👦🏼 👕 🌤️ 勒索软件横幅-执行，不设宽限期 ⚖️ ℹ️ 👩🏻‍🔧

标语“ Windows已锁定-发送短信以解锁”，其横幅非常喜欢限制免费Windows用户的访问权限。而且，通常摆脱困难状况的标准方法-不能从安全模式纠正问题，在ESET和DR网站上解锁代码以及将BIOS时钟上的时间转移到将来，这些方法总是不起作用。

您是否真的需要重新安装系统或支付勒索软件？当然，您可以采用最简单的方法，但是尝试依靠我们自己和我们自己的资源来应对一个名为Trojan.WinLock的痴迷怪兽不是更好，尤其是因为您可以尝试快速，完全免费地解决问题。

勒索软件横幅

我们要和谁打架？

第一个勒索软件程序在1989年12月得到加强。然后，许多用户收到了提供有关AIDS病毒信息的软盘。安装一个小程序后，系统无法运行。对于她的复苏，向用户提供了帮助。 2007年10月，注意到了第一个SMS阻止程序的恶意活动，该活动将用户引入“死亡蓝屏”的概念。

Trojan.Winlock（Winlocker）是广泛的恶意程序家族的代表，该恶意软件家族的安装导致完整的阻止程序或使用操作系统的巨大困难。凭借其前辈的成功经验和先进技术，Winlocker开发人员迅速翻开了Internet欺诈历史的新篇章。在2009年至2010年冬季，用户对该病毒的修改最多，而据统计，当时没有一百万台个人计算机和笔记本电脑被感染。活动的第二高峰发生在2010年5月。尽管事实上，整个Trojan.Winlock Trojan一代的受害者人数已大大减少，并且该想法的父亲已被拘留，但问题仍然存在。

Winlocker的不同版本数量超过数千。在早期版本（Trojan.Winlock 19等）中，攻击者要求10卢布才能解锁访问权限。 2小时后没有任何用户活动，导致该程序自动删除，仅留下了不愉快的记忆。多年以来，人们的胃口增长了，要解锁Windows在更高版本中的功能，它已经需要300-1000卢布甚至更高，开发人员略微忘记了程序的自动删除功能。

作为付款选项，向用户提供SMS-在WebMoney，Yandex Money系统中的短号或电子钱包付款。“鼓励”没有经验的用户付款的因素是可能浏览色情网站，使用未经许可的软件……为了提高效率，勒索软件的吸引力包括威胁，当试图欺骗系统时会破坏用户计算机上的数据。

Trojan.Winlock分发路径

在大多数情况下，感染是由于浏览器漏洞引起的。风险区是所有相同的“成人”资源。感染的经典版本是周年纪念游客，并获得了宝贵的奖励。感染的另一种传统的方法是通过程序，伪装成著名的安装程序，自解压文件，更新-的Adobe Flash等木马程序的界面是丰富多元的，对防病毒程序的窗口屏蔽技术传统上使用，和动画是不太常见的。

在一般的各种修改， Trojan.Winlock可以分为3种类型：

仅在浏览器窗口打开时才强制使用Pornformor或横幅。
关闭浏览器后，保留在桌面上的横幅。
在加载Windows桌面并阻止启动任务管理器，访问注册表编辑器，以安全模式加载以及在某些情况下（在某些情况下）键盘后出现的标语。

在后一种情况下，为了完成攻击者所需的最少简单操作，用户可以随意使用鼠标在数字屏幕界面上输入代码。

Trojan.Winlock的不良习惯

为了确保分发和自动运行，Trojan.Winlock家族的病毒会修改注册表项：

-[... \ Software \ Microsoft \ Windows \ CurrentVersion \ Run]'svhost'='％APPDATA％\ svhost \ svhost.exe'
-[... \ Software \ Microsoft \ Windows \ CurrentVersion \ Run]'winlogon.exe'='<SYSTEM 32> \ winlogon.exe'

