Прошел месяц с момента начала публикации цикла статей по борьбе с программами вымогателями семейства Trojan Ransom, порно баннерами и графическими баннерами вымогателями, предлагающими оплатить разблокировку путем отсылки СМС на короткий номер с некоторым кодом. Взамен, по условиям Интернет мошенников, предлагается ввести код, пришедший в ответном СМС, для разблокировки компьютера и удаления баннера.

На каждую из статей Цикла о баннерах вымогателях пришло множество комментариев читателей. Большинство из них содержат слова благодарности за публикацию способов разблокировки и удаления. Я признателен этим читателям за то, что они не просто воспользовались советами, но еще и написали о результатах их применения. Меньшая часть комментариев содержит свои рецепты избавления от программ вымогателей семейства Trojan Ransom. Читателям, опубликовавшим свои инструкции по разблокировке, я очень благодарен и, более того, я решил в этой статье создать дайджест из их комментариев, так как все они разбросаны по девяти статьям Цикла и не очень удобны для использования. Здесь же мы соберем их в одном месте, отбросим лишнее и оставим только строгие инструкции по разблокировке программ вымогателей семейства Trojan Ransom и их окончательному удалению с компьютера или с адресами и номерами телефонов помощи. Причем удалению отведем большую часть внимания. Не будет утрачено ни одно имя пользователя, ни одна ссылка на блог или сайт, все это я оставлю как есть, убрав лишь слова, не относящиеся собственно к изучаемому предмету по лечению, удалению и разблокировке программ вымогателей и баннеров вымогателей семейства Trojan Ransom. Также компьютерный и Интернет жаргон будет переведен на русский язык, дабы люди, далекие от IT технологий, понимали, о чем идет речь и могли с легкостью следовать приведенным инструкциям.

Этот пост не будет сохранять первоначальное состояние, но напротив, станет постоянно пополняться значащими, стоящими и достойными инструкциями наших читателей по теме лечения, разблокировки и удаления программ и баннеров вымогателей. Безусловно, из уже опубликованных и из будущих наставлений не будут удалены никакие ссылки, так что, если кто-то хочет получить бесплатную ссылку с «Белой Шляпы», пожалуйста, пишите хорошие советы по указанной теме и пересылайте мне или оставляйте в комментариях к любой из статей Цикла, включая настоящую.

1. Комментарии с указанием адресов помощи.

knuckles (Как убрать (удалить, разблокировать) порно баннер)
Приглашение обращаться за паролями для некоторых баннеров по адресам: ICQ: 452-790-657, Mail agent: knucles90@mail.ru, Skype: knuckles1390

Den177 (На смену eKav antivirus приходит новый вымогатель по имени Internet Security)
Сообщает, номер бесплатного для всей России телефона, где могут помочь подобрать код разблокировки баннера вымогателя: 8-800-555-01-02

Игорь (eKav antivirus — разблокировать и удалить навсегда!)
Извещает о том, что создал инструкцию о том, как записать диск WinPE на flash накопительи использовать его в качестве загрузочного. Инструкция пригодится в случае отсутствия CD привода. igorka.com.ua/2010/01/20/...na-osnove-winpe/

StivDOBERMAN (Вирус со всплывающим окном. “eKAV антивирус” – программа-вымогатель eKav antivirus. СМС на короткий номер.)
Рекомендует в случае заражения компьютера звонить по следующим номерам:
495-363-14-27 доб.555 – для Жителей Москвы
8-800-555-01-02 – для других городов России (бесплатно)

2. Комментарии с инструкциями и руководствами к действию.

Natalia (JYKU.FJO — вирус или простое сочетание букв?)
После того, как NOD32 удалил подозрительный jyku.fjo, появляется окно с сообщением о невозможности загрузить динамическую библиотеку DLL и файл jyku.fjo не найден. Необходимо значение параметра SHELL ветки реестра HKLM\Software\Microsoft\WindowsNT\CurrentVersion \Winlogon\) заменить на стандартное Explorer.exe

Виктор (Как убрать (удалить, разблокировать) порно баннер)
Рассказывает, что боролся с порно баннером в браузере Opera простым восстановлением системы из резервной копии, созданной программой для резервного копирования Acronis.

seriych (На смену eKav antivirus приходит новый вымогатель по имени Internet Security)
Дает более подробную, чем в Посте пошаговую инструкцию о том, как избавиться от баннера вымогателя Internet Security:

1. Загрузиться с загрузочного диска LiveCD, который поддерживает работу с реестром, например Win PE

2. Загружаем в редакторе реестра ветку software, находящуюся по пути %windir%\system32\config\

3. Очищаем (оставляем его пустым) значение параметра AppInit_DLLs, находящегося в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

4. Находим ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

5. Если параметр Shell отличается от стандартного explorer.exe или Explorer.exe rundll32.exe, то удаляем его и параметру Sell присваиваем значение explorer.exe

6. Проверяем параметр Userinit и устанавливаем его значение равным C:\WINDOWS\system32\userinit.exe, (с запятой в конце)

7. Удаляем на всех локальных винчестерах в корне диска все файлы autorun.inf, autorun.exe

8. Делаем перезагрузку и сканируем систему программами ComboFix (www.bleepingcomputer.com/... -to-use-combofix) и CureIt (www.freedrweb.com/download+cureit/)

