Главная стр. Поиск Поиск

Как разблокировать компьютер, зараженный MBRLock

 18 апреля 2012,  Павел Данилов

Попортившие столько нервов пользователям вирусы-блокировщики, типа знаменитого Winlock, уже устарели. На смену ему около года назад стали активно приходить версии вредоносного ПО, которые начинают работу до старта операционной системы. Фактически, блокировка Windows происходит в момент начала считывания MBR – Master Boot Record (главная загрузочная запись) винчестера при загрузке ПК.

Отличительной чертой такого подхода становится то, что система не запускается даже в безопасном режиме (разумеется, – вместо нее грузится вирус, а сама система просто не загружается, так как MBR на нее более не ссылается). Поэтому большинство старых методов деблокирования системы и удаления вируса уже не эффективны. Столкнувшись, в очередной раз с необходимостью объяснять по телефону алгоритм лечения этой напасти, я решил, что проще написать статью об этом, чтобы сэкономить время.

Принцип действия вируса

MBRLock многие называют «блокировщиком BIOS-а». На мой взгляд, это принципиально неверно. Вирус не блокирует работу BIOS или доступ к нему. Суть действий MBRLock заключается во внесении изменений в MBR (загрузочную область) диска, где и прописывает самое себя, вместо загрузки операционной системы. Простенько и со вкусом. В результате, ПК читает запись в загрузочном секторе диска, а там ссылка на вирус. Windows в этой записи не фигурирует.

Что же видит пользователь, включивший компьютер? Он видит только то, что покажет ему вирус. А вирус ему показывает какое-то сообщение с требованием денег на черном фоне. Чаще всего, злоумышленники требуют отправить определенную (или не слишком определенную) сумму на мобильный телефон или какой-то счет WebMoney. Якобы, после этого пользователю дарован будет некий код для разблокировки компьютера. В лучшем случае, программа после введения кода выполнит процедуру восстановления MBR-области диска, в худшем – ничего не будет делать, предоставив пользователю, отдавшему деньги, разбираться самому.

Как разблокировать компьютер, зараженный MBRLock

Сразу оговорюсь, что способов много. Их, и правда, понапридумали изрядное количество. Отчего-то большинство советов по этому поводу в сети интернет касаются переустановки системы или использования каких-то монструозных утилит для переразметки диска. В том случае, если компьютер блокируется MBRLock, достаточно просто восстановить загрузочную запись диска. Это проще всего, да и безопаснее намного. Все, что нам понадобится – это загрузочный диск с Windows и 15 минут времени. Давайте по порядку.

Отыщите загрузочный диск с дистрибутивом Windows. Обратите внимание, что нам нужен дистрибутив именно той версии, которая стоит у вас на ПК. В принципе, можно использовать любой из многочисленных LiveCD с дистрибутивом MS Windows, но опять же – версия должна совпадать с установленной.

Программа установки Windows XP - нужно выбрать запуск консоли восстановления

Вставив диск в оптический привод, включаем установку системы. Здесь нам нужно выбрать режим восстановления Windows. В стандартной установке Windows XP – это первый же экран (см. скриншот). Из трех предложенных нам вариантов выбираем нужный, нажав клавишу «R» на клавиатуре.

После этого программа установки осведомится у вас, какую именно копию Windows вы собираетесь восстанавливать. Введите соответствующую цифру (обнаруженные установщиком копии, если их несколько, обозначены в списке номерами). Вполне возможно, что система запросит у вас пароль администратора восстанавливаемой операционной системы. Надо быть к этому готовым – помнить его или найти его в своих записях.

Теперь нам предстоит восстановить загрузочную область диска. При восстановлении Windows XP необходимо набрать в консоли команду (без кавычек): «fixboot». Система попросит подтверждения. Нажмите клавишу "y".

После того, как ПК обработает эту команду (это не займет много времени), следует набрать в консоли: «fixmbr». Эту команду также подтверждаем нажатием «y».

В том случае, если восстановления требует Windows 7, то набрать нужно только одну команду: «bootsect /mbr all».

Фактически, весь процесс восстановления можно считать завершенным. Заканчивайте сеанс работы с утилитой восстановления Windows, набрав команду: «exit». После этого система перезагружается и вы имеете полностью восстановленную загрузку вашей ОС. В каком-то смысле MBRLock даже более щадящий, чем Winlock – никаких изменений в реестре. Восстанавливаем MBR и снова имеем ту же ОС, которая была установлена на ПК. Да и лечится, по-моему, проще.

Данный способ наиболее простой и универсальный из всех. Он позволяет восстановить загрузку ОС с наименьшими потерями и действует против всех попадавшихся мне до нынешнего момента модификаций MBRLock.

Последние отзывы к этой статье

Текущая оценка статьи: 4,3 из 5 баллов  

Отзыв  Aleksei | 7 июля 2013, 18:15 | Оценка: 4
ноутбук emashines G725 при включении показывает поле с F2 и сразу переходит на чёрный экран с синим оповещением "Harddisk Security Primary Master Hitachi HTS545025B9ALock". Всякие переключения в BIOSе игнорируются. Ни с внутреннего ни с внешнего CDDVD загрузки нет.

Все отзывы Смотреть предыдущие (все) комментарии (15)

***

Обзоры
Computer FAQ