Поиск вируса Uxlocker гайд как его снять(винлокер)

[vento1337]

Всем привет! Друг не давно попал на винлокер, и мне захотелось его разобрать чтобы никто не попался и не платил этим "не до хакерам" за разблокировку. понадобилось 2-3 часа чтобы понять, как оно всё устроено. Синяя версия интереснее красной, так что начну с неё.

Сначала начнём что такое винлокер?​

Винлокер (winlocker), или программа-вымогатель-блокировщик (

Пожалуйста, авторизуйтесь для просмотра ссылки.

), — это тип вредоносного программного обеспечения, который блокирует доступ к операционной системе Windows или важным файлам на компьютере жертвы, требуя за разблокировку или дешифровку данных выкуп. Злоумышленники используют их для вымогательства денег, обещая вернуть доступ к системе или файлам после оплаты.

В нашем случаее это просто окно которе не даёт пользоватся виндой и всё :)

Теперь давайте посмотрим как выглядит окно вымогателя:​

p.s справа снизу ничего такого нету.

Хорошо мы увидели вирус идём дальше.

Самый первый файл это дроппер - (Дро́пперы (

Пожалуйста, авторизуйтесь для просмотра ссылки.

Dropper — «бомбосбрасыватель») — семейство

Пожалуйста, авторизуйтесь для просмотра ссылки.

(как правило это

Пожалуйста, авторизуйтесь для просмотра ссылки.

), предназначенных для несанкционированной и скрытой от пользователя установки на компьютер жертвы других вредоносных программ, содержащихся в самом теле дроппера или

Пожалуйста, авторизуйтесь для просмотра ссылки.

).

После запуска он делает следующее:

Из чего мы можем понять что он получает что то от тг бота и скачивает файл с гитхаба где сам вирус.

Вот и он.

Давай его декомплимнем через dnspy(декомпиллер что бы смотреть код c# програм).

1. Открывает несколько ключей автозагрузки:​

RegistryKey[] array2 = new RegistryKey[]
{
Registry.CurrentUser.OpenSubKey("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run", true), // Автозагрузка
Registry.CurrentUser.OpenSubKey("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce", true), // Однократный запуск
Registry.CurrentUser.OpenSubKey("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\WinLogon", true), // Вход в систему
Registry.CurrentUser.OpenSubKey("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\RunWRU", true) // Нестандартный путь
};

2. Добавляет множественные записи автозагрузки​

В обычную автозагрузку:

• "WindowsInstaller" - маскировка под установщик Windows
• "MSEdgeUpdateX" - маскировка под обновление Edge

В RunOnce (запуск один раз при следующей загрузке):

• "System32GMMow", "OneDrive19293", "WINDOWS" - маскировка под системные компоненты

В WinLogon (запуск при входе в систему):

• "Shell" - Заменяет страндартный проводник винды

Хз нахуя они это сделали:

• Добавляет сообщения: "YOU ARE HACKED", "HAHAHAHAHAHAHA", "BIBOAN.com(noad)"

1. Блокировка комбинаций клавиш:​

if (e.Control & e.Alt) // Ctrl+Alt+...
{
this.wmethod_8().Start(); // Активирует блокировку
GForm2.LockWorkStation(); // Блокирует рабочую станцию
}

if (e.Alt && e.KeyCode == Keys.Tab) // Alt+Tab
{
this.wmethod_8().Start(); // Активирует блокировку
}

if (e.KeyCode == Keys.LWin) // Клавиша Windows
{
this.wmethod_8().Start(); // Активирует блокировку
}

2. Система "разблокировки":​

if (e.KeyCode == Keys.Return) // Enter
{
// Проверяет введенный пароль
if (Operators.CompareString(this.hdn.Text, "nyashteamsupport0c0v11" + ..., false) == 0)
{
this.method_5(); // Разблокировка
}
else
{
this.wmethod_H().Start(); // Активирует блокировку при неверном пароле
}

}

Что бы собрать весь пароль нам нужен файл:

Там хранятся"часы, минуты, секунды" то есть пароль будет nyashteamsupport0c0v11 + данные из "%temp\\$unlocker_id.ux-cryptobytes%"