Роман Лихневский (Вирус со всплывающим окном. “eKAV антивирус” – программа-вымогатель eKav antivirus. СМС на короткий номер.)
Сообщает адрес разработанного им офлайнового генератора кодов для разблокировки баннеров вымогателей, разработанного им на основе исходного кода самого вируса. fileshare.in.ua/3089327

jora_good (На смену eKav antivirus приходит новый вымогатель по имени Internet Security)
Скачиваем последний LiveCD, удаляем файл nldk.yxo. После перезагрузки должны появляться сообщения о том, что файл nldk.yxo не найден. С помощью ERD Commander идем в реестр, правим параметр SHELL, присваивая ему значение Explorer.exe или Explorer.exe rundll32.exe Ищем и удаляем параметр AppInit_DLLs»="C:\\WINDOWS\\win.ini:ZJZX2WU7 в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Затем полное сканирование системы с помощью AVZ, если что-то подозрительное найдено, удалить. Дальше с помощью Regedit вычищаем все параметры Paths в HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\Paths После этого восстанавливаем диспетчер задач путем присваивания параметру REG_DWORD DisableTaskMgr значения равного 0, находится он в HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem

tipic (На смену eKav antivirus приходит новый вымогатель по имени Internet Security)

1. Скачиваем самый последний CureIt

2. На зараженном компьютере загружаемся с загрузочного диска или загрузочной флешки, которые можно взять по следующим адресам:

a. netzor.org/soft/warez/26390-mini-windowsxp-usb.html (для флеш накопителя)

b. devbuilds.kaspersky-labs.com/devbuilds/RescueDisk/kav_rescue_2008.iso (загрузочный диск от Лаборатории Касперского)

c. netzor.org/soft/32780-windows-xp-75mb-edition-2008-eng-predstavlyayu-vashemu-vnimaniyu-odnu-iz-samyx-malenkix-sborok-starushki-xr.html (для загрузочного CD)

3. Запускаем CureIt и сканируем C:\WINDOWS.

4. Все, что попало в карантин, удаляем

5. Сканируем полностью весь системный диск

6. Не выходя из системы, с помощью поиска находим и удаляем следующие файлы:
siszyd32.exe
av_md.exe restorer64_a.exe
sdra64.exe
C:\WINDOWS\TEMP\ — полностью очистить эту папку

zay 06 (На смену eKav antivirus приходит новый вымогатель по имени Internet Security)
Дает рекомендации для удаления вируса вымогателя Internet Security, которые сам он позаимствовал на forum.kaspersky.com/index.php?showtopic=148547:

1. Скачать образ narod.ru/disk/16822348000/rescuecd.iso.html и записать его на диск

2. Загрузится с полученного диска, если есть Интернет, обновить базы антивирусного модуля и просканировать систему

3. Далее по инструкции, находящейся в gorka.com.ua/2010/01/20/kak-sozdat-zagruzochnuyu-fleshku-na-osnove-winpe создать загрузочный диск WinPE

4. Загрузится с WinPE и полностью очистить папку C:\\Windows\Temp

5. Загрузится обычным способом

6. Любым способом удалить из автозагрузки все вирусные файлы, которые видно сразу

7. Через политики групп вручную подключаем диспетчер задач и редактор реестра

8. Все работает

Для очистки реестра от Internet Security делаем следующее:

1. Загружаем ERD Commander чистим ключи в редакторе реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows – удаляем значение параметра AppInit_DLLs
Очищаем автозагрузку от Autoruns
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon – параметр Shell выставляем равным explorer.exe

2. Перезагрузка

3. Запуск AVZ и восстановление системы с его помощью

Danila (На смену eKav antivirus приходит новый вымогатель по имени Internet Security)

1. Загружаемся с LiveCD с его альтернативным редактором системного реестра ERD Commander и WinPE

2. Удаляем значение параметра AppInit_DLLs в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

3. Запускаем CureIt, с его помощью удаляем им найденные самостоятельно файлы sdra64.exe, load*.exe, и много других вирусных файлов в C:\WINDOWS\system32\

4. Запускаем HijackThis, сканируем на предмет наличия строки REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe Если она есть, то удаляем, но в принципе после п.3 ее остаться не должно

5. Запускаем plstfix.exe

6. После перезагрузки функции диспетчера задач и редактора реестра становятся рабочими и полностью доступными

7. Из редактора реестра удаляем HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\Paths

Serenia (eKav antivirus — разблокировать и удалить навсегда!)
Советует вручную находить DLL (динамические библиотеки) и проверять их онлайн антивирусником от Лаборатории Касперского. Можно также искать вредные файлы по размеру, равному 131072 байта. Сообщает, что нашел новый файл принадлежащий вредоносной программе вымогателю noise.deu

IZELBOR (eKav antivirus — разблокировать и удалить навсегда!)
Если в реестре прописан параметр, запрещающий редактирование системного реестра, то можно воспользоваться приложением regworks или любой другой с похожим функционалом и в ветке HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System удалить параметр DisableRegistryTools, который чаще всего бывает скрыт и его приходится искать с помощью встроенного в приложение поиска.

Toxa (eKav antivirus — разблокировать и удалить навсегда!)
Рассказывает о том, что после удаления и чистки программы вымогателя Internet Security наблюдалась сильная загрузка процессора. Выяснилось, что нагрузку дает процесс svchost.exe. Через команду Выполнить > msconfig > автозагрузка нашел подозрительный файл syszyd32.exe, который и оказался загрузчикам вредоносного ПО, даже после удаления самой программы.

