SamForum.org  
SamLab.ws
Заблокированные пользователи

Вернуться   SamForum.org > Технологии > Интернет и сети
Важная информация

Ответ
 
Опции темы Поиск в этой теме Опции просмотра
Winlock и компания. СМС-вымогатели как самостоятельные вирусы
Старый Добавлено: 01.01.2010, 22:04
  (#1)
OsGooD
mr. justice
Пользователь
 
Аватар для OsGooD

По умолчанию Winlock и компания. СМС-вымогатели как самостоятельные вирусы

Комментарий модератора
Фдуч:
Здесь обсуждается борьба с самостоятельными, не привязанными к браузерам вирусами, которые просят деньги через СМС. Старые вариант - т.н. "порноинформер" - жил в надстройках или скриптах браузера


Ребята, у меня полный ахтунг. Сегодня включаю комп, появляется порнушный баннер розового цвет и говорит, мол отправь смс, и он уберётся.

Я и авирой проверял и аутпостом. Портавными курейт и авз. Ничто его не видит. Он не даёт открыть диспетчер задач и даже мозиллу и експлорер. Но я посмотрел через аутпост, появился новый процесс svcnost.exe. Что это может быть как убрать ? В реестре в винлогоне убрал этот свцност.экзе. Но баннер как был так и есть.

Что за вирус, хэлп ?

Сервис деактивации вымогателей-блокеров

[Ссылки могут видеть только зарегистрированные пользователи. ]
[Ссылки могут видеть только зарегистрированные пользователи. ]
[Ссылки могут видеть только зарегистрированные пользователи. ]
[Ссылки могут видеть только зарегистрированные пользователи. ]
[Ссылки могут видеть только зарегистрированные пользователи. ]
Для мобильных телефонов
[Ссылки могут видеть только зарегистрированные пользователи. ]

Комментарий модератора
Фдуч:
Важно!
Разблокировка кодом СМС не приводит к удалению заражения!
После разблокировки - обязательная проверка антивирусными утилитами со свежими базами, и очень желательно с загрузочного CD-DVD диска.


У каждого человека есть свои 24 часа.

OsGooD (c)

Последний раз редактировалось Фдуч; 09.04.2010 в 06:33..
OsGooD вне форума Отправить личное сообщение для OsGooD
Вверх
Ответить с цитированием
Этот пользователь сказал cпасибо за это полезное сообщение:
BadDogg (07.02.2010)
Старый Добавлено: 20.05.2010, 11:37
  (#101)
virtuOS
Модератор
Модератор
 
Аватар для virtuOS

По умолчанию

Цитата:
Сообщение от Фдуч Посмотреть сообщение
если найдётся консольный менеджер процессов

возможно, достаточно будет просто возможности выполнять команды командной строки: tasklist выведет список процессов, taskkill завершит любой процесс по id.
Но и таких программ я не знаю.
virtuOS вне форума Отправить личное сообщение для virtuOS
Вверх
Ответить с цитированием
Эти 2 пользователя(ей) сказали cпасибо за это полезное сообщение:
Istari (20.07.2011), Фдуч (20.05.2010)
Последствия порнобаннера - как быть??
Старый Добавлено: 20.06.2010, 16:20
  (#102)
=Alex39=
Гость
 
Аватар для =Alex39=

Печаль Последствия порнобаннера - как быть??

Случилась у меня такая история - при просмотре одного прикольного видео было предложено установить "Флеш Плейер 10", ну кое-кто его и установил. Вместо этого разумется был получен порнобаннер. Оказался заблокирован ТаскМэн, интернет и может быть еще что-то, все не проверял...
Благо он был не на весь экран и сторонним ТаскМэном я нашел и убил и процесс и оба файла, почистил реестр. Далее интересней - прошел систему Каспером, АВЗет-ом, Вэбовским Кьюриком - вирусы не обнаружены. Теперь работает все кроме интернета по http - т.е. почта (поп, имап) работает, антивирусы обновляются, а ни один браузер не работает...
ЧТО ДЕЛАТЬ? канешна можно и ось переставить, но если есть путь проще.... Может кто подскажет??
Вверх
Ответить с цитированием
Старый Добавлено: 20.06.2010, 18:07
  (#103)
NeliyZar
♠ Bestiia ♠
Заслуженный пользователь
 
