«Ваша система заблокирована! Для активации необходимо отправить код «1234» на короткий номер «33333». Подобные сообщения на мониторе компьютера появляются все у большего числа пользователей. Цель одна: заставить отправить дорогую SMS.

Можно ли простому пользователю избавиться от этой заразы? Если можно, то как? Обычный юзер не желает разбираться в таких вопросах, как тип блокиратора, ручное обнаружение вредоносного процесса, поиск нужных записей в реестре. Современный пользователь желает просто запустить программу и получить чистую систему.

Поиск методик борьбы с блокираторами в сети Интернет дал удручающие результаты, информации почти нет. На вопрос, как избавиться от окна с требованием отправить SMS для активации, чаще всего предлагают попробовать воспользоваться контрольными точками для восстановления системы, поискать подозрительный процесс в диспетчере задач и, как самый радикальный метод борьбы – переустановка операционной системы.

Конечно, можно воспользоваться «откатом» системы на контрольную точку недельной давности, можно попробовать воспользоваться возможностью выбора варианта загрузки операционной системы (при загрузке нажать клавишу F8): безопасный режим (для визуального поиска заразы), «последняя удачная конфигурация системы». Можно попробовать поискать подозрительный процесс через Диспетчер задач. Но большая часть блокираторов просто блокируют запуск диспетчера задач, режим восстановления по контрольной точке. Более того, блокираторы «научились» отключать антивирусную защиту, запуск браузера.

В качестве метода борьбы с блокираторами можно предложить следующее:

1. Если появилось окно с требованием отправить SMS-сообщение на указанный номер, нужно записать номер телефона и код сообщения на бумаге. Естественно, что никаких sms-сообщений отправлять не следует. Наилучшим способом избавления будет применение специальные LiveCD от антивирусных компаний.

- от Касперского: RescueDisk http://devbuilds.kaspersky-labs.com/devbuilds/RescueDisk

- от Dr.Web: http://www.freedrweb.com/livecd

Особенности данных антивирусных программ в том, что загрузка операционной системы происходит с CD. В этом случае система будет чистой как от трояна, так и от окна блокиратора.

2. Есть вероятность, что существуют версии троянов, которые не поддаются такому методу.

Для других способов избавления от трояна потребуется доступ к сети Интернет. Как это сделать, если вирус-блокиратор не дает запустить браузер? Нужно иметь в виду, что окно блокиратора занимает почти весь рабочий стол.

Алгоритм действия такой:

- пробуем запустить браузер на зараженной машине. Так как блокиратор имеет более высокий приоритет, то чаще всего это не удается. В лучшем случае, браузер запустится, но не будет виден за окном блокиратора.

- используем другой компьютер для доступа к сети Интерне.

- если такой возможности нет, то нажимаем клавиши Win+U, появится окно для активации специальных возможностей, у которого очень высокий приоритет, и далеко не все трояны умеют эту ситуацию обрабатывать (блокировать).

 Запускаем экранную лупу. В появившемся окне выбираем Веб-узел Майкрософт, после чего запускается Web-браузер.

Задача доступа к сети Интернет решена.

3. Очищаем адресную строку браузера, в которую вводим адрес http://support.kaspersky.ru/viruses/deblocker

Попадаем на такую страницу:

Вводим номер телефона и текст сообщения, получая в ответ код разблокировки.

4. Если этот сервис сайта Касперского не поможет, обращаемся к другому сайту http://www.drweb.com/unlocker/index

Действия аналогичны. Здесь же узнаем, что название трояна: Trojan.Winlock

5. Если и этот сайт не помог, то обращаемся к следующему:

http://www.esetnod32.ru/.support/winlock

Вводим номер телефона и пароль.

6. Эти действия можно производить и на другом компьютере, записав полученный код деактивации, после чего ввести в окно блокиратора на зараженном компьютере.

7. Существует и офлайновая программа для получения кода деактивации блокиратора, ее можно найти по ссылке:

http://softget.net/freeware/projects/RansomHide/ransomhide.exe

Введя номер телефона и текст сообщения, получаем код деактивации.

Программа не требует установки, имеет большой приоритет, поэтому может оказаться хорошим средством для получения кода деактивации.

Хотя окно блокиратора исчезло, троян продолжает находиться в системе. Следующим этапом борьбы с трояном – удаление его из системы.

Мы не рассматриваем методов ручного удаления вредоносной программы. Рассмотрим использование антивирусных программ для окончательного удаления трояна из системы.

Напоминаем, что к удалению трояна следует приступить только после разблокировки системы.

1. Kaspersky Virus Removal Tool (http://avptool.virusinfo.info) – бесплатная программа от Касперского, которая не дает постоянной защиты, т.к. сигнатуры «вшиты» в программу, поэтому программу следует скачивать перед каждым применением.

2. Dr.Web Curiet! (http://www.freedrweb.com/curiet) – с аналогичными функциями.

Не всегда удается вернуть системе полную функциональность. Побочными действиями трояна могут быть невозможность запуска редактора реестра, появление всплывающего окна в браузере, отключить который не удается. Это может происходить и в том случае, если система от трояна избавлена.

Если есть проблемы с запуском реестра, то обычному пользователю в этом случае придется обратиться к специалисту, т.к. от проблемы избавляются путем редактирования разделов реестра Windows.