Игорь (eKav antivirus — разблокировать и удалить навсегда!)
Дает список файлов, принадлежащих к программе вымогателю Internet Security:

ckbnad.dll — C:\documents and settings\userprofile\Local Settings\Temp
fuighf.dll — C:\documents and settings\userprofile\Local Settings\Temp
olmueh.dll — C:\documents and settings\userprofile\Local Settings\Temp
pnaynv.dll — C:\documents and settings\userprofile\Local Settings\Temp
xaxyeg.dll — C:\documents and settings\userprofile\Local Settings\Temp
password.chm:QYMX8hknYYg9KMcgNR2 — C:\Windows\Help
nyyvepuid.dll — C:\Windows\System32
sdra64.exe — C:\Windows\System32
iuzyrt.dll — C:\Windows\Temp
ulbagz.dll — C:\Windows\Temp

И предупреждает, что во время удаления значения из параметра userinit в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, необходимо удалять только запись о вирусе. Например: C:\Windows\system32\sdra64.exe А запись C:\WINDOWS\system32\userinit.exe необходимо оставить как есть.

SW© (eKav antivirus – борьба, профилактика, последствия)
Предполагает, что если восстановить Windows из программы установки системы с дистрибутивом Windows, то вполне может быть, что вирус удалится. После восстановления необходимо просканировать систему антивирусной программой с новейшими базами. Скорее всего ранее установленное антивирусное программное обеспечение придется разблокировать и приводить в рабочее состояние. Для этого необходимо удалить ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\Paths Необходимо проверить в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon следующие значения параметров:

Shell=Explorer.exe
UIHost=logonui.exe
Userinit=E:\WINDOWS\system32\userinit.exe, (ЗАПЯТАЯ ОБЯЗАТЕЛЬНА!!!)

В ветках системного реестра, отвечающих за автозапуск, например, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run надо удалить все параметры со следующими записями:

Explorer.exe program.exe
Explorer.exe program.dll
Explorer.exe userini.exe
rundll32.exe program.exe
rundll32.exe program.dll
program.exe
program.dll

Visp (eKav antivirus – борьба, профилактика, последствия )
Рассказывает о том, что его система была заражена программой вымогателем Flash Video Decoder — Get Access. Предлагает способ для избавления от нее:

1. В BIOS (Basic Input Output System) изменить системную дату на один год назад, тогда заработает Интернет

2. Скачать программу Uninstall Gold

3. Через Uninstall Gold найти Flash Video Decoder — Get Access, находящийся в \\.\globalroot\systemroot\system32 , удалить ее и дать согласие на чистку системного реестра.

4. В реестре чистить ветку с ключами HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\CurrentVersion\App Management\ARPCache\{аааааааа-F03B-4b4) -A3D0-F62E04DD1C09}

© eavasi for БЕЛАЯ ШЛЯПА, 2010. |
Читать 59 комментов ">комментарии
2010/02/05
Подпишитесь на ленту блога RSS
Post tags: eKAV антивирус, Internet Security, JYKU.FJO, Trojan-Ransom, Программы вымогатели

Связанные записи:

• eKav antivirus – борьба, профилактика, последствия ₍₁₈₅₎ ^{(5 Январь 2010)}
• Программы вымогатели. История проникновения ₍₃₎ ^{(20 Январь 2010)}
• Программы-вымогатели. Классификация. Способы лечения ₍₄₃₎ ^{(18 Январь 2010)}
• Вирус Cryzip не только блокирует Windows, но и убивает файлы ₍₈₎ ^{(28 Март 2010)}
• На смену eKav antivirus приходит новый вымогатель по имени Internet Security ₍₂₉₁₎ ^{(8 Январь 2010)}
• eKav antivirus — разблокировать и удалить навсегда! ₍₂₆₉₎ ^{(7 Январь 2010)}
• Как избавиться от вредоносного кода на сайте ₍₃₁₎ ^{(5 Январь 2011)}
• 1500 посетителей в сутки на блог, возможно ли это? ₍₁₂₉₎ ^{(1 Февраль 2010)}
• Как убрать (удалить, разблокировать) порно баннер ₍₃₀₀₎ ^{(10 Январь 2010)}
• Встретим кибер вымогателей 100% защищенными ₍₅₀₎ ^{(13 Февраль 2010)}

: Программы Вымогатели. Рецепты читателей. Лечение и Удаление БЕЛАЯ ШЛЯПА - новый блог, посвященный основам сайтостроения для чайников, реальным способам заработка в Интернете, методам продвижения и раскрутки сайта

Публикуя цикл статей о программах вымогателях, технологиях их обнаружения, обезвреживания и удаления, нельзя умолчать о том какое психологическое воздействие они оказывают на пользователя ради того, чтобы получить заветную СМС с деньгами.

Если вдуматься, то методы воздействия на психику человека, применяемые Интернет-мошенниками, ничем не отличаются от тех, которые используют преступники в обычной жизни. Цель такого воздействия – вывести пользователя из равновесия, напугать его, раздавить морально, подавить его волю и способность здраво рассуждать и трезво мыслить, поставить человека в такую психологическую ситуацию, в которой у него возникла бы иллюзия того, что нет другого способа выпутаться из клубка злоключений иначе, как заплатить мошеннику деньги.

