Компьютер заблокирован! Новый вирус-вымогатель

Опубликовано: 06.06.2017

Ваш компьютер заблокирован за посмотр, копирование и тиражирование видеоматериалов содержащих элементы педофилии и насилия над детьми. Для снятия блокировки Вам необходимо оплатить штраф в размере 500 рублей на номер Билайн 8-909-151-56-52. В случае оплаты суммы равной штрафу либо превышающей ее на фискальном чеке терминала буде напечатан код разблокировки. Его нужно ввести в поле в нижней чати окна и нажать кнопку "Разблокировать". После снятия блокироки Вы должны удалить все материалы содержащие элементы насилия и педофилии. Если в течении 12 часов штраф не будет оплачен, все данные на Вашем компьютере будут безвозвратно удалены, а дело будет передано в суд для разбирательства по статье 242 ч.1 УК РФ.

Перезагрузка или выключение компьютера приведет к незамедлительному удалению ВСЕХ данных, включая код операционной системы и BIOS, с невозможностью дальнейшего восстановления.

Буквально за пару дней поступило несколько пациентов с подобыми симптомами. С Первого взгляда ничего особенного - обычный блокиратор, уже не раз писал о них в разделе вирусология . Однако этот тип немного отличается от описанных ранее, например Internet Security и отличие это поганенькое.

Данный вымогатель заменяет собой системый файл userinit.exe , находящийся в каталоге C:\WINDOWS\system32\ , чего не замечалось за его предшественниками.

По доброй традиции, для лечения понадобится загрузочный диск или флешка. Получив доступ к системе, после загрузки с диска или флешки выполните следующие действия:

В каталоге C:\Documents and Settings\All Users\Application Data\ удаляем файл с названием 22CC6C32.exe В каталоге C:\WINDOWS\system32\ удаляем файл userinit.exe В этом же каталоге находим и переименовываем файл 03014D3F.exe в userinit.exe Для Windows XP проверяем размер файла userinit.exe в каталоге C:\WINDOWS\system32\dllcache\ с тем, который мы только что сделали. Если размер не совпадает, заменяем его переименованным файлом. Подключаем реестр больной системы, как это сделать вручную читаем тут . Заходим в следующую ветку реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Параметру Shell прописываем его исходное значение explorer.exe

Параметр Userinit исправляем на C:\WINDOWS\system32\userinit.exe, (всё лишнее убрать)

Поиском в реестре находим и удаляем все записи, где содержится 22CC6C32.exe Перезагружаем компьютер
rss