Попортившие столько нервов
пользователям вирусы-блокировщики, типа знаменитого Winlock, уже устарели. На
смену ему около года назад стали активно приходить версии вредоносного ПО,
которые начинают работу до старта операционной системы. Фактически, блокировка
Windows происходит в момент начала считывания MBR – Master Boot Record (главная
загрузочная запись) винчестера при загрузке ПК. Отличительной чертой такого
подхода становится то, что система не запускается даже в безопасном режиме
(разумеется, – вместо нее грузится вирус, а сама система просто не загружается,
так как MBR на нее более не ссылается). Поэтому большинство старых методов
деблокирования системы и удаления вируса уже не эффективны. Столкнувшись, в
очередной раз с необходимостью объяснять по телефону алгоритм лечения этой
напасти, я решил, что проще написать статью об этом, чтобы сэкономить время.
Принцип действия
вируса
MBRLock многие называют
«блокировщиком BIOS-а». На мой взгляд, это принципиально неверно. Вирус не
блокирует работу BIOS или доступ к нему. Суть действий MBRLock заключается во
внесении изменений в MBR (загрузочную область) диска, где и прописывает самое
себя, вместо загрузки операционной системы. Простенько и со вкусом. В результате,
ПК читает запись в загрузочном секторе диска, а там ссылка на вирус. Windows в
этой записи не фигурирует. Что же видит пользователь, включивший компьютер? Он
видит только то, что покажет ему вирус. А вирус ему показывает какое-то
сообщение с требованием денег на черном фоне. Чаще всего, злоумышленники
требуют отправить определенную (или не слишком определенную) сумму на мобильный
телефон или какой-то счет WebMoney. Якобы, после этого пользователю дарован
будет некий код для разблокировки компьютера. В лучшем случае, программа после
введения кода выполнит процедуру восстановления MBR-области диска, в худшем –
ничего не будет делать, предоставив пользователю, отдавшему деньги, разбираться
самому.
Как разблокировать
компьютер, зараженный MBRLock
Сразу оговорюсь, что способов много.
Их, и правда, понапридумали изрядное количество. Отчего-то большинство советов
по этому поводу в сети интернет касаются переустановки системы или
использования каких-то монструозных утилит для переразметки диска. В том случае,
если компьютер блокируется MBRLock, достаточно просто восстановить загрузочную
запись диска. Это проще всего, да и безопаснее намного. Все, что нам
понадобится – это загрузочный диск с Windows и 15 минут времени. Давайте по
порядку. Отыщите загрузочный диск с дистрибутивом Windows. Обратите внимание,
что нам нужен дистрибутив именно той версии, которая стоит у вас на ПК. В
принципе, можно использовать любой из многочисленных LiveCD с дистрибутивом MS
Windows, но опять же – версия должна совпадать с установленной.
Вставив диск в оптический привод,
включаем установку системы. Здесь нам нужно выбрать режим восстановления
Windows. В стандартной установке Windows XP – это первый же экран (см.
скриншот). Из трех предложенных нам вариантов выбираем нужный, нажав клавишу
«R» на клавиатуре. После этого программа установки осведомится у вас, какую
именно копию Windows вы собираетесь восстанавливать. Введите соответствующую
цифру (обнаруженные установщиком копии, если их несколько, обозначены в списке
номерами). Вполне возможно, что система запросит у вас пароль администратора
восстанавливаемой операционной системы. Надо быть к этому готовым – помнить его
или найти его в своих записях. Теперь нам предстоит восстановить загрузочную
область диска. При восстановлении Windows XP необходимо набрать в консоли
команду (без кавычек): «fixboot». Система попросит подтверждения. Нажмите
клавишу "y". После того, как ПК обработает эту команду (это не займет
много времени), следует набрать в консоли: «fixmbr». Эту команду также
подтверждаем нажатием «y». В том случае, если восстановления требует Windows 7,
то набрать нужно только одну команду: «bootsect /mbr all».
Фактически, весь процесс
восстановления можно считать завершенным. Заканчивайте сеанс работы с утилитой
восстановления Windows, набрав команду: «exit». После этого система
перезагружается и вы имеете полностью восстановленную загрузку вашей ОС. В
каком-то смысле MBRLock даже более щадящий, чем Winlock – никаких изменений в
реестре. Восстанавливаем MBR и снова имеем ту же ОС, которая была установлена
на ПК. Да и лечится, по-моему, проще.
Данный способ наиболее простой и универсальный из всех. Он
позволяет восстановить загрузку ОС с наименьшими потерями и действует против
всех попадавшихся мне до нынешнего момента модификаций MBRLock.
Источник: http://www.izone.ru |