Аватар для NeliyZar

По умолчанию

=Alex39=, если у вас Вин ХР то почитайте
http://samforum.org/showpost.php?p=775988&postcount=66


NeliyZar вне форума Отправить личное сообщение для NeliyZar
Вверх
Ответить с цитированием
Старый Добавлено: 21.06.2010, 01:09
  (#104)
=Alex39=
Гость
 
Аватар для =Alex39=

По умолчанию

NeliyZar, ВинСокФикс я уже пробовал. В том-то и загвоздка, что я перепробовал уже все доступные на форумах способы лечения, но результата нет - интернет по хттп не работает. Может я чего-то еще не знаю??
может есть какая-то ДДЛ-ка которая отвечает за хттп, а ее вирус убил или заменил пустой?
ОС Вин ХР СП3.
Вот думаю если поверху поставить ОС... тока не знаю затрутся реестры или нет? придется все проги заново ставить?
Вверх
Ответить с цитированием
Старый Добавлено: 21.06.2010, 09:40
  (#105)
svoit
Старожил
Пользователь
 
Аватар для svoit

По умолчанию

Цитата:
Сообщение от =Alex39= Посмотреть сообщение
может есть какая-то ДДЛ-ка

скорее всего есть, выже сами написали что "почистили", её наверное с горяча и удалили, а реестр не дочистили. всякие антивири почему то не устраняют полностью последствий, а зря.
Проверьте ещё разок ветку winlogon.
svoit вне форума Отправить личное сообщение для svoit
Вверх
Ответить с цитированием
Старый Добавлено: 21.06.2010, 11:21
  (#106)
dima4o
Супер-модератор
Супер-модератор
 
Аватар для dima4o

По умолчанию

Цитата:
Сообщение от =Alex39= Посмотреть сообщение
Вот думаю если поверху поставить ОС... придется все проги заново ставить?

Если ставить поверх, то проги нужно будет заново ставить. И вообще это не лучший вриант - если уж переустанавливать винду, так лучше на свежеотформатированный раздел.
Цитата:
Сообщение от =Alex39= Посмотреть сообщение
может есть какая-то ДДЛ-ка которая отвечает за хттп, а ее вирус убил или заменил пустой?

Может и .sys или .exe есть...
P.S. кстати, а откатиться на точку не пробовали?



Штирлиц, проходя по переулку заметил, как маляр закрашивал матерные слова на заборе.
- "Модератор" - подумал Штирлиц.
dima4o вне форума Отправить личное сообщение для dima4o
Вверх
Ответить с цитированием
Старый Добавлено: 22.06.2010, 03:56
  (#107)
=Alex39=
Гость
 
Аватар для =Alex39=

По умолчанию

Кончилось мое терпение в копании где же зарылся подлец, решил переставить ОС заодно и перейти с ХР на 7ку.
Может присоветуете стабильную "вылеченную" сборку со свежими обновлениями? желательно или хорошо русифицированную или русскую, т.к. за ноутом жена будет сидеть...

Комментарий модератора
Фдуч:
Про сборки, тем более "вылеченные" - в другом месте!

Последний раз редактировалось Фдуч; 22.06.2010 в 07:02..
Вверх
Ответить с цитированием
Старый Добавлено: 22.06.2010, 07:24
  (#108)
sergych
Ёшкин Кот
Заслуженный пользователь
 
Аватар для sergych

По умолчанию

Вчера под вечер "пободался" с одной из разновидностей порнобаннера.
Отличительные особенности - после загрузки Винды(в том числе и в сейф-моде) блокируется запуск любых программ. Фокус с вызовом Экранной лупы (для последующего вызова справки и получения доступа к адресной строке) не прокатывает, F1 не срабатывает, а кнопка "Справка" блокирована(неактивна). По трём клавишам доступно только завершение работы/сеанса/перезагрузка.
Выход из положения: за неимением в тот момент под рукой какого-либо загрузочного диска, подключился по локалке(благо диски расшарены для админов) и удалил кэш Оперы(через неё юзер ходит в инет), а также вычистил папку Temp, где было несколько экзешников с вирем (запущенный экзешник не удаляется, но переименованию не сопротивляется).
Затем - reset, контрольная проверка антивирем и чистка автозагрузки AVZ или autoruns (на выбор).

