquez sur le bouton. La fenêtre de l'utilitaire détecte automatiquement le support requis et il ne reste plus qu'à définir le chemin d'accès à l'image. Pour ce faire, cliquez sur le bouton [Parcourir]... et confirmez le fichier image. Clique sur [Ouvrir] et sur le bouton [Démarrer]. Le processus d'enregistrement a commencé. Ainsi, dès que l'utilitaire a terminé son travail, Rescue Disk a été écrit avec succès, cliquez sur [OK] et fermez la fenêtre.
Seconde phase. Configurer un ordinateur pour démarrer à partir d'un lecteur flash
Les utilisateurs inexpérimentés peuvent rencontrer des difficultés car ils ne savent pas comment démarrer à partir d'autres appareils. Pour ce faire, vous devez configurer la configuration du BIOS.
Pour accéder aux paramètres du BIOS lors de la mise sous tension de l'ordinateur, appuyez sur ou . Ici, nous devons configurer le PC pour qu'il démarre à partir du disque d'installation. Pour parcourir les sections, utilisez les touches fléchées. Passons à la rubrique. Dans la section Boot, vous devez configurer la priorité des périphériques de démarrage. Pour ce faire, sélectionnez une section et cliquez.
Dans la section Priorité du périphérique de démarrage sélectionnée, vous verrez 1 périphérique de démarrage, 2, 3, etc. Ils sont numérotés. Sélectionnez 1 périphérique de démarrage et . Dans le menu ci-dessous, sélectionnez votre clé USB. Pour enregistrer les paramètres modifiés et quitter les paramètres du BIOS, accédez à la section de sélection et cliquez sur . Le périphérique de démarrage est configuré.
Troisième étape. Démarrer l'ordinateur à partir d'un lecteur flash
Dès que le système a démarré, vous devez appuyer sur n'importe quelle touche pour démarrer à partir du lecteur flash. Ensuite, vous devez sélectionner une langue, naturellement nous sélectionnons le russe, en utilisant les touches fléchées et confirmons. Le système va maintenant commencer à se charger avec l'interface russe et vous devrez attendre encore un peu. Ensuite, un contrat de licence devrait apparaître, vous pouvez le lire. Pendant que vous lisez, appuyez sur la touche pour accepter la condition et continuer.
Dans la boîte de dialogue qui apparaît, sélectionnez – [Mode graphique] + . Chargement en cours. Et dès que le disque démarre, vous devez d'abord déverrouiller Windows. Pour cela, dans la barre des tâches, cliquez sur la première icône de la ligne - il s'agit de la lettre « K » - Menu de lancement de l'application. Et ici, nous sélectionnons l'élément [Terminal] en faisant un clic gauche dessus.
La console se lance, dans laquelle vous devez saisir une commande spéciale pour lancer le déverrouillage, à savoir la commande en cliquant sur le curseur en fin de ligne. . Le programme se charge et il nous est demandé de choisir l'une des options : 1 - Déverrouiller Windows, 2 - Enregistrer des copies des secteurs de démarrage, 0 - Quitter.
Puisque nous devons déverrouiller le cheval de Troie Windows winlock, nous entrons . et le registre est traité. Le programme devrait montrer que plusieurs opérations ont été effectuées avec succès et que le registre a été corrigé. Par conséquent, nous devons quitter en cliquant sur +, ou simplement fermer la fenêtre. Comment faire face à cette étape, vous devez rechercher les virus informatiques.
Afin de supprimer définitivement le cheval de Troie Winlock du système d'exploitation. Tout d'abord, vous devez mettre à jour. Par conséquent, dans la fenêtre KasperskyRescue Disk10, allez dans l'onglet [Mettre à jour] et cliquez sur le bouton [Mettre à jour] En règle générale, le programme détecte automatiquement la connexion Internet et effectue la mise à jour. Ce processus prend un certain temps. Dès que les bases de données antivirus ont été mises à jour, l'état des bases de données est passé à Actuel. Nous effectuons une analyse avec l'antivirus Kaspersky.