为了使该系统难以检测，该病毒阻止了隐藏文件的显示，创建并运行它：

％APPDATA％\ svhost \ svhost.exe

启动执行：

<系统32> \ winlogon.exe
％WINDIR％\ explorer.exe
<系统32> \ cmd.exe / c“”“％TEMP％\ uAJZN.bat”“”
<系统32> \ reg.exe添加“ HKCU \软件\微软\ Windows \ CurrentVersion \运行” / v“ svhost” / t REG_SZ / d“％APPDATA％\ svhost \ svhost.exe” / f

终止或尝试完成系统过程：

％WINDIR％\ Explorer.EXE

对文件系统进行更改：

创建以下文件：

％APPDATA％\ svhost \ svhost.exe
％TEMP％\ uAJZN.bat

为文件分配“隐藏”属性：

％APPDATA％\ svhost \ svhost.exe

寻找窗户：

ClassName：'Shell_TrayWnd'WindowName：''
ClassName：'指标'WindowName：''

治疗。方法1 通过付款明细或电话号码匹配代码组合

该问题的普遍性和严重性促使防病毒软件开发人员寻找有效的解决方案。因此，在Dr.Web网站上，以公开窗口的形式显示了解锁界面，您需要在其中输入用于勒索的电话号码或电子钱包。如果数据库中存在病毒，则在窗口中输入适当的数据（请参见下图），将使您获得所需的代码。

DRWeb解锁服务

方法2.在Dr.Web服务数据库中按图像搜索所需的解锁代码

在该网站的另一页上，作者提出了另一个选择-一个现成的Trojan.Winlock常用版本的解锁代码数据库，按图像分类。ESET

防病毒工作室提供了类似的代码搜索服务，其中已编译了将近40亿个解锁代码选项的数据库，而卡巴斯基实验室不仅提供了对代码数据库的访问权限，还提供了自己的修复实用程序-Kaspersky WindowsUnlocker，该数据库提供了访问权限。

方法3.实用工具-解锁器

由于病毒活动或系统崩溃，在很多情况下，无法使用带有命令行支持的安全模式（该安全模式允许进行必要的操作），并且由于某种原因导致系统回滚也被证明是不可能的。在这种情况下，“计算机故障排除”和“ Windows恢复光盘”将无用，您需要使用Live CD中的恢复选项。

要解决这种情况，建议使用专门的修复工具，该工具的映像需要从CD或USB驱动器中下载。为此，必须在BIOS中提供适当的引导选项。在具有BIOS设置中映像的引导磁盘具有最高优先级之后，将使用具有修复实用程序映像的CD或闪存驱动器进行首次引导。

在一般情况下，最有可能在PC DEL / DELETE上使用F2键在笔记本电脑上进入BIOS，但是键及其输入组合可能有所不同（F1，F8，较少见的是F10，F12 ...，Ctrl + Esc，Ctrl + Ins，Ctrl + Alt，Ctrl + Alt + Esc等）。您可以在输入的最初几秒钟内通过跟踪屏幕左下方区域中的文本信息来找到要输入的按键组合。在此处了解有关BIOS设置和各种版本功能的更多信息。

由于只有最新的BIOS版本才支持鼠标操作，因此您很有可能必须使用上下箭头，+，+，-，F5和F6按钮上下移动菜单。

防WinLockerLiveCD

有效应对勒索软件标语的最流行，最简单的实用工具之一-“横幅杀手” AntiWinLockerLiveCD已赢得了声誉。

程序徽标

该程序的主要功能：

修复对操作系统最重要参数的更改；
修复未签名文件在启动区域中的存在;
防止替换WindowsXP中的某些系统文件userinit.exe，taskmgr.exe；
防止病毒关闭，任务管理器和注册表编辑器；
保护启动扇区免受Trojan.MBR.lock等病毒的侵害；
保护程序映像替换区域为另一个。如果标语不允许您的计算机启动，AntiWinLocker LiveCD / USB将帮助您以自动模式将其删除并恢复正常加载。

自动系统恢复：

;
;
;
;
(HiJack);
HOSTS ;
, (Userinit, taskmgr, logonui, ctfmon);
(.job) AutorunsDisabled;
Autorun.inf ;
( WinPE).