Ниже код который возращает винду в нормально состояние:

1. Удаляет записи автозагрузки из реестра:​

// Удаляет записи WIN32_1, WIN32_2, и т.д.
Registry.CurrentUser.OpenSubKey("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run", true)
.DeleteValue("WIN32._" + Conversions.ToString(num));

2. Удаляет конкретные вредоносные записи:​

Из Run:

• "WindowsInstaller"

• "MSEdgeUpdateX" (исправлено опечатка)

Из RunOnce:

• "System32GMMow"
• "OneDrive19293"
• "WINDOWS"

Из WinLogon:

• "Shell"
• "WRUList"

Теперь а как же самому разблокировать винду?

А очень даже просто справа снизу есть id:

10-A и дальше 6 цифр
nyashteamsupport0c0v11 + эти 6 цифр
Это и есть пароль всё винда разблокирована.

Теперь что же с красной версией? А всё даже очень просто.

Всё тоже самое только теперь пароль 0c0v11 + этот id.

Всё винда анлокнута.

Всем спасибо за прочтения!​

И спасибо за помощь: гидра.

 

[anfisov]

Очень смешно если честно.

Вирус какого-то дерьма, не протектнут, еще и на C#.
И подгрузка с гитхаба сука))

Интересно каким далбаебом надо быть чтобы на это попасться

 

[vento1337]

Очень смешно если честно.

Вирус какого-то дерьма, не протектнут, еще и на C#.
И подгрузка с гитхаба сука))

Интересно каким далбаебом надо быть чтобы на это попасться

там через рат подгружают как я понял

 

[hideshots]

Очень смешно если честно.

Вирус какого-то дерьма, не протектнут, еще и на C#.
И подгрузка с гитхаба сука))

Интересно каким далбаебом надо быть чтобы на это попасться

там через ратник подгружают типы с вебратом и другими ратниками

 

[asddgg]

Очень смешно если честно.

Вирус какого-то дерьма, не протектнут, еще и на C#.
И подгрузка с гитхаба сука))

Интересно каким далбаебом надо быть чтобы на это попасться

а как дальше полностью удалить винлокер после разблокировки пк? а то после перезагрузки он снова появляется.

 

[vento1337]

а как дальше полностью удалить винлокер после разблокировки пк? а то после перезагрузки он снова появляется.

Из авто загрузки удалить, найти куда записался и все. Я как понял вам помог мой гайд?

 

[tizzovskiyy]

после гайда стало понятнее, но пароль для синей не подходит, тут либо колёса не едут, либо я дебил

 

[Arxhik]

Из авто загрузки удалить, найти куда записался и все. Я как понял вам помог мой гайд?

Как найти где он может быть? Вирус был загружен 14, а активировался 26, через github запрет...
В папке с запретом не удаляется windivert64.sys

 

[vento1337]

Как найти где он может быть? Вирус был загружен 14, а активировался 26, через github запрет...
В папке с запретом не удаляется windivert64.sys

Не особо понял если честно, попробуйте снести винду, если конечно получилось снять что бы сохранить нужные данные или в безопасном режиме запуститесь он вроде там не запускается.

 

[Evgeni_silanov]

Всем привет! Друг не давно попал на винлокер, и мне захотелось его разобрать чтобы никто не попался и не платил этим "не до хакерам" за разблокировку. понадобилось 2-3 часа чтобы понять, как оно всё устроено. Синяя версия интереснее красной, так что начну с неё.

Сначала начнём что такое винлокер?​

Винлокер (winlocker), или программа-вымогатель-блокировщик (

Пожалуйста, авторизуйтесь для просмотра ссылки.

), — это тип вредоносного программного обеспечения, который блокирует доступ к операционной системе Windows или важным файлам на компьютере жертвы, требуя за разблокировку или дешифровку данных выкуп. Злоумышленники используют их для вымогательства денег, обещая вернуть доступ к системе или файлам после оплаты.

В нашем случаее это просто окно которе не даёт пользоватся виндой и всё :)

Теперь давайте посмотрим как выглядит окно вымогателя:​

Посмотреть вложение 316886
p.s справа снизу ничего такого нету.

