feo_man (feo_man) wrote,
feo_man
feo_man

Category:

Trojan.MbrLock узнаём код разблокировки.

Принесли заблокированный ноутбук. При включении, он радостно пишет, что для разблокировки, необходимо перечислить на кошелёк номер 380978026963 аж цельных 890 грн.

Хозяин естественно в панике :)
На сайте доктора вэба нашёл, что имеем дело с  Trojan.MBRlock.12
Естественно, что ни один из кодов для разблокировки не подошёл.
Поиск по номеру кошелька тоже ничего не дал.
Да и нормального решения (что же делать?), найдено небыло.
Поэтому если вас это коснулось, и вы в отчаянии, читайте дальше. Я вам раскажу, что нужно делать.
Решение очень простое, и не занимает много времени.
Этот текст я писал намного дольше, чем потратил времени на разблокировку компьютера.


Конечно, можно просто переписать MBR, да и делов то... Но это не элегантно.
Поэтому мы поступим следующим образом:
Этап 1
1 - Качаем Диск аварийного восстановления системы: Dr.Web® LiveCD
2 - Записываем на диск.
Если на компьютере не установлено никакого программного обеспечения для записи дисков, скачайте бесплатную программу Free ISO Burner по ссылке: http://www.freeisoburner.com/FreeISOBurner.exe.
Она не требует установки и очень проста в использовании. Запустите скачанный файл FreeISOBurner.exe, в открывшемся окне нажмите кнопку Open и укажите скачанный ранее файл образа загрузочного диска (drweb-600-livecd.iso). Убедитесь, что в поле Drive указано название вашего привода, и нажмите кнопку Burn.
Когда запись диска завершится, переместите диск в привод зараженного ПК.
Этап 2
3 - Загружаемся на заражённом компьютере с этого диска.
Для этого возможно вам потребуется войти в биос, и в нём изменить загрузку с HDD на загрузку с CD/DVD
a) Включите ноутбук.
б) Нажмите клавишу
F2
Del
Esc (ноутбуки HP)
Esc (ноутбуки ASUS -выбор устройства для загрузки, без захода в биос)
Как правило внизу пишется какую клавишу нажать ( это F2 или клавиша DEL)
в) Находим вкладку Boot
г) Указываем на первом месте устройство CD/DVD



Затем нажимаем F10 для выхода и сохранения.

Или без захода в биос, как тут:

Нажимаем F9 и выбираем загрузку с CD/DVD
Этап 3

1. При загрузке Dr.Web LiveCD на экран выводится диалоговое окно, в котором предоставляется возможность выбрать между обычным и текстовым (advanced mode) режимами запуска программы.

2. С помощью стрелок на клавиатуре выберите нужный пункт меню и нажмите [Enter]:
-Чтобы запустить версию Dr.Web LiveCD с графическим интерфейсом, выберите обычный режим загрузки DrWeb-LiveCD (Default)
Выбираем этот режим(нажимаем клавишу Enter или ждем 10 сек. для автоматического запуска).

3. В случае выбора режима DrWeb-LiveCD (Default) операционная система автоматически найдет все имеющиеся разделы жесткого диска и настроит подключение к локальной сети, если это возможно.

4. При загрузке Dr.Web LiveCD в графическом режиме автоматически будет запущен Центр Управления Dr.Web для Linux.

Но он нам не нужен. Сворачиваем его, или закрываем.
Графический интерфейс может и не загрузиться. Тогда просто появится меню из нескольких пунктов.
Нам нужно нажать на Report Bug.
Для графического интерфейса: нажимаем кнопку пуск (левая нижняя, с изображением паука)
выбираем Report Bug жмём enter и ждём примерно минуту, пока не  появится окно почтовой программы. Закрываем это окно.
Для простого: стрелками выбираем Report Bug
И нажимаем Enter.
Затем нажимаем Ctrl - X:

Теперь можно самостоятельно посмотреть в собраных логах код разблокировки.

Для этого закрываем почтовую программу и запускаем Midnaght Commander (он находится на рабочем столе..синенький такой).

В правой панели входим в папку tmp и ищем файл с именем bugreport~tar.gz (или что-то вроде этого).
Два раза щелкаем по нему (входим в архив).

Становимся на файл mbr-sda.bin или mbr-hdc.bin (имена файлов могут быть немного не такими) и нажимаем клавишу F3


Прямо по центру, после надписей Enter Code......... Loading OS......... будет код разблокировки.

Если все получилось. Записываем код разблокировки на бумажку и перезагружаемся.
После вводим код и получаем рабочую машину.

В моём случае для кошелька номер  380978026963 и суммы 890 грн.
Получил код разблокировки 00049494

Если Вам удалось подобрать код, то обязательно напишите в этой теме номер телефона и код разблокировки.


Внимание!!!
Недавно появился Trojan.MbrLock.33 у которого НЕТ КОДА разблокировки.
Но систему все таки можно вылечить. Но об этом, в следующий раз.

Tags: mbrlock, trojan, trojan.mbrlock.12, winlock, вирус
Subscribe

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 10 comments