Начнем с самого легкого – визуального воздействия.

По видам внешнего отображения баннеры программ вымогателей подразделяются:

1. Простые баннеры программ вымогателей;
Это баннеры с простым статичным монохромным или цветным окном с нанесенным на него текстом о требовании выкупа. Иногда на фон таких окон помещаются фотографии неприличного, порнографического содержания (порно баннеры), сцены насилия или убийства. Реже баннеры озвучиваются неприятными звуками, например, плачем ребенка или криком женщины.

2. Мигающие, рябящие баннеры программ вымогателей;
Фон таких баннеров состоит из мигающих геометрических фигур, часто меняющихся фонов кричащих цветов, с текстом контрастного заднику цвета. Цель таких баннеров вывести человека из равновесия, ввести его в состояние раздражения, возбудить в нем желание поскорее избавиться от картинки, которая вызывает боль и рябь в глазах. Подтолкнуть его к тому, чтобы он поскорее отправил СМС на короткий номер и тем самым уплатил выкуп злоумышленнику.

3. Анимационные баннеры программ вымогателей.
На анимационных баннерах обычно помещают сцены совокупления (порно баннеры), насилия, убийства. Всего того, что неприятно видеть пользователю или неудобно смотреть при посторонних, детях, коллегах по работе, родителях. Цель таких баннеров такая же, как и у вторых, вынудить человека побыстрее избавиться от него.
Также на анимационных баннерах помещают счетчики обратного отсчета времени, которые считают минуты до, якобы, запланированного краха жесткого диска или выхода из строя центрального процессора.

По видам психологического воздействия баннеры программ вымогателей могут быть:

1. Развлекающие баннеры программ вымогателей.
Такие баннеры могут при первом запуске предложить пользователю сыграть в какую-нибудь игру и в случае согласия, а также в случае отказа на смену этому предложению возникает баннер с предложением заплатить выкуп за разблокировку компьютера.

2. Пугающие баннеры программ вымогателей.
Эти баннеры очень распространены в российском Интернете и многообразие их не знает границ. Здесь действует трехэтапное классическое правило мошенников: 1. Напугать; 2. Нарисовать картинку ужасающего будущего; 3. Предложить выход из создавшегося положения.
Например, включается таймер обратного отсчета и текст: «До вывода из строя всех жестких дисков остается… Перезагрузка системы приведет к выгоранию центрального процессора. Чтобы это предотвратить, до окончания отсчета, вышлите SMS на короткий номер с сообщением…» (Trojan-Spy.Win32.Ransom.a)
Пользователь ставится в жесточайшие рамки, он ограничен временем, боится потерять данные на жестких дисках, да и сами диски. Только очень стойкие люди с железными нервами в состоянии оценить обстановку здраво в такой ситуации и удержаться от того, чтобы не посылать СМС, за которое с телефонного счета будет снято гораздо большая сумма, чем значится в сообщении.

Или такой текст: «При сохранении на свой компьютер видеороликов с детской порнографией, вы нарушили № статью Уголовного Кодекса Российской Федерации» Далее называется ведомство или ведомства, на крючке у которых якобы находится этот человек и следует предложение о плате за конфиденциальность этой информации, опять же СМС на короткий номер.

Бывает, что человеку сообщают мельчайшие технические подробности проблемы, которая возникла на его компьютере вследствие действия вредоносного программного обеспечения. Также ему говорят, что в данной ситуации Windows переустановить невозможно, но даже если вы попытаетесь это сделать, то это приведет к краху всего компьютера.

Некоторые баннеры программ вымогателей могут сымитировать синий экран, который появляется вследствие серьезной критической ошибки и требовать деньги за ее исправление. (Trojan-Ransom.Win32.Bluescreen)

Целая группа программ вымогателей устраивает провокации от имени известнейших разработчиков антивирусного софта, таких как Dr.WEB, Avast, Comodo, McCaffe, KAV и других. Среди таких и подробно описанный мною в нескольких статьях eKav Antivirus и Internet Security:

· Вирус со всплывающим окном. “eKAV антивирус” – программа-вымогатель eKav antivirus. СМС на короткий номер

· eKav antivirus – борьба, профилактика, последствия

· eKav antivirus — разблокировать и удалить навсегда!

· На смену eKav antivirus приходит новый вымогатель по имени Internet Security
Таковы, например Trojan-Ransom.Win32.SMSer.gi, Trojan-Ransom.Win32.Agent.as

3. Обманывающие баннеры программ вымогателей
Trojan-Ransom.Win32.Agent.am может предложить вам просто подтвердить, что вы не робот, отослав СМС на короткий номер. А другая программа вымогатель обвиняет вас в мошеннических действиях на страницах социальной сети ВКонтакте, и чтобы снять с вас все обвинения требует отослать SMS на четырехзначный номер.

Когда на вашем рабочем столе возникает порно баннер во весь экран с обвинениями в том, что вы замечены в частом посещении порнографических сайтов, у вас, скорее всего, не возникнет желания оправдываться перед системным администратором в том, что это не так. Вы предпочтете отправить СМС, только чтобы этого позорного сообщения никто не видел и не знал о нем, особенно, если этот грешок за вами действительно водится. Так поступает Trojan.Win32.BHO.ggz, а Trojan-Ransom.Win32.Pornoblocker на баннере, который скрыть невозможно предлагает вам оплатить СМС-кой заказанное вами же порнографическое видео. Кому будет приятно оправдываться, что это не так?