да, кста, по версии nod32 - это был win32/Kryptik трёх модификаций (EZE, EIL и FBB).
Вири отослал на DrWEB, поскольку DrWEB5 эти файлы не детектил.

Предыдущие пара случаев (с этим же юзером) были попроще(до командной строки можно было добраться) - но там экзешники браузеров и вирь сидели в пользовательском профиле. А процедура "убиения" такая же - вирь переименовываем, после чего задачу снимаем и чистим автозагрузку.

Ещё одно "кста" - вири частенько любят сидеть в систем-ресторе, корзине и темпе, т.ч. эти папки лучше всего очищать при борьбе с вирем. Ну, и кэш браузерный не забывайте вычищать.


Спорами размножаются папоротники. И это - истина!

Последний раз редактировалось sergych; 22.06.2010 в 07:38..
sergych вне форума Отправить личное сообщение для sergych
Вверх
Ответить с цитированием
Этот пользователь сказал cпасибо за это полезное сообщение:
Istari (20.07.2011)
Старый Добавлено: 01.08.2010, 16:22
  (#109)
sniflz
Заслуженный
Заслуженный пользователь
 
Аватар для sniflz

По умолчанию

Вот адрес одного из сервисов. Не покупайтесь!
[Ссылки могут видеть только зарегистрированные пользователи. ]
Проверка файла на virustotal:
[Ссылки могут видеть только зарегистрированные пользователи. ]
Скачивайте новые версии флеш-плеера только на сайте Adobe!


sniflz вне форума Отправить личное сообщение для sniflz
Вверх
Ответить с цитированием
Старый Добавлено: 03.08.2010, 01:39
  (#110)
Picachu
Наблюдающий
Пользователь
 
Аватар для Picachu

По умолчанию

Цитата:
Сообщение от Melbafikl Посмотреть сообщение
Привет, я столкнулась с проблемой трояна на компьютере, требует активацию винды через какую то смс, у меня XP стоит, она не запускается, как удалить этот троян подскажите?, пишу счас с интернет кафе

Почитайте [Ссылки могут видеть только зарегистрированные пользователи. ]
или просто попробуйте восстановить систему на более раннюю точку
Picachu вне форума Отправить личное сообщение для Picachu
Вверх
Ответить с цитированием
Старый Добавлено: 24.01.2011, 01:28
  (#111)
Dr-Dru
Наблюдающий
Пользователь
 
Аватар для Dr-Dru

По умолчанию

Доброго времени суток. Вот сегодня товарищ столкнулся с такой проблемкой, при загрузке вылезал баннер с просьбой отослать смс. в авторуне появился файл syscron, при удалении его от туда после перезагрузки он появлялся снова. Прогулялся по всем вышеперечисленым ссылкам ничего из этого ему непомогло, AVZ & Nod32 тоже оказались безсильны. на помощ пришла старая утилита под названием anti_autorun. может кому поможет > [Ссылки могут видеть только зарегистрированные пользователи. ]


Я узнал что у меня,
Есть огромная семья:
Монитор,системный блок
В сеть воткну я проводок,
Виндоус,небо голубое
Это всё моё родное
Без инета жить нельзя.....
.......... наверно я!!!!

НЕЗАБЫВАЕМ ПРО СПАСИБО! )

Последний раз редактировалось Фдуч; 24.01.2011 в 08:11..
Dr-Dru вне форума Отправить личное сообщение для Dr-Dru
Вверх
Ответить с цитированием
Старый Добавлено: 05.02.2011, 03:05
  (#112)
dima4o
Супер-модератор
Супер-модератор
 
Аватар для dima4o

По умолчанию

Trojan.Winlock достучался до ЖЖ

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает о новом способе распространения троянцев, блокирующих Windows, — через комментарии в «Живом Журнале» (LiveJournal) — сервисе блогов, особо популярном у русскоязычных пользователей. Жертва, нажимая на полученный комментарий, попадает на сайт фотохостинга, откуда направляется на интернет-ресурс с порнографическим контентом, где ей предлагается загрузить exe-файл, за которым скрывается Trojan.Winlock.

Социальные сети всегда были лакомым кусочком для вирусописателей. Тем не менее, до недавнего времени модификации Trojan.Winlock через них активно не распространялись. Объясняется это, в частности, тем, что активно использовались другие каналы: сайты для взрослых, файлообменники и другие интернет-ресурсы с сомнительным контентом.

