Лечение вируса MBR Locker, просящего 130 грн.
На днях позвали меня чинить компьютер с вот такой вот бедой: компьютер включается проходит BIOS и сразу появляется черный экран с текстом красного цвета и требующим 130 грн. на вебмани. По сути локер только с оплатой не через SMS, а через Webmoney. Есстественно что платить никому я не собирался, и разблокировал его нехитрым методом описанным далее.
Вирус содержал следующий текст:
Для снятия блокировки Вам необходимо оплатить штраф в размере 130 гривень.
Инструкци по оплате:
-найдите ближайший терминал Ibox(или другие).
-выбирете раздел "Электронная комерция" (в зависимости от терминала).
-выберите оплата "Webmoney" и укажите номер кошелька U277136277839
-Внесите указанную сумму и оплатите штраф. На фиксальном чеке найдите номер извещения, введите его в поле для разблокировки.
После снятия блокировки Вы должны удалить все материалы, содержащие элементы насилия и педофилии. В случае отказа от оплаты, все данные с Вашего персональном компьютере будут безвозвратно уничтожены и переданы в Управление МВД для разбирательства по статье 301 УК
причем при загрузке он моментально зависал не давая вводить никакого текста и в нижнем левом углу выводил кракозябры.
Если же все таки удастся стартануть машину чтоб вирус не завис то в у глу красовалась надпись
Сначала я начал гуглить и находил какие то варианты лечения с загрузкой в безопасный режим, или с live CD и шаманством в реестре.
Но я предположил что реестр тут не причем, т.к. Windows еще не успел запуститься, поэтому решено было восстановить MBR
Для восстановления понадобится установочный диск с виндовсом с которого устанавливали и есть возможность запустить консоль восстановления.
Т.к. на компе стояла семерка то и соответственно я запускался с установочного диска с семеркой.
В Windows XP, я знал как восстанавливать загрузочный сектор, для этого там нужно запуститься с установочного диска и выбрать "консоль восстановления" - нажав R в первом окне, а затем после появления доступа к диску C:> набрать команду
fixmbr
Но на семерке такая команда не катит. На сайте oszone.net я нашел подробную инструкцию по восстановлению.
Оказывается для этого нужно также загрузиться с диска и в первом окне выбрать "Восстановление системы"
затем программа просканирует диски, найдет Windows и предложит выбрать нужный раздел
После нажатия кнопки "Далее" появится окно с утилитами восстановления и там можно выбрать "Командная строка"
В появившемся окне нужно набрать комманду
bootrec /fixmbr
Нажать Enter, и за секунду загрузочный сектор будет перезаписан и сотрет вирус-загрузчик.
Далее остается только загрузиться в Windows, обновить антивирусную программу, и провести полное сканирование.
UPD: 15 сентября 2011
столкнулся с подобным вирусом и выложил мануал для восстановления в Windows XP
Спасибо! На ХР сегодня помог людям по телефону решить аналогичную проблему. Для надежности еще и фиксбут дали. А вот на 7рку завтра пойду в атаку (тот же вирус). Главное, чтобы сборка была не на 100% автоматизирована, а то мне даже выбрать "восстановление" не дадут :)
да нынче сборки излишне автоматизируют)))
проще с Hiren MBR Work. Переписывает мбр для вин7
Это снова я) Всё получилось и на семерке, сборка была действительно "слишком автоматизирована" и первый запрос, который я увидел - это выбор языка, страны и т.п. Помог банальный опыт работы с компом) Решил еще раз перезапустить установку, но уже с зажатыми Shift+Ctrl - и помогло! Сразу оказался в окне командной строки. Выполнил bootrec /fixmbr и всё стало замечательно :)
Автору - еще раз спасибо.
Остальным - может пригодится мой опыт со "сборкой")
Глупо, жмете далее выбираете восстановление системы, а дальше по вышестоящей инструкции.
можно использовать данную команду bootsect /nt60 all /mbr
2-й способ, в биосе вместо текущей прописываете дату на 3 дня вперед и дальше грузитесь нормально, проверяете антивирусами и т.д. (берет только вроде касперский)
для лечения использовать Kaspersky disk rescue на официальном сайте! помогает проверено!