Естественно, что это только общие случаи и существуют еще тысячи видов вредоносных программ вымогателей, использующие экзотические методы обмана, запугивания и провокации пользователя, ради получения денежной прибыли. Но бизнес модель всех без исключения программ вымогателей остается неизменной: заблокировать – напугать – потребовать денег.

© eavasi for БЕЛАЯ ШЛЯПА, 2010. |
Читать 18 комментов ">комментарии
2010/01/19
Подпишитесь на ленту блога RSS
Post tags: eKAV антивирус, Internet Security, Trojan-Ransom, порно баннер, Программы вымогатели, смс на короткий номер

Связанные записи:

• Вирус со всплывающим окном. “eKAV антивирус” – программа-вымогатель eKav antivirus. СМС на короткий номер ₍₂₂₄₎ ^{(3 Январь 2010)}
• СМС на номер 9800. Разблокировка порно баннера ₍₂₆₀₎ ^{(22 Февраль 2010)}
• Программы-вымогатели. Классификация. Способы лечения ₍₄₃₎ ^{(18 Январь 2010)}
• 1500 посетителей в сутки на блог, возможно ли это? ₍₁₂₉₎ ^{(1 Февраль 2010)}
• Как убрать (удалить, разблокировать) порно баннер ₍₃₀₀₎ ^{(10 Январь 2010)}
• eKav antivirus – борьба, профилактика, последствия ₍₁₈₅₎ ^{(5 Январь 2010)}
• Вирус Cryzip не только блокирует Windows, но и убивает файлы ₍₈₎ ^{(28 Март 2010)}
• Встретим кибер вымогателей 100% защищенными ₍₅₀₎ ^{(13 Февраль 2010)}
• Программы вымогатели. История проникновения ₍₃₎ ^{(20 Январь 2010)}
• На смену eKav antivirus приходит новый вымогатель по имени Internet Security ₍₂₉₁₎ ^{(8 Январь 2010)}

: Программы вымогатели. Психологическая атака БЕЛАЯ ШЛЯПА - новый блог, посвященный основам сайтостроения для чайников, реальным способам заработка в Интернете, методам продвижения и раскрутки сайта

Программы вымогатели, что это такое, каков их механизм и какими средствами можно с ними бороться? Эти вопросы будоражат российский Интернет с середины 2009 года по сегодняшний день. В начале 2010 года я написал цикл статей о программах вымогателях класса Trojan-Ransom, к которым относятся многим печально известный «eKAV antivirus», «Internet Security» и многие другие, а также и порно баннеры.

Эти статьи вы найдете по следующим адресам:

· Вирус со всплывающим окном. “eKAV антивирус” – программа-вымогатель eKav antivirus. СМС на короткий номер

· eKav antivirus – борьба, профилактика, последствия

· eKav antivirus — разблокировать и удалить навсегда!

· На смену eKav antivirus приходит новый вымогатель по имени Internet Security

· Как убрать (удалить, разблокировать) порно баннер

По многочисленным просьбам моих благодарных читателей, в этой статье я даю классификацию вредоносного программного обеспечения, программ вымогателей, одолевающих рядовых российских пользователей всемирной сети Интернет на протяжении очень долгого времени. Более того, я считаю себя обязанным давать все больше и больше сведений по этому поводу, так как действие вредоносного ПО в последнее время приобретает масштабы вселенской эпидемии и стремится захватить компьютеры все большего числа ничего не подозревающих начинающих, средних и опытных пользователей.

Классификация программ вымогателей

По виду выполняемых действий вредоносные программы вымогатели подразделяются:

1. Программы вымогатели, ограничивающие доступ к сайтам;

2. Вредоносные программы, ограничивающие работу с браузером;

3. Программы вымогатели, блокирующие доступ к службам и функциям операционной системы;

4. Вредоносные программы, ограничивающие действия пользователя в операционной системе;

5. Программы вымогатели, шифрующие файлы на пользовательской машине.

Все перечисленные программы относятся к классу вредоносных программ Trojan-Ransom. Избавится от действия программ из пп.1 и 2 не представляет никакой сложности и может быть осуществлено вручную без помощи антивирусных приложений. С программами из пп.3 и 4 справится сложнее и, даже приходится прибегать к помощи специального программного обеспечения. Программы из п.5 чаще всего не поддаются разблокировке без помощи высококвалифицированных специалистов и дорогостоящего программного обеспечения.

Рассмотрим каждый пункт классификации вредоносных программ вымогателей в отдельности.

Программы вымогатели, ограничивающие доступ к сайтам

В случае, когда программа вымогатель ограничивает доступ к некоторым сайтам (как правило это социальная сеть «Одноклассники», «ВКонтакте», поисковые машины «Яндекс», «Google», сайты разработчиков антивирусов Касперского, Dr.WEB и многие другие, всего около трехсот доменных имен), мы встречаемся с действием вирусной программы Trojan-Ransom.BAT.Agent.c. Когда пользователь вводит адрес, который внесен в заблокированную базу, он получает перенаправление на сайт разработчика вредоносного ПО и видит примерно следующую надпись: «Ваш браузер заблокирован. Если Вы хотите разблокировать ваш компьютер и полноценно пользоваться сайтами необходимо отправить SMS” и далее следует окошко с предложением выбрать оператора сотовой сети и страну проживания пользователя.