Allez dans l'onglet [Vérifier les objets] et cliquez sur le bouton [Effectuer la vérification des objets]. Lorsque des virus de la famille sont détectés Cheval de Troie winlock 6426, 9260, 2741, 8615 et d'autres, le programme lui-même suggérera quoi en faire : traiter, supprimer, mettre en quarantaine, etc. En règle générale, ces virus ne sont pas curables et peuvent seulement être supprimés.
VOICI LE PLUS IMPORTANT : vous faites tout à vos risques et périls, car tous les fichiers ou documents peuvent être infectés et bien sûr, vous devrez dans tous les cas les supprimer s'ils ne sont pas guérissables.
Déblocage du cheval de Troie Winlock Kaspersky et Doctor Web
Trouver code de déverrouillage du cheval de Troie Winlock 8811 utilisez les services antivirus gratuits Dr.Web Winlock et Kaspersky sur un ordinateur non infecté pour déterminer les codes de déverrouillage du virus Trojan Winlock. Une fois que vous avez déterminé les codes de déverrouillage, saisissez-les tous ! Si au moins un code fonctionne, vous pouvez vous féliciter de la réussite de l'opération. Cette méthode n'est pas toujours efficace pour traiter le virus cheval de Troie Winlock.
N'oubliez pas que pour éviter ces problèmes, l'un d'entre eux doit être installé et correctement configuré sur votre ordinateur. antivirus.
Si toutes les méthodes ci-dessus pour supprimer un virus ne vous ont pas aidé, appelez notre service informatique, nous vous aiderons certainement !
Winlocker (cheval de Troie.Winlock) est un programme malveillant dont le but est de bloquer ou de rendre difficile le travail avec un ordinateur. Il est utilisé par les attaquants pour recevoir des récompenses pour le déverrouillage. Il s’agit essentiellement d’un programme ransomware (SMS ransomware). Le système d'exploitation est généralement bloqué à l'aide d'une bannière qui occupe presque tout l'écran et ne peut pas être supprimée.
Le plus ennuyeux dans de telles situations est que ceux qui décident de payer pour le déverrouillage ne reçoivent pas de code. En conséquence, de l’argent est perdu pour répondre aux exigences du ransomware, puis pour payer les services des centres de service afin de restaurer les fonctionnalités de l’ordinateur.
Types de Winlockers
Ces virus ont commencé en 2007 et déjà en 2009-2010, des millions d'utilisateurs, pour la plupart russophones, étaient confrontés au problème des systèmes d'exploitation bloqués. Depuis, cette méthode permettant aux cybercriminels de gagner de l’argent est devenue très populaire. C’est pourquoi ils créent et mettent systématiquement en ligne de nouveaux types de casiers. Vous pouvez créer un virus en quelques minutes à l'aide d'un programme spécial, même sans compétences en programmation.
L’essence du ransomware reste la même : exiger de l’argent de l’utilisateur pour déverrouiller l’ordinateur. Différentes méthodes sont utilisées pour cela :
- rechargez votre compte de téléphone mobile ;
- envoyer un SMS payant à un numéro court ;
- rechargez votre compte de page de réseau social ;
- transférer de l'argent via un terminal de paiement express.
L'impact d'un virus sur un système d'exploitation peut être de différents types. Le moyen le plus simple consiste à supprimer une bannière qui apparaît uniquement dans la fenêtre du navigateur. D'autres types ferment presque tout le bureau même après la fermeture du navigateur, mais vous permettent en même temps d'ouvrir d'autres programmes avec lesquels les virus peuvent être supprimés (gestionnaire de tâches, éditeur de registre). Des Winlockers plus dangereux, dont les bannières couvrent tout le bureau, bloquent le clavier, la souris, le lancement de programmes et même le démarrage en mode sans échec.
Selon le principe d'action, ces virus portent des noms différents :
- Winlockers ;
- mbrlockers;
- casiers utilisant des méthodes d’ingénierie sociale.