Хорошо мы увидели вирус идём дальше.

Самый первый файл это дроппер - (Дро́пперы (

Пожалуйста, авторизуйтесь для просмотра ссылки.

Dropper — «бомбосбрасыватель») — семейство

Пожалуйста, авторизуйтесь для просмотра ссылки.

(как правило это

Пожалуйста, авторизуйтесь для просмотра ссылки.

), предназначенных для несанкционированной и скрытой от пользователя установки на компьютер жертвы других вредоносных программ, содержащихся в самом теле дроппера или

Пожалуйста, авторизуйтесь для просмотра ссылки.

).

После запуска он делает следующее:
Посмотреть вложение 316888

Из чего мы можем понять что он получает что то от тг бота и скачивает файл с гитхаба где сам вирус.

Посмотреть вложение 316889
Вот и он.

Давай его декомплимнем через dnspy(декомпиллер что бы смотреть код c# програм).


Посмотреть вложение 316890

1. Открывает несколько ключей автозагрузки:​

RegistryKey[] array2 = new RegistryKey[]
{
Registry.CurrentUser.OpenSubKey("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run", true), // Автозагрузка
Registry.CurrentUser.OpenSubKey("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce", true), // Однократный запуск
Registry.CurrentUser.OpenSubKey("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\WinLogon", true), // Вход в систему
Registry.CurrentUser.OpenSubKey("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\RunWRU", true) // Нестандартный путь
};

2. Добавляет множественные записи автозагрузки​

В обычную автозагрузку:

• "WindowsInstaller" - маскировка под установщик Windows
• "MSEdgeUpdateX" - маскировка под обновление Edge

В RunOnce (запуск один раз при следующей загрузке):

• "System32GMMow", "OneDrive19293", "WINDOWS" - маскировка под системные компоненты

В WinLogon (запуск при входе в систему):

• "Shell" - Заменяет страндартный проводник винды

Хз нахуя они это сделали:

• Добавляет сообщения: "YOU ARE HACKED", "HAHAHAHAHAHAHA", "BIBOAN.com(noad)"

Посмотреть вложение 316891

1. Блокировка комбинаций клавиш:​

if (e.Control & e.Alt) // Ctrl+Alt+...
{
this.wmethod_8().Start(); // Активирует блокировку
GForm2.LockWorkStation(); // Блокирует рабочую станцию
}

if (e.Alt && e.KeyCode == Keys.Tab) // Alt+Tab
{
this.wmethod_8().Start(); // Активирует блокировку
}

if (e.KeyCode == Keys.LWin) // Клавиша Windows
{
this.wmethod_8().Start(); // Активирует блокировку
}

2. Система "разблокировки":​

if (e.KeyCode == Keys.Return) // Enter
{
// Проверяет введенный пароль
if (Operators.CompareString(this.hdn.Text, "nyashteamsupport0c0v11" + ..., false) == 0)
{
this.method_5(); // Разблокировка
}
else
{
this.wmethod_H().Start(); // Активирует блокировку при неверном пароле
}

}

Что бы собрать весь пароль нам нужен файл:
Посмотреть вложение 316892
Там хранятся"часы, минуты, секунды" то есть пароль будет nyashteamsupport0c0v11 + данные из "%temp\\$unlocker_id.ux-cryptobytes%"

Ниже код который возращает винду в нормально состояние:
Посмотреть вложение 316896

1. Удаляет записи автозагрузки из реестра:​

// Удаляет записи WIN32_1, WIN32_2, и т.д.
Registry.CurrentUser.OpenSubKey("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run", true)
.DeleteValue("WIN32._" + Conversions.ToString(num));

2. Удаляет конкретные вредоносные записи:​

Из Run:

• • "WindowsInstaller"
  • "MSEdgeUpdateX" (исправлено опечатка)

Из RunOnce:

• • "System32GMMow"
  • "OneDrive19293"
  • "WINDOWS"

Из WinLogon:

• • "Shell"
  • "WRUList"

Теперь а как же самому разблокировать винду?