В данном случае мы имеем дело с обычным файлом с расширением *.bat и размером всего 13 килобайт, изменяющим файл HOSTS, хранящийся на компьютере пользователя. Механика вредоносной работы такого файла мы рассмотрим в одной из следующих статей нашего блога.

Для достижения лучшего эффекта своей деятельности Trojan-Ransom.BAT.Agent.c модифицирует файл HOSTS таким образом, что пользователь оказывается не на сайте, адрес которого был введен в адресную строку браузера, а на странице злоумышленника, где выставляются требования для разблокировки компьютера и возврата к нормальной работе браузера выслать СМС на короткий номер с определенным текстом. Как оказывается ясным в дальнейшем, текст этого СМС абсолютно не важен для кибер-мошенника, потому что он изначально не собирался высылать вам код разблокировки, ему это просто не нужно и влечет для него лишние затраты.

Префиксы коротких, как правило четырехзначных, номеров, арендуются преступниками у операторов СМС биллинга. Цена за одну SMS определяется самим арендатором короткого номера и может быть ограничена только пределами его жадности и финансовых аппетитов. Чаще всего фактическая сумма взимаемая с пользователя за одну СМС значительно превышает ту, что указана в «информационном сообщении» на сайте, куда был перенаправлен посетитель.

Если клиент решает отослать SMS, то с его телефонного счета снимается сумма, заложенная злоумышленником при аренде короткого номера, а если средств на счету недостаточно, то они запишутся в долг и будут вычтены при следующем пополнении баланса телефонного счета.

Из этой суммы на счет Интернет-злоумышленника поступает только около сорока процентов от полученной обманным путем суммы, остальные деньги уходят на счета арендодателя короткого номера и СМС оператора. Полученные деньги вымогатель получает путем, личного или через посредников, обналичивания средств с кошельков известных систем виртуальных денег WebMoney, Яндекс.Деньги и других.

Программа-вымогатель Trojan-Ransom.Win32.Agent, в отличие от описанной выше действует более конкретно и целенаправленно. Она ограничивает вход посетителей, используя описанные технологии и психологические приемы, только на домен социальной сети vkontakte.ru.

Метод «лечения» программ-вымогателей, ограничивающих вход на некоторые сайты, очень прост и не затруднит даже неискушенного в компьютерных технологиях пользователя. Для разблокировки компьютера необходимо очистить файл HOSTS (%SYSTEM%\drivers\etc\hosts) и удалить из него при помощи любого текстового редактора все строчки, кроме 127.0.0.1 localhost. Кроме этого необходимо, безусловно, удалить и сам файл вредоносной программы-вымогателя, дабы не получить рецидива преступления, просканировав систему с помощью антивирусной программы с загруженными последними обновлениями или обратившись на любой онлайн сервис по борьбе с вредоносными программами, например virusinfo.info.

Вредоносные программы, ограничивающие работу с браузером

В случае с программами вымогателями, ограничивающими работу с браузером, в его окне возникает окно или баннер, часто порно баннер, без возможности его закрытия. Такой баннер сильно мешает или совсем не позволяет работать в окне обозревателя Интернет. В отличие от окон со всплывающей рекламой, работающими по технологии pop-up, к которым все давно привыкли и почти не обращают на них внимания, от таких баннеров невозможно избавиться стандартными методами. К таким вредоносным программам, как правило, относятся
Trojan-Ransom.Win32.Hexzone и Trojan-Ransom.Win32.BHO. Очень подробно мы описывали методы борьбы с такими программами в статье «Как убрать (удалить, разблокировать) порно баннер», но для более глубокого усвоения материала, кратко повторим, что для того, чтобы избавится от вредоносной программы, ограничивающей работу браузера необходимо:

— Открыть окно «Управление надстройками» из меню Сервис > Надстройки > Включение и отключение надстроек.

— Определить вредоносную надстройку среди списка в открывшемся окне. Обычно, это те надстройки, в колонке «Издатель» которых, либо ничего нет, либо значится надпись «Не проверено»

— Отключить найденные вредные надстройки, установив им статус «Отключено».

— Перезагрузить браузер, чтобы убедиться в том, что вредоносное дополнение больше не действует.

— Если описанные действия не помогли, скорее всего, было отключено не то дополнение, попробуйте поочередно отключать все надстройки из открывшегося списка и наверняка найдете нужную.

Более подробно об отключении и удалении вредоносных программ, мешающих работе браузера читайте в статье «­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­Как убрать (удалить, разблокировать) порно баннер

Программы вымогатели, блокирующие доступ к службам и функциям операционной системы

Этот вид программ-вымогателей подробно описан мной в статьях:

· Вирус со всплывающим окном. “eKAV антивирус” – программа-вымогатель eKav antivirus. СМС на короткий номер

· eKav antivirus – борьба, профилактика, последствия

· eKav antivirus — разблокировать и удалить навсегда!