Certains d’entre eux ne sont même pas détectés par les programmes antivirus.
Le principe de fonctionnement des winlockers
Le principe de fonctionnement de Winlocker ou Trojan.Winlock est de perturber le fonctionnement de Windows en remplaçant le shell du système d'exploitation. L'interface de la fenêtre qui bloque le bureau est similaire à la fenêtre d'activation de Windows XP. Mais un message apparaît concernant l'utilisation d'une version sans licence du système d'exploitation. Le code d'activation peut être obtenu en envoyant un message SMS à un numéro court, à la suite duquel un certain montant est retiré du compte de téléphone mobile.
Développement de rançongiciels
Les premières modifications des winlockers étaient assez simples à gérer. Il était nécessaire de démarrer le système en mode sans échec et d'utiliser l'utilitaire de récupération du système intégré. Ou supprimez le processus antivirus dans le Gestionnaire des tâches et modifiez la valeur du shell par défaut dans le registre système.
Au stade initial de développement, le ransomware exigeait de petites sommes pour le déverrouillage et s'appuyait sur le fait qu'il était plus facile pour l'utilisateur de payer 10 roubles que de combattre le virus. Dans certains cas, aucun effort n’a été nécessaire. Il suffisait de laisser l'ordinateur allumé pendant un moment et le programme malveillant s'autodétruirait. Par exemple, pour vous débarrasser de Trojan.Winlock 19, vous devez attendre 2 heures.
Au fil du temps, grâce aux efforts des créateurs de ransomwares, il est devenu de plus en plus difficile de guérir un ordinateur. Le lancement du gestionnaire de tâches, de l'utilitaire de récupération du système, de l'éditeur de registre, du panneau de configuration, des programmes antivirus et de la ligne de commande a été bloqué. Il est devenu impossible d'ouvrir les sites Web de certains programmes antivirus. Et les sommes extorquées pour restaurer les fonctionnalités de Windows s'élevaient déjà à des centaines, voire des milliers de roubles.
De nombreux utilisateurs ont accédé aux demandes des Winlockers en raison des menaces contenues dans la plupart des bannières. Le message avertissait que le non-respect de cette règle entraînerait des dommages à votre ordinateur ou à vos données. Certains programmes utilisaient une astuce psychologique qui déclenchait un compte à rebours. Mais dans la plupart des cas, il ne s’agissait que d’une menace.
L'interface de Trojan.Winlock peut être très diversifiée. Mais le plus souvent, les fenêtres antivirus sont identiques aux fenêtres standard de Windows. Des photos et vidéos pornographiques sont souvent utilisées. Vous pouvez rencontrer la fenêtre de bienvenue de Windows ou ce que l'on appelle l'écran bleu de la mort. Certains programmes ransomware utilisent une interface similaire à un antivirus.
Mécanisme d'infection
Les méthodes de distribution de Winlocker sont assez variées. Mais dans la plupart des cas, l’infection se produit des manières suivantes :
- via un navigateur lors du chargement de sites infectés ;
- via le fichier d'installation d'un programme ;
- via des archives auto-extractibles.
Mbrlockers
Avec le développement de méthodes efficaces de traitement et de prévention des systèmes d’exploitation, des types de ransomwares plus dangereux ont été créés. Leur action repose sur la modification du Master Boot Record, qui bloque le chargement du système d'exploitation. Au lieu de cela, un message apparaît vous demandant de recharger le compte du téléphone mobile spécifié. Contrairement aux winlockers, les mbrlockers présentent un plus grand danger car ils démarrent avant le démarrage de Windows.
L'infection par Trojan.MBRlock se produit généralement lors du téléchargement d'un fichier infecté, par exemple sous le couvert d'une vidéo. Une fois qu’un virus est détecté, il n’est parfois nécessaire de prendre aucune mesure, car l’auto-désactivation se produit après quelques jours. Mais cette option n'est pas pertinente pour ceux qui ne peuvent pas retarder longtemps l'utilisation d'un ordinateur.