В последние месяцы финансовая схема, которой пользуются авторы Trojan.Winlock¸ претерпела некоторые изменения. Прежде всего, это связано с трудностями использования злоумышленниками в тех же объемах коротких номеров, на которые жертвы должны были присылать платные SMS-сообщения. Кроме того, вирусописатели начали активно искать новые каналы распространения, одним из которых с недавнего времени стал «Живой Журнал».

В конце января 2011 года российские пользователи этого популярного сервиса блогов начали получать комментарии (с темой «Немного насущного оффтопа» или «Немного о насущном в оффтоп»), содержащие картинку, при клике на которую попадали на сайт фотохостинга, с которого уже отправлялись на интернет-ресурс с порнографическим контентом. Именно там им предлагалось скачать exe-файл, за которым скрывался печально известный Trojan.Winlock.

Если пользователь попадал в эту ловушку и загружал предлагаемый объект, Trojan.Winlock блокировал его компьютер, выдавая сообщение с требованием перевести на специальный номер определенную сумму денег — как правило, 300-400 рублей.



Штирлиц, проходя по переулку заметил, как маляр закрашивал матерные слова на заборе.
- "Модератор" - подумал Штирлиц.
dima4o вне форума Отправить личное сообщение для dima4o
Вверх
Ответить с цитированием
Старый Добавлено: 17.02.2011, 18:20
  (#113)
LeprekOn
Заслуженный
Заслуженный пользователь
 
Аватар для LeprekOn

По умолчанию

МегаФон и «Доктор Веб» против эпидемии Trojan.Winlock

Оператор МегаФон и российский разработчик средств информационной безопасности «Доктор Веб» объявили о запуске совместного проекта по противодействию эпидемии троянцев-вымогателей семейства Trojan.Winlock, блокирующих ОС Windows на компьютерах пользователей. Теперь для разблокировки своего компьютера абонентам МегаФона достаточно отправить бесплатное SMS на специальный номер.

Trojan.Winlock — семейство вредоносных программ-вымогателей, блокирующих или затрудняющих работу с ОС Windows. Абоненты, которые в результате действий Trojan.Winlock лишены возможности выйти в Интернет со своего компьютера, смогут оперативно разблокировать Windows с помощью мобильного телефона. Для получения кода разблокировки достаточно отправить на номер 5665 бесплатное SMS-сообщение в следующем формате: «ХХХХ_YYYYYYYY», где ХХХХ – номер, на который злоумышленники просят отправить SMS, YYYYYY – текст SMS. В ответ абоненты совершенно бесплатно получат код активации, снимающий блокировку Windows.

mobile-review.com


LeprekOn вне форума Отправить личное сообщение для LeprekOn
Вверх
Ответить с цитированием
Этот пользователь сказал cпасибо за это полезное сообщение:
arden (17.02.2011)
Старый Добавлено: 12.06.2011, 21:30
  (#114)
Stells_
Наблюдающий
Пользователь
 
Аватар для Stells_

По умолчанию

Если у вас какой-либо баннер, а кроме него ничего, то скорее всего в реестре оболочка, т.е. пользовательский shell, замёнен на файл тела банера.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Параметр Shell, значение у нормального Windows explorer.exe

Если в этом параметре реестра вписать вместо explorer.exe любую другую программу, хоть блокнот (notepad.exe), хоть калькулятор (calc.exe), то вместо вашего любимого рабочего стола будет только эта программа запущена. Этим способом и пользуются многие баннеры.


Автор благодарит алфавит за любезно предоставленные ему буквы...
Stells_ вне форума Отправить личное сообщение для Stells_
Вверх
Ответить с цитированием
Старый Добавлено: 20.07.2011, 09:59
  (#115)
di_con
Заслуженный
Заслуженный пользователь
 
Аватар для di_con

По умолчанию

Trojan.Winlock.3846 угрожает зарубежным пользователям
Волны заражений ПК российских пользователей вредоносными программами семейства Trojan.Winlock, первая из которых пришлась на конец 2009 – начало 2010 года, а вторая — на лето 2010 года, уже давно миновали, однако в настоящее время наблюдается тенденция к распространению угроз подобного типа за пределами России. Компания «Доктор Веб» — ведущий российский разработчик средств информационной безопасности — предупреждает о новой модификации этой троянской программы, получившей название Trojan.Winlock.3846 и рассчитанной в первую очередь на зарубежную аудиторию. Говорить об эпидемии пока преждевременно, однако это уже вторая подобная угроза, выявленная специалистами «Доктор Веб» в текущем месяце.