· На смену eKav antivirus приходит новый вымогатель по имени Internet Security

К ним относится такой вид программ-вымогателей категории Trojan-Ransom, который не позволяет, при появлении окна с требованием «выкупа», ни закрыть само это окно, ни открыть никакие другие приложения, в том числе и «Диспетчер задач» Windows. Стандартные сочетания клавиш Windows перестают действовать, хотя сама клавиатура находится в рабочем состоянии. Курсор мыши двигается, но щелчки остаются без ответа. Если прибегнуть к простой перезагрузке машины кнопкой Reset, баннер вымогатель появится вновь, а данные несохраненные в прошлом сеансе будут утрачены навсегда. Кроме того, для удаления подобного вида программ в любом случае требуется перезагрузка компьютера.

Чтобы не потерять несохраненные данные, если компьютер находится в сетевом окружении, можно попробовать сделать следующее:

Инструкция №1.

— Запустить на удаленном компьютере командную оболочку cmd.exe

— Выполнить следующие команды:
wmic
/NODE:<имя компьютера>
/USER:<имя пользователя на атакованном компьютере>

— Ввести пароль на заблокированной машине

— В выведенном списке работающих процессов выбрать подозрительный, который не относится к Windows и запущенным программам пользователя, и выполнить команду: process where name=”<имя блокирующего процесса>” delete

— После завершения этого процесса на компьютере пользователя исчезнет баннер вымогатель. Далее надо провести действия по удалению программы-вымогателя с компьютера пользователя, описанные здесь.

Инструкция №2.

— Если баннер вымогатель появился не сразу, а после перезагрузки машины и нет опасности потерять несохраненные данные, перезагрузить компьютер, во время загрузки нажимать клавиш F8, до появления меню со списком режимов загрузки.

— Выбрать режим загрузки «Repair Your Computer» (Восстановление Вашего Компьютера);

— После ввода пароля, появится окно с диалогом, в котором необходимо выбрать пункт «System Restore»

— Начнет работать мастер восстановления системы, следуя указаниям которого, необходимо выбрать точку восстановления от той даты, когда компьютер нормально работал.

Инстукция №3.

— Если Инструкция №2 не помогла, то необходимо использовать способ ручного удаления вредоносного трояна при помощи Безопасного режима операционной системы Windows

— Перезагрузить компьютер, во время загрузки нажимать клавиш F8, до появления меню со списком режимов загрузки.

— Выбрать режим загрузки «Safe mode with Command Prompt» (Безопасный режим Загрузки с запуском командной строки)

— После загрузки Windows в этом режиме, появляется возможность запускать из командной строки любые приложения, с помощью которых возможно обезвредить вредоносное программное обеспечение. Для поиска названий процессов, которые необходимо будет удалить, воспользуйтесь другим, незараженным компьютером.

Инструкция №4.

— Если Безопасный режим отключен программой вымогателем, загрузите машину с загрузочного диска LiveCD, ERDCommander, Acronis или другого на ваш выбор.

— Найдите ветку реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

— Измените значение ключа Userinit на C:\Windows\system32\userinit.exe

— Удалите вирусный файл в Userinit

— Перезагрузите компьютер в нормальном режиме

Вредоносные программы, ограничивающие действия пользователя в операционной системе

Трояны семейства Trojan-Ransom, Trojan-Ransom.Win32.Krotten и Trojan-Ransom.Win32.Taras используют имеющуюся в Windows возможность изменять набор функций пользователей конкретной машины. В большинстве случаев после действия такой программы вымогателя, на зараженной машине можно запустить только один браузер, и то только для того, чтобы полюбоваться на сообщение о выкупе. Другие программы и процессы запустить не удастся, все функции пользователя будут блокированы.

Разблокировать действия таких троянов можно следуя инструкциям:

Инструкция №1

— Загрузитесь в безопасном режиме и войдите в систему под именем другого пользователя.

— Часто действия пользователя, отличного от того, который запустил программу-вымогателя, ничем не ограничены.

— Удалите аккаунт «зараженного» пользователя и создайте нового, под именем которого и продолжайте работать. Программа-вымогатель больше не должна ничем себя проявить. Программы такого типа изменяют системные настройки всего один раз запустившись.

— Об удалении программы-вымогателя читайте в статье по этой ссылке.

Инструкция №2

— На компьютере товарища скачайте из Интернета программку AVZ и сохраните ее на флэшке.

— Загрузитесь с загрузочного диска LiveCD, ERDCommander, Acronis или другого на ваш выбор.

— Скопируйте содержимое папки с утилитой AVZ с флэш-носителя на рабочий стол, переименуйте в скопированной папке файл AVZ.exe на iexplore.exe, таким образом замаскировав полезную нам программу под Internet Explorer, запуск которого обычно не блокируется.

— Перезагрузите машину и войдите в систему под именем заблокированного пользователя и запустите с рабочего стола программку AVZ из нового файла iexplore.exe

— Пользуясь интерфейсом программы выберете пункт меню «Восстановить систему», поставьте галочку на всех пунктах, кроме последнего и запустите процесс восстанволения.

— Когда работа будет закончена, перезагрузите машину. Все ограничения должны быть сняты.