Méthodes d'ingénierie sociale
L'action des winlockers ou mbrlockers utilisant l'ingénierie sociale se fonde sur la psychologie humaine, sur ses faiblesses. Les bannières bloquant le système d'exploitation contiennent des accusations qui encouragent l'utilisateur à se séparer de son argent sans résistance. Par exemple, certains d’entre eux mettent en garde contre le visionnage de pornographie et vous demandent de recharger votre téléphone portable pour le déverrouiller.
Beaucoup de ceux qui ont réellement consulté ces documents, craignant la publicité, remplissent ces conditions. Mais vous devez garder à l'esprit que le réapprovisionnement de votre compte ou l'envoi d'un SMS payant ne garantit pas la réception d'un code. Parfois, le message de bannière est rédigé par des sociétés bien connues, notamment Microsoft.
Ce facteur, combiné à un avertissement concernant l'utilisation d'une copie sans licence du système d'exploitation et à la menace de destruction des données, convainc également l'utilisateur de la nécessité d'envoyer immédiatement un SMS. Nous avons parlé plus en détail des méthodes d'ingénierie sociale dans l'article.
Que faire si votre ordinateur est verrouillé, méthodes de déverrouillage
Au lieu de s’attaquer aux problèmes créés par les ransomwares, il est préférable de prendre en compte quelques conseils pour éviter l’infection :
- Installation d'un produit antivirus de haute qualité. Étant donné que de nouveaux Winlockers apparaissent assez souvent, il est nécessaire de s'assurer que les bases de données antivirus sont régulièrement mises à jour.
- Lors du téléchargement de fichiers, faites attention à leur type. Par exemple, les fichiers audio et vidéo ne doivent pas avoir l'extension .exe.
- Après avoir téléchargé un fichier, analysez-le à la recherche de virus.
Si néanmoins une infection survient et que l’ordinateur est bloqué, vous ne devez pas suivre l’exemple du ransomware. La probabilité de débloquer de cette manière est presque nulle. Ne paniquez pas face à l'avertissement concernant la destruction des données après un certain temps, car la plupart des winlockers ne disposent pas d'un tel mécanisme. Un moyen radical de restaurer les fonctionnalités du système consiste à réinstaller Windows. Cependant, peu de gens voudront l’utiliser pour chaque infection.
Un moyen plus simple consiste à sélectionner le code à l'aide des services de déverrouillage créés par les développeurs antivirus. Les plus populaires et les plus efficaces d'entre eux proviennent de Dr.Web, Eset et Kaspersky Deblocker. Pour éviter des blocages répétés, vous devez analyser le système avec l'antivirus installé. Si les services de sélection de code ne parviennent pas à résoudre le problème, vous pouvez utiliser les utilitaires de récupération après sinistre de Kaspersky Lab ou Dr.Web (LiveCD, LiveUSB).
Si le système ne peut pas démarrer en raison de dommages au chargeur de démarrage Windows, au registre ou aux fichiers système, utilisez la console de récupération. Ce processus se produit à l'aide d'un disque de démarrage avec le système d'exploitation et de la commande fixmbr.
Malgré l'apparition régulière de nouveaux virus, comme les winlockers et les mbrlockers, il est possible de s'en débarrasser à l'aide d'un logiciel antivirus, qui dispose des outils nécessaires pour cela. Mais il ne faut pas oublier que la meilleure façon d’éviter les problèmes dus au blocage du système est la prévention. Soyez prudent sur Internet, Suivez nos conseils simples et ce problème vous contournera.
« Oh, c’est exactement à ça que ressemblait la photo ! Même le nombre est le même », la « victime » suivante a presque joyeusement « reconnu » le virus.
Ceux qui réparent des ordinateurs, avez-vous déjà remarqué que parfois, lorsque vous vous présentez, un ordinateur en panne se met soudainement à fonctionner comme si de rien n'était ? Et involontairement, quelqu'un vous regarde avec peur et respect, voire avec des plaisanteries.