да это неплохой вариант, http://support.kaspersky.ru/viruses/rescuedisk?level=2 - но может не помочь когда вируса еще нет в сигнатурах
big thanks to the author for new)
Кстати Вариант для Windows 7 так же успешно исправляет проблему и на Windows XP. Проверено только что. Так же загружаемся с установочного диска семерки даже если он не найдет нашу операционку просто выбираем командную строку и вводим команду.
Спасибо Евгений, будем знать.
Благодарю,помогло.какие только вирусы не придумают......
Спасибо Огромное !!!
Спасибо! Тестю только что по телефону вылечил)))
Огромное спасибо!!!! Все работает))
Огромнишее СПАСИБО!!!! РЕСПЕКТ И УВАЖУХА!!!
ВСЕ Заработало...
Спасибо! Очень помогло!
Спасибо огромное!!!
У меня тоже был именно такой вирус... погуглил, нашел несколько полезных статеек, включая эту, (спасибо автору). Но сначала решил попробовать наиболее простой вариант - и получилось! Скачиваем с официального сайта "Касперский Лив СиДи" (Kaspersky Rescue Disk 10) и он все сам вылечит, ненужно будет делать никаких востановлений и никаких переустановок. Подробно прочел тут:
http://ram32.ru/2011/07/20/lechim-trojan-ransom-boot-mbro-a-trojan-mbrlock-6/
ребята подскажите что можно сделать с этим вирусом у меня такое как сдесь только у меня 320 грн. и нужно отправить на номер (((life 063...))) я снес винду и удолил томы в итоге проблема не исчезла и винду не могу установить.Подскажите что можно сделать заранее спасибо!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Олег, вирус находится на винчестере в загрузочном секторе - MBR.
Берете обычный установочный диск и выполняете инструкцию этой статьи (если Vista или 7).
Или инструкцию отсюда http://ellexdev.com/blog/92 (если установочный диск Win XP)
Или еще проще, раз уж все уже удалили, то ставьте операционку, она во время установки пропишет загрузочный сектор.
EL! я пробовал установить винду она доходит до первой перезагрузки, после винда наченает повторную установку! я уже думал може попробовать еше раз удолить томы, отформатировать, а потом создать поновому томы! пробовали установить XP2,ХР3 и семерку!!! некокая не захотела!!! за ранее спасибо!!!!
Вот и я увидел эту модификацию за 320 грн. http://ellexdev.com/blog/106
http://www.1st.rv.ua/2011/08/mbr-winlock-remove/ - здесь так же много информации об этой заразе
Столкнулся с модификацией, которая еще патчит таблицу разлелов так, что первой записью прописывается раздел на 666Gb, а родные шли следом и уже получались не доступны. Естественно, на 300Г диске показало только 300Г, и во втором секторе лежал вовсе не оригинальный MBR, как делал предшественник, но пароль на этот вирь, как и раньше, лежал практически в самом конце первого сектора.
как восстановить разделы после того как вылечить мбр, но разделов больше нет?
Очень странно Влад, что разделов нет. Либо винт был форматирован, либо произошел сбой.
Программа восстановления mbr не затрагивает таблицу разделов.
Если произошел сбой можно попробовать восстановление с помощью продуктов Acronis, Например: http://ellexdev.com/blog/99
Только вот не находит программа восстановления операционную систему.
За два дня попались 3 компа, с этим вирусякой. Но он ещё и разделы сносит, в двух случаях это было не проблемно(инфы важной небыло) а вот третий нужно востановить. Вопрос как это сделать? FIXMBR и FIXBOOT не помогает, сейчас буду пробовать Antiwinlocker но не уверен что поможет.
Хелп плиз
Увы мне не попадались такие модификации которые портят раздел. Возможно поможет Acronis Disk Director Suite...
Вставил диск с виндой вибрал консоль востановления но у меня запрашивает пароль администратора которий я не знаю... На компютере пароль не стоял.
Спасибо, помогло. Только гонорар вымогателя вырос до 1500 грн))
Да я тоже лечил недавно с запросом в 1500. (на номер U380679057627)