Появился новый тип программ-блокираторов вымогающих денег, которые на этот раз способны работать без операционной системы прописывая себя в область загрузчика MBR.
Немного теории (если покажеться сложной, то просто пропустите теорию):
MBR - Главная загрузочная запись (англ. master boot record, MBR) — код и данные, необходимые для последующей загрузки операционной системы и расположенные в первых физических секторах (чаще всего в самом первом) на жёстком диске или другом устройстве хранения информации.
MBR содержит небольшой фрагмент исполняемого кода, таблицу разделов (partition table) и специальную сигнатуру.
Функция MBR — «переход» в тот раздел жёсткого диска, с которого следует исполнять «дальнейший код» (обычно — загружать ОС). На «стадии MBR» происходит выбор раздела диска, загрузка кода ОС происходит на более поздних этапах алгоритма.
В процессе запуска компьютера, после окончания начального теста (Power-on self-test — POST), Базовая система ввода-вывода (BIOS) загружает «код MBR» в оперативную память (в IBM PC обычно с адреса 0000:7c00) и передаёт управление находящемуся в MBR загрузочному коду.
--> пропустить до сюда =)
Вообщем проще говоря компьютер работает так: запустился BIOS(опросил оборудование и т.д.) -> передача управления загрузчику в MBR -> загрузчик запускает операционную систему.
После выше сказанного становиться понятно что есть 3 пути решения задачи:
1. Избавиться от блокировщика переустановкой Windows (не рекомендуемый способ), при переустановке перепишется MBR область и всё будет норм, но данные возможно будут потеряны с диска C:\ и при этом будет затрачено собственное время.
2. Откатить MBR изменения программой Acronis (не рекомендуется, а может и не стоять вообще этой программы).
3. Восстановить область MBR прописав туда стандартный загрузчик (самый быстрый и безопасный способ). Мы опишем Вам именно этот способ.
Пошаговая инструкция с картинками =) :
Пример блокировщика поселившегося в область MBR
Заходим в BIOS Вашего компьютера (при загрузке компьютера F2 (для ноутбуков и некоторых настольных компьютеров) или DEL (в основном для настольных) или F11 (в основном для экзотических) ).
Ставим первое устройство (FIRST) для загрузки CD-ROM во вкладке BOOT, у меня выглядит так:
Вставляем диск с Windows и нажимаем в биосе F10 (Сохранить и выйти)
Компьютер перезагружается и мы видим экран установки Windows: Нажимаем R=Восстановить чтобы увидеть консоль восстановления Windows
Выбираем Windows под цифрой (у меня цифра 1 как видно на картинке), для выбора вводим цифру (1) и нажимаем ENTER
Вводим fixboot для восстановления загрузочных записей, нажимаем ENTER, Y , ENTER как показано на картинке.
Вводим fixmbr чтобы восстановить загрузчик в области MBR, нажимаем ENTER, Y, ENTER и видим тоже самое что на картинке выше.
Перезагружаемся, достаем установочный диск из CD-ROM, перезагружаемся и видим что стал грузиться WINDOWS.
Но это не всё, стоит проверить автозапуск. Чтобы антивирусы не срабатывали на подобные блокировщики, их копируют в папку автозагрузки непрописывая на автозапуск в реестре (хотя не всегда), поэтому заходим в ПУСК->ВСЕ ПРОГРАММЫ->АВТОЗАГРУЗКА и удаляем аттуда всё что неизвесно и быстро кнопкой перезагружаем компьютер (если не удалось удалить то возможно блокирует другой процесс SVCHOST например), после перезагрузки заходим в ПУСК->ВЫПОЛНИТЬ->msconfig вкладка АВТОЗАГРУЗКА и убераем аттуда всё лишнее (CTFMON отвечает за переключение раскладки клавиатуры поэтому его лучше не трогать), снова быстро перезагружаемся и вроде как должно помочь =).
P.S. Так-же следует без интернета запустить веб-браузеры и сменить у них домашние страницы, чтобы не подхватить заразу снова.
В данной статье планировалось рассказать только об излечении области MBR, но на всякий случай были рассмотрены и другие вытекающие из этой статьи вопросы.
| 