使用AntiWinLocker LiveCD实用程序进行治疗不是万能药，而是摆脱病毒的最简单，最快的方法之一。 LiveCD发行版，即使是轻量级的免费Lite版本，也具有用于此目的的所有必需工具-FreeCommander文件管理器，它提供对系统文件的访问，对启动文件的访问以及对注册表的访问。

该程序对新手来说是真正的发现，因为它使您可以选择自动扫描和更正模式，在此模式下，几分钟之内即可发现并消除病毒及其活动的后果，而几乎无需用户干预。重新启动后，机器将准备好以正常模式继续工作。

操作顺序非常简单：

将所需版本的AntiWinLockerLiveCD文件下载到ISO格式的第三方计算机上，将CD-ROM插入其驱动器，然后右键单击该文件，选择“打开方式”，然后选择“ Windows磁盘映像刻录机”-“刻录”，然后我们将映像重写到CD-ROM。引导盘已准备就绪。

开发者网站

我们将带有映像的磁盘放置在具有预配置BIOS参数的锁定PC /笔记本电脑的驱动器中（请参见上文）；
我们正在等待将LiveCD映像加载到RAM中。

启动程序窗口后，选择锁定的帐户；
我们选择专业版或精简版进行数据处理。免费版（Lite）适用于解决几乎所有任务。
, Windows ( ), , .

为了实验的纯净，您可以勾选除最后一个菜单项以外的所有菜单项（还原引导扇区）。

点击“开始” /“开始治疗”。

等待验证结果。末尾的问题文件将在屏幕上以红色突出显示。

发现病毒

如我们所料，该程序特别关注在给定示例中针对其传统栖息地的病毒搜索。该实用程序记录了负责操作系统图形外壳程序的Shell参数中的更改。在按相反的顺序处理并关闭程序的所有窗口后，按“退出”按钮并重新启动，熟悉的Windows启动屏幕恢复了其通常的位置。我们的问题已成功解决。

勒索软件横幅删除

在该程序的其他有用工具中：

注册表编辑器
命令行;
任务管理器;
TestDisk;
AntiSMS.

AntiWinLockerLiveCD实用程序的自动扫描并不总是能够检测到阻止程序。
如果自动清理不起作用，您始终可以通过检查路径C：或D：\ Documents and Settings \ Username \ Local Settings \ Temp（对于Windows XP）和C：或D：\ Users \ Name来利用文件管理器。用户\ AppData \本地\ Temp（对于Windows 7）。如果横幅是在启动时注册的，则可以在手动模式下分析扫描结果，从而可以禁用启动项。

通常，Trojan.Winlock不会挖掘得太深，并且可以预见。要使他想起自己的位置，需要做的就是提供一些不错的程序和技巧，当然，还要对无限的网络空间保持谨慎。

预防

纯粹不是在他们经常打扫的地方，而是在他们不会乱丢的地方！ -是的，但是对于一个有趣的木马来说，这是前所未有的！为了最大程度地减少感染的可能性，您应该遵守一些简单且相当可行的规则。

考虑一个更复杂的Admin帐户密码，这将不允许直接的恶意软件使用最简单的搜索方法来提取该密码。

在浏览器设置中，选中以下选项以在会话后清除缓存，禁止执行浏览器的临时文件夹中的文件等。

始终拥有从受信任的资源（torrent）记录的处理磁盘/闪存驱动器LiveCD（LiveUSB）。

使用Windows保存安装盘，并始终记住它在哪里。在命令行的“ H”小时，您可以将重要的系统文件还原到其原始状态。

至少每两周创建一个恢复检查点。

在虚拟PC（VirtualBox等）下运行任何可疑软件-破解，密钥生成等。这将提供使用虚拟PC外壳轻松修复损坏的网段的机会。

定期备份到外部媒体。禁止将文件写入可疑程序。
祝您一切顺利，只有愉快，最重要的是-安全的会议！

iCover团队的后记

我们希望本材料中提供的信息对iCover公司博客的读者有用。并且将在几分钟之内轻松解决上述问题。我们也希望在我们的博客中找到很多有用和有趣的东西，您可以了解最新小工具的独特测试和检查结果，找到最紧迫的问题的答案，而这些问题通常需要昨天解决。）

勒索软件横幅-执行，不设宽限期