Программы вымогатели, шифрующие файлы на пользовательской машине

Совсем необычный, но все более часто встречающийся в последнее время вид программ вымогателей, когда, вирус незаметно для пользователя шифрует файлы с важной информацией, как правило, это файлы с расширениями *.doc, *.docx, *.xls, *.xlsx, *.txt и прочие. Рядом с зашифрованным файлом, вернее в одной с ним директории, программа злоумышленник помещает текстовый файл с текстом условия выкупа, так поступает Trojan-Ransom.Win32.GPCode. Реже бывает, что баннер вымогателей помещается на обоях рабочего стола, это дело рук Trojan-Ransom.Win32.Encore. Зашифрованные файлы представляют из себя полную бессмыслицу, наполненную крякозябрами, прочитать ничего решительно невозможно. Самое часто встречающееся детище этого семейства — Trojan-Ransom.Win32.Gpcode . Программы-вымогатели группы Trojan-Ransom.Win32.Cryzip не мудрствуя лукаво помещают файлы с важной для пользователя информацией в архивы *.zip и закрывают их паролем, за который просят заплатить выкуп через платную СМС. А мошенники из группы Trojan-Ransom.Win32.Fixer предлагают «купить» специальную программку для расшифровки файлов. Сообщение об этом выскакивает как раз в тот момент, когда пользователь безуспешно пытается открыть скрытно зашифрованный файл. Оплату за свою программку для расшифровки файлов, мошенники, конечно же просят отправить через SMS.

Чтобы вылечить зашифрованные файлы самостоятельно нужно иметь сам троян и попытаться его распаковать, чтобы узнать способ шифрования и написать программу дешифровки. Если такое не под силу, то необходимо обращаться в службу технической поддержки любой антивирусной компании.

© eavasi for БЕЛАЯ ШЛЯПА, 2010. |
Читать 43 комментов ">комментарии
2010/01/18
Подпишитесь на ленту блога RSS
Post tags: eKAV антивирус, Internet Security, Trojan-Ransom, вредоносное по, Программы вымогатели

Связанные записи:

• eKav antivirus — разблокировать и удалить навсегда! ₍₂₆₉₎ ^{(7 Январь 2010)}
• Программы вымогатели. История проникновения ₍₃₎ ^{(20 Январь 2010)}
• Вирус со всплывающим окном. “eKAV антивирус” – программа-вымогатель eKav antivirus. СМС на короткий номер ₍₂₂₄₎ ^{(3 Январь 2010)}
• На смену eKav antivirus приходит новый вымогатель по имени Internet Security ₍₂₉₁₎ ^{(8 Январь 2010)}
• Как избавиться от вредоносного кода на сайте ₍₃₁₎ ^{(5 Январь 2011)}
• СМС на номер 9800. Разблокировка порно баннера ₍₂₆₀₎ ^{(22 Февраль 2010)}
• Программы вымогатели. Психологическая атака ₍₁₈₎ ^{(19 Январь 2010)}
• eKav antivirus – борьба, профилактика, последствия ₍₁₈₅₎ ^{(5 Январь 2010)}
• Как убрать (удалить, разблокировать) порно баннер ₍₃₀₀₎ ^{(10 Январь 2010)}
• Вирус Cryzip не только блокирует Windows, но и убивает файлы ₍₈₎ ^{(28 Март 2010)}

: Программы-вымогатели. Классификация. Способы лечения БЕЛАЯ ШЛЯПА - новый блог, посвященный основам сайтостроения для чайников, реальным способам заработка в Интернете, методам продвижения и раскрутки сайта

Когда я начал писать цикл статей о программах-вымогателях, одну из которых получил на свой компьютер сам 1 января 2010 года, ко мне стали обращаться мои читатели с просьбой все больше и больше рассказывать не только о eKav antivirus, который был у меня, но и о других баннерах-вымогателях, таких как: eKav antivirus, Get Accelerator, sNet SpeedBest Lite, Ubest Netspeed Pro, которые требуют отослать платные СМС на короткие номера 4460, 7373, 4171, 3649, 5155, 1350, 7122, 8353 и прочие. Но особый поток просьб касается порно баннеров. Судя по количеству просьб рассказать о способах их удаления и разблокировки этой гадости, лавина порнографических рекламных баннеров и порно баннеров-вымогателей, захлестнувшая российский Интернет, принимает устрашающие размеры и принимает масштабы тяжелейшей компьютерной эпидемии.

Как удалить порно баннер?

Сначала надо определить, каким баннером заражен компьютер. Зафиксировано два вида баннеров:

1. Баннеры, блокирующие работу всего компьютера и не позволяющие запускать программы и службы. К ним относятся как баннеры порнографического содержания, так и  вышеперечисленные баннеры-вымогатели (eKav antivirus, Get Accelerator, sNet SpeedBest Lite, Ubest Netspeed Pro). Методики из разблокировки и  полного удаления очень подробно рассмотрены на этом блоге и находятся по адресам: На смену eKav antivirus приходит новый вымогатель по имени Internet Security, eKav antivirus — разблокировать и удалить навсегда!, eKav antivirus – борьба, профилактика, последствия, Вирус со всплывающим окном. “eKAV антивирус” – программа-вымогатель eKav antivirus. СМС на короткий номер
2. Порно баннеры, которые не блокируют работу всего компьютера, а появляются только в браузере, программе, с помощью которой просматривают Интернет страницы, занимая определенное место на экране (как правило широкая полоса внизу экрана, но возможны и варианты). Именно такие порно баннеры, вернее способы их разблокировки и удаления мы и рассмотрим в этой статье.

Браузер Internet Explorer, удаление порно баннера

Чтобы удалить баннер из Internet Explorer делаем следующее:

1. Заходим в Internet Explorer. В меню Сервис > Управление надстройками > Отключить надстройку, выбираем LexLