Як і було раніше сказано, сьогодні ми поговоримо, про такий нехороший винахід людства як вірус. А конкретно про MbrLock. Цей різновид віруса уже не один рік мандрує тенетами інтернету, і завдає
клопоту не тільки звичайним користувачам, але і системним
адміністраторам. Його фішка так би мовити, у тому що він записується у
MBR, простою мовою, у перший сектор(нульову доріжку на вінчестері(HDD)).
Із цієї доріжки починається завантаження операційної системи. При таких можливостях вірус випереджає завантаження операційної системи, і може зробити практично все. Тобто, для того щоб із ним боротись, на сам перед адмін, повинен завантажитись із чогось іншого. Це може бути як диск із LiveOS(завантажувальною операційною системою), так і простіші варіанти, наприклад старі версій Hiren's Boot CD(у нових теж є можливість завантаження консольних програм). Що нам конкретно необхідне:
щось типу "partition magic"(обов'язково необхідна можливість відновлення вилучених дисків)
програма GetDataBack for ntfs(для роботи із втраченими дисками котрі мали ntfs форматування), чи getdataback for fat(відповідно для fat форматування). Можливе використання будь-яких інших, але із можливістю відновлення із нерозміченої області на диску.
бажано ще один вінчестер, для копіювання відновлених даних на нього.
встановлюваний диск Windows.(У кожного системного адміністратора він є і не один.)
А тепер, ще трохи інформації про сам вірус. Звичайно, як і прогрес, так і віруси на місці не стоять. Вони також постійно удосконалюються, з'являються нові, змінюються старі. Так і наш шкідних, лихо для адміна і не тільки, постійно росте. Не сказав із самого початку, він вимагає гроші. А коли ви платите, то розблоковує вам комп'ютер. Ніби усе просто, але заглянем глибше, чим більше людей йому заплатять, тим у нього, чи у них більший сенс для написання нових різновидів нашого шкідника. Перше правило, ніколи не заохочувати такого плану злочини.
Є ще похожий тип віруса це WinLock. Його відмінність у тому, що він запускається із віндовса. Якщо ви бачите завантаження Windows, то це WinLock, а якщо ні, і одразу після біоса у вас повідомлення про блокування: то це явно наш клієнт.
Але і у нього є декілька різновидів. Як визначити яка версія віруса у вас стоїть? Можете заглянути на ваш жорсткий диск за допомогою partition magic. Якщо ваші розділи на місці, то це старіша версія, і вона лікується тільки за допомогою завантажувального диска Windows. При завантаженні із якого у вас буде запитання про можливість відновити операційну систему за допомогою консолі відновлення. Заходим у неї і виконуємо fixmbr та fixboot. Але якщо це новіша версія, то розділи у вас перерозбиті(пошкоджена файлова таблиця). Тоді потрібно поступати по іншому:
Ви видаляєте через partition magic усі розділи і запускаєте пошук видалених розділів, обов'язково чекаємо до закінчення.
Якщо ви бачите свої розділи(ви ж пам'ятаєте як розбивали вінчестер), то просто відновлюєте їх.
Завантажуємось із завантажувального диска Windows. Вибираєм відновити
операційну систему за допомогою консолі відновлення.
Заходим у неї і
виконуємо fixmbr та fixboot.
Якщо у вас якісь розділи не знайшлись, то запускаєм GetDataBack for ntfs або для fat, і шукаєм усю інформацію, на місці, де мав би бути ваш розділ. І відновлюєм її.
Якщо не відновився ваш головний завантажувальний диск, тоді прийдеться перевстановлювати вашу операційну систему, але не забудьте перед тим скопіювати усі файли вам необхідні із цього розділу.
Після усього пройденого, ще не буде зайвим провірити на віруси антивірусною утилітою. Одну із них(Cureit) ви можете завантажити тут.