далее:

В России от троянцев семейства Trojan.Winlock пострадали миллионы пользователей. На сегодняшний день волна заражений пошла на убыль: в частности, этому помог проект [Ссылки могут видеть только зарегистрированные пользователи. ], а также сотрудничество «Доктор Веб» с ведущими российскими мобильными операторами. Тем не менее, сейчас проблема троянцев-блокировщиков стала актуальна и для зарубежных пользователей.

В отличие от троянца Trojan.Winlock.3794, о котором мы уже писали ранее, новая модификация программы-вымогателя записывает ссылку на себя в разделе системного реестра
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\userinit, который отвечает за запуск программ системным процессом winlogon в момент входа пользователя Windows в систему. Благодаря этому операционная система оказывается заблокированной при первой же после заражения перезагрузке компьютера.



Вместо привычного интерфейса Windows на экране инфицированного компьютера появляется сообщение о сбое некоего системного процесса по адресу 0x3BC3. Для его устранения пользователю предлагается позвонить по одному из указанных телефонных номеров и ввести код разблокировки в соответствующее поле. Звонок на эти номера, естественно, является платным.

Данная модификация «винлокера» имеет одну характерную особенность: в ресурсах троянца содержится несколько языковых версий блокирующего компьютер окна для различных локализаций Windows. Как минимум имеются варианты сообщения на английском, французском и русском языках.

Для разблокировки операционной системы, пострадавшей от действий троянца Trojan.Winlock.3846 воспользуйтесь следующим кодом разблокировки:

754-896-324-589-742

Как и прежде, компания «Доктор Веб» настоятельно рекомендует пользователям воздерживаться от запуска приложений, загруженных из неблагонадежных источников, и вложений в сообщения электронной почты, полученных от неизвестных отправителей. Следует с осторожностью относиться к возникающим в процессе просмотра веб-страниц сообщениям браузеров с предложением установки каких-либо модулей или плагинов. Если вы стали жертвой троянца Trojan.Winlock.3846, воспользуйтесь средством аварийного восстановления системы Dr.Web LiveCD и лечащей утилитой Dr.Web CureIt!.


[Ссылки могут видеть только зарегистрированные пользователи. ]
di_con вне форума Отправить личное сообщение для di_con
Вверх
Ответить с цитированием
Старый Добавлено: 29.07.2011, 11:02
  (#116)
woffcheg
Увлечённый
Пользователь
 
Аватар для woffcheg

По умолчанию

Trojan.CryptLock.1 шифрует файлы пользователей

Компания «Доктор Веб» — ведущий российский разработчик средств информационной безопасности — предупреждает пользователей о появлении вредоносной программы Trojan.CryptLock.1, шифрующей файлы на жестком диске компьютера и вымогающей у пользователя деньги. Троянец объединяет в себе вредоносный функционал как печально знаменитого Trojan.Winlock, так и Троjan.Encoder, который получил меньшее распространение, однако также представляет существенную опасность для пользователей.



Запустившись на инфицированном компьютере, троянец Trojan.CryptLock.1 выводит на экран окно, содержащее следующий текст:


В обмен на отправленное жертвой письмо вымогатели обещают отослать сообщение с реквизитами для проведения платежа. В отличие от окон, демонстрируемых троянцами семейства Trojan.Winlock, данное окно может быть закрыто сочетанием горячих клавиш или с помощью Диспетчера задач.

Вредоносный функционал Trojan.CryptLock.1 кроется в другом: троянец шифрует обнаруженные на жестком диске файлы с расширениями AVI, MP3, PNG, PSD, PDF, CDR, JPG, JPEG, RAR, ZIP, DOCX, DOTX, XLSM, XLSX, DOC, XLS, LNK, ISO, DBF, XML, TXT, DBO, DBA, MPG, MPG4, WMA, WMV, GIF, PHP, CGI, HTM, HTML и некоторыми другими. После успешного заражения Trojan.CryptLock.1 создает на диске файл с именем КАК РАСШИФРОВАТЬ ВАШИ ФАЙЛЫ — How to decrypt your files.txt, содержащий дальнейшие инструкции, согласно которым для расшифровки данных злоумышленники требуют заплатить им некоторую сумму.

Судя по количеству допущенных в тексте демонстрируемого троянцем сообщения пунктуационных ошибок, а также исходя из того, что Trojan.CryptLock.1 использует достаточно примитивный однобайтный алгоритм шифрования, у «группы инициативных программистов», стоящих за этой угрозой, как раз в разгаре школьные каникулы, и родители разрешили им немного попользоваться собственным компьютером.

В настоящий момент сигнатура Trojan.CryptLock.1 добавлена в вирусные базы Dr.Web, в самое ближайшее время на сайте компании «Доктор Веб» будет размещено средство дешифровки пострадавших от действия троянца файлов.


[Ссылки могут видеть только зарегистрированные пользователи. ]
woffcheg вне форума Отправить личное сообщение для woffcheg
Вверх
Ответить с цитированием
Старый Добавлено: 30.11.2011, 14:50
  (#117)
di_con
Заслуженный
Заслуженный пользователь
 
Аватар для di_con

По умолчанию

Новая версия сервиса разблокировки от Trojan.Winlock: удобно и эффективно!
Компания «Доктор Веб» — российский разработчик средств информационной безопасности — запускает новую версию сервиса разблокировки персональных компьютеров, зараженных вредоносными программами Trojan.Winlock. Основная цель переработки сервиса — повышение его удобства. Пользователи могут оценить интуитивно понятный интерфейс ресурса и простоту поиска кода разблокировки.

Trojan.Winlock — семейство троянцев-вымогателей, блокирующих ОС Windows и требующих от пользователя оплаты за разблокировку. Впервые подобные угрозы появились в 2007 году, а пик их распространения пришелся на 2009–2010 годы. На сегодняшний день потребность в средствах противодействия Trojan.Winlock носит стабильно высокий характер.

Компания «Доктор Веб» одной из первых антивирусных компаний, действующих на российском рынке, предоставила пользователям удобный инструментарий для самостоятельной разблокировки компьютеров — это произошло в апреле 2009 года. Уже в начале следующего года был создан полноценный сервис, который оказался чрезвычайно востребованным: только в первые два месяца существования сервиса его посетило более 1,5 миллиона пользователей!

Сегодня «Доктор Веб» запускает [Ссылки могут видеть только зарегистрированные пользователи. ] сервиса: она использует обширную и постоянно обновляемую базу данных, отличается простым и понятным интерфейсом и предлагает пользователям удобную схему поиска кода разблокировки. Пользователь может воспользоваться как поиском по номеру телефона/кошелька платежной системы, который указан на баннере блокировщика, так и поиском по изображению баннера. Отметим, что «исходники» отдельной модификации Trojan.Winlock могут одновременно использоваться большим числом злоумышленников, каждый из которых указывает на баннере свой номер телефона/кошелька. При этом коды разблокировки во всех случаях могут быть одинаковы. Если в базе данных сервиса еще не присутствует отдельный номер, есть большая вероятность, что коды разблокировки для этой модификации Trojan.Winlock уже добавлены.

База данных сервиса обновляется ежедневно и потому содержит самую актуальную информацию о троянцах Trojan.Winlock. Каждая добавленная в базу модификация сопровождается технической справкой и описанием модели поведения: подобная информация также может быть полезна в процессе разблокировки системы. Кроме того, сервис содержит отдельный информационный раздел, имеет форму обратной связи и располагает мобильной версией.

«Доктор Веб» обладает значительной экспертизой в области противодействия семейству Trojan.Winlock и реализует проекты по борьбе с троянцами-блокировщиками совместно с крупнейшими сотовыми операторами России — компаниями «Мегафон», «Билайн» и TELE2.

[Ссылки могут видеть только зарегистрированные пользователи. ]


SamForum.org - Правила форума
Правила создания новых тем в разделе Программы - Freeware/Shareware
Предложения по оформлению шапок тем в разделе Программы - Freeware/Shareware
di_con вне форума Отправить личное сообщение для di_con
Вверх
Ответить с цитированием
Эти 3 пользователя(ей) сказали cпасибо за это полезное сообщение:
altaivital (30.11.2011), ED_Sln (30.11.2011), zzkk (30.11.2011)
Старый Добавлено: 06.04.2012, 12:22
  (#118)
h0st1s
G4M3R
Заслуженный пользователь
 
Аватар для h0st1s

По умолчанию

В сети появился «полицейский» троян-вымогатель

Эксперты из ряда компаний, специализирующихся на информационной безопасности, сообщают о новом трояне-вымогателе для Windows. Заразив компьютер, вредоносное приложение отображает пользователю сообщение о том, что полиция обнаружила среди файлов, хранящихся на системе, противоправные материалы. Для получения кода разблокировки Windows жертве предлагается заплатить штраф в размере 100 евро.