А очень даже просто справа снизу есть id:
Посмотреть вложение 316893

10-A и дальше 6 цифр
nyashteamsupport0c0v11 + эти 6 цифр
Это и есть пароль всё винда разблокирована.

Теперь что же с красной версией? А всё даже очень просто.
Посмотреть вложение 316894
Всё тоже самое только теперь пароль 0c0v11 + этот id.
Посмотреть вложение 316895

Всё винда анлокнута.

Всем спасибо за прочтения!​

И спасибо за помощь: гидра.

А что делать с фиолетовым винлокером

 

[vento1337]

А что делать с фиолетовым винлокером

впервые слышу если есть исходник скинь

 

[noisuF]

Ничего себе, я как будто в 2017 попал, пугать бедолаг пустышкой которая винду блочит без крипты файлов системы это сильно. Автор красавчик, было интересно посмотреть на такое "чудо" в 2025

 

[vento1337]

Ничего себе, я как будто в 2017 попал, пугать бедолаг пустышкой которая винду блочит без крипты файлов системы это сильно. Автор красавчик, было интересно посмотреть на такое "чудо" в 2025

Сам угарнул с этой хуйни, школьники боятся этого уже достаточно.

 

[NeZoox]

здравствуйте, можете мне помочь а то я вообще не понимаю, пожалуйста

 

[NeZoox]

Всем привет! Друг не давно попал на винлокер, и мне захотелось его разобрать чтобы никто не попался и не платил этим "не до хакерам" за разблокировку. понадобилось 2-3 часа чтобы понять, как оно всё устроено. Синяя версия интереснее красной, так что начну с неё.

Сначала начнём что такое винлокер?​

Винлокер (winlocker), или программа-вымогатель-блокировщик (

Пожалуйста, авторизуйтесь для просмотра ссылки.

), — это тип вредоносного программного обеспечения, который блокирует доступ к операционной системе Windows или важным файлам на компьютере жертвы, требуя за разблокировку или дешифровку данных выкуп. Злоумышленники используют их для вымогательства денег, обещая вернуть доступ к системе или файлам после оплаты.

В нашем случаее это просто окно которе не даёт пользоватся виндой и всё :)

Теперь давайте посмотрим как выглядит окно вымогателя:​

Посмотреть вложение 316886
p.s справа снизу ничего такого нету.

Хорошо мы увидели вирус идём дальше.

Самый первый файл это дроппер - (Дро́пперы (

Пожалуйста, авторизуйтесь для просмотра ссылки.

Dropper — «бомбосбрасыватель») — семейство

Пожалуйста, авторизуйтесь для просмотра ссылки.

(как правило это

Пожалуйста, авторизуйтесь для просмотра ссылки.

), предназначенных для несанкционированной и скрытой от пользователя установки на компьютер жертвы других вредоносных программ, содержащихся в самом теле дроппера или

Пожалуйста, авторизуйтесь для просмотра ссылки.

).

После запуска он делает следующее:
Посмотреть вложение 316888

Из чего мы можем понять что он получает что то от тг бота и скачивает файл с гитхаба где сам вирус.

Посмотреть вложение 316889
Вот и он.

Давай его декомплимнем через dnspy(декомпиллер что бы смотреть код c# програм).


Посмотреть вложение 316890

1. Открывает несколько ключей автозагрузки:​

RegistryKey[] array2 = new RegistryKey[]
{
Registry.CurrentUser.OpenSubKey("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run", true), // Автозагрузка
Registry.CurrentUser.OpenSubKey("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce", true), // Однократный запуск
Registry.CurrentUser.OpenSubKey("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\WinLogon", true), // Вход в систему
Registry.CurrentUser.OpenSubKey("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\RunWRU", true) // Нестандартный путь
};

2. Добавляет множественные записи автозагрузки​

В обычную автозагрузку:

• "WindowsInstaller" - маскировка под установщик Windows
• "MSEdgeUpdateX" - маскировка под обновление Edge

В RunOnce (запуск один раз при следующей загрузке):

• "System32GMMow", "OneDrive19293", "WINDOWS" - маскировка под системные компоненты

В WinLogon (запуск при входе в систему):

• "Shell" - Заменяет страндартный проводник винды

Хз нахуя они это сделали:

• Добавляет сообщения: "YOU ARE HACKED", "HAHAHAHAHAHAHA", "BIBOAN.com(noad)"

Посмотреть вложение 316891

1. Блокировка комбинаций клавиш:​

if (e.Control & e.Alt) // Ctrl+Alt+...
{
this.wmethod_8().Start(); // Активирует блокировку
GForm2.LockWorkStation(); // Блокирует рабочую станцию
}

if (e.Alt && e.KeyCode == Keys.Tab) // Alt+Tab
{
this.wmethod_8().Start(); // Активирует блокировку
}

if (e.KeyCode == Keys.LWin) // Клавиша Windows
{
this.wmethod_8().Start(); // Активирует блокировку
}

2. Система "разблокировки":​

if (e.KeyCode == Keys.Return) // Enter
{
// Проверяет введенный пароль
if (Operators.CompareString(this.hdn.Text, "nyashteamsupport0c0v11" + ..., false) == 0)
{
this.method_5(); // Разблокировка
}
else
{
this.wmethod_H().Start(); // Активирует блокировку при неверном пароле
}

}

Что бы собрать весь пароль нам нужен файл:
Посмотреть вложение 316892
Там хранятся"часы, минуты, секунды" то есть пароль будет nyashteamsupport0c0v11 + данные из "%temp\\$unlocker_id.ux-cryptobytes%"

Ниже код который возращает винду в нормально состояние:
Посмотреть вложение 316896

1. Удаляет записи автозагрузки из реестра:​

// Удаляет записи WIN32_1, WIN32_2, и т.д.
Registry.CurrentUser.OpenSubKey("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run", true)
.DeleteValue("WIN32._" + Conversions.ToString(num));

2. Удаляет конкретные вредоносные записи:​

Из Run:

• • "WindowsInstaller"
  • "MSEdgeUpdateX" (исправлено опечатка)

Из RunOnce:

• • "System32GMMow"
  • "OneDrive19293"
  • "WINDOWS"

Из WinLogon:

• • "Shell"
  • "WRUList"

Теперь а как же самому разблокировать винду?

А очень даже просто справа снизу есть id:
Посмотреть вложение 316893

10-A и дальше 6 цифр
nyashteamsupport0c0v11 + эти 6 цифр
Это и есть пароль всё винда разблокирована.

Теперь что же с красной версией? А всё даже очень просто.
Посмотреть вложение 316894
Всё тоже самое только теперь пароль 0c0v11 + этот id.
Посмотреть вложение 316895

Всё винда анлокнута.

Всем спасибо за прочтения!​

И спасибо за помощь: гидра.

у меня не помогло что делать

 

[JAVA_Clocker]

Очень смешно если честно.

Вирус какого-то дерьма, не протектнут, еще и на C#.
И подгрузка с гитхаба сука))

Интересно каким далбаебом надо быть чтобы на это попасться

Типо типам который скачали читы из ют и попали на Ратку и после хацкер или школьник тебе закидвает файл названием skrimer.exe + Uxlockeris потом можно как Исправить да легко перерпрошить биос или можно не мой способ можно на тг не моем найти ехе файл который поможет тебе разблокнутся внизу бедт айди копируем ведем айди после код будет и можно разблокрировать ибо через флешку делать перепрошивку биос либо автор сказал наверху как разблокриовать также /Может иза хакерских атак либо скачал читы и тип там ему в ехе файл закинул тот ехе файл также Этот вирус очень легко обойти. <3> <D> Дата 26.12.2025 год и еще Есть способ намного легко этот способ

А очень даже просто справа снизу есть id:
Посмотреть вложение 316893

10-A и дальше 6 цифр
nyashteamsupport0c0v11 + эти 6 цифр
Это и есть пароль всё винда разблокирована.

Теперь что же с красной версией? А всё даже очень просто.
Посмотреть вложение 316894
Всё тоже самое только теперь пароль 0c0v11 + этот id.
Посмотреть вложение 316895
Всё винда анлокнута. И еще ТЫ ПОПАЛСЯ НА ЭТОТ ВИНЛОК ТО ТЫ ДЕБИЛ