Dans ce cas, après téléchargement les fenêtres il n'y avait pas de virus, mais ils m'ont appelé il y a deux jours et pendant tout ce temps l'ordinateur était éteint. Où est-il allé?
L'un des conseils pour éliminer les variétés de virus Cheval de Troie.Winlock, demande : réglez l'heure du système dans le BIOS deux jours à l'avance, si cela ne fonctionne pas, alors un mois, un an... Cela ne fonctionne pas toujours, tout comme barres forgées sur les fenêtres Ils ne vous sauvent pas toujours des voleurs, mais ils inspirent confiance (je n’ai jamais réussi à me débarrasser d’un ransomware comme celui-ci), mais ici, cela semble avoir fonctionné naturellement.
Et pourtant, il vaut mieux supprimer les nouveaux sales trucs en utilisant des méthodes efficaces et éprouvées. Il faut dire que les services de déblocage qui existent actuellement sur les sites Internet des sociétés antivirus n'aident pas toujours, et de nombreuses options pour supprimer astucieusement... les virus intelligents ne peuvent que dérouter.
En attendant, parmi les nombreux conseils, il existe deux manières assez simples mais efficaces d'éliminer de nombreux Cheval de Troie.Winlock– des virus qui bloquent le système d’exploitation, rendant impossible son fonctionnement, et en même temps vous obligent à envoyer une certaine somme d’argent.
Je dirai tout de suite que les options ne m'appartiennent pas, je viens de m'en armer, mais remercions worldwar87 pour leur utilité et leur adéquation professionnelle.
Réinstaller Windows est la dernière chose à faire, car vous pouvez résoudre le problème sans perdre de temps et sans trop de risques pour vos données.
La première chose à faire est de redémarrer l'ordinateur et, en appuyant sur la touche F8 (parfois F5) lors du démarrage initial, sélectionnez l'option : Mode sans échec avec prise en charge de la ligne de commande.
Cliquez sur Entrer et considérons la situation : d'abord – Le mode sans échec a démarré en toute sécurité sans virus, deuxième – il (le virus) n'a disparu nulle part.
Dans le premier cas, nous devons taper la commande sur la ligne de commande.
Ouvrez la branche de registre en utilisant le chemin :
HKEY_LOCAL_MACHINE -> LOGICIEL -> Microsoft -> Windows NT -> CurrentVersion -> winlogon
Examinons Coquille comme sur la photo :
Sur un ordinateur propre, vous verrez ce que cela devrait être : écrit explorer.exe. Sur un système infecté, le chemin complet du fichier exécutable du virus. Rappelez-vous ou écrivez il sera supprimé plus tard.
Pour ce faire, sur la ligne de commande on tape explorer.exe et via « Poste de travail », nous arrivons au virus. Supprimer.
Dans Shell, nous ne laissons que l'entrée explorer.exe
Pour la deuxième situation, lorsque le virus vous empêche de travailler en mode sans échec, vous aurez besoin d'un Live-CD bootable avec Windows.
Vous devrez (sinon) le télécharger depuis Internet. Je pense que vous pouvez le trouver – Google vous aidera.
Sélectionnez ensuite Fichier -> Importer (chemin C:/WINDOWS/System32/config/software) et ouvrez-le dans la section que nous avons créée répéter les étapes décrit dans le premier exemple.
Après avoir supprimé le virus, nous devrons réexporter notre branche nettoyée. Pour ce faire, sélectionnez le menu Fichier ->Exporter et revenez à C:/WINDOWS/System32/config/software.
Après cela, redémarrez l'ordinateur. Le virus a été supprimé, mais vous devez l'analyser complètement avec un antivirus doté de bases de données mises à jour : une sorte de contrôle et de vérification de l'exécution, tout comme les modules EMS dans un système de gestion d'entreprise.
Bonne chasse!