Специалисты из F-Secure предупреждают, что сообщение отображает вирус и злоумышленникам ни в коем случае не нужно платить. Инструкции по осуществлению разблокировки можно найти [Ссылки могут видеть только зарегистрированные пользователи. ]. Аналогичные инструкции [Ссылки могут видеть только зарегистрированные пользователи. ] специалисты из компании Microsoft.

По словам экспертов, даже если кто-то догадается, что сообщение фальшивое, текст обвинения создает «сдерживающий эффект», способный принудить пользователя не обращаться за помощью IT-специалистов.

В Trend Micro, в свою очередь сообщают, что распространители вируса также причастны к аферам с трояном DNSChanger. «Люди которые распространяют этот вредонос, активно внедряют ряд других угроз и инвестируют этот бизнес, - [Ссылки могут видеть только зарегистрированные пользователи. ] старший научный сотрудник Trend Micro Дэвид Санчо (David Sancho). – К примеру, нам удалось обнаружить, что они спонсировали DNSChanger, также известный как Nelicash в течение нескольких лет».
h0st1s вне форума Отправить личное сообщение для h0st1s
Вверх
Ответить с цитированием
Старый Добавлено: 13.04.2012, 14:11
  (#119)
h0st1s
G4M3R
Заслуженный пользователь
 
Аватар для h0st1s

По умолчанию

Новый вредоносный код блокирует загрузку Windows

В сети появился новый вариант вредоносного кода, который блокирует загрузку операционной системы Windows. Код заменяет главную загрузочную запись (MBR) новыми данными, которые при загрузке требуют от пользователей осуществить денежный перевод, чтобы восстановить работу компьютера. Об обнаружении вредоносного кода [Ссылки могут видеть только зарегистрированные пользователи. ] исследователи Trend Micro в блоге компании.



«По данным нашего анализа, вредоносная программа копирует содержание оригинального MBR и заменяет его своим собственным вредоносным кодом. Сразу после выполнения этой процедуры, она автоматически перезагружает систему, после чего происходит заражение», - сообщил представитель Trend Micro Крис Пантанилла (Cris Pantanilla).

Вредоносный код требует от пользователя перевести деньги на определенный счет через сервис онлайн-оплаты Qiwi, для того, чтобы получить код разблокировки компьютера. «В случае отказа от оплаты, операционная система будет уничтожена, без возможности восстановления», - говорится в сообщении, которое появляется на зараженном компьютере.

В Trend Micro отмечают, что использование вредоносным кодом-вымогателем MBR - это новшество. Ранее подобные программы ограничивались шифрованием файлов или системных функций, но не отключали систему полностью.
h0st1s вне форума Отправить личное сообщение для h0st1s
Вверх
Ответить с цитированием
Старый Добавлено: 13.04.2012, 16:00
  (#120)
ol-sable
Постоялец
Пользователь
 
Аватар для ol-sable

По умолчанию

Цитата:
Сообщение от h0st1s Посмотреть сообщение
Новый вредоносный код блокирует загрузку Windows

Как говорится: "Это должен знать каждый", сам восстанавливал MBR Windows XP после удаления Ubuntu, нужен установочный диск. Если у вас мультизагрузочный диск - выбирайте пункт установки Windows, как если бы вы решили ее поставить. Нам нужно зайти в консоль восстановление. [Ссылки могут видеть только зарегистрированные пользователи. ] и [Ссылки могут видеть только зарегистрированные пользователи. ] Восстановление (перезапись) основной загрузочной записи (Master Boot Record) [Ссылки могут видеть только зарегистрированные пользователи. ]
ol-sable вне форума Отправить личное сообщение для ol-sable
Вверх
Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Реклама



Powered by vBulletin® Version 3.8.2
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd. Перевод: zCarot

Время генерации страницы 5.38387 секунды с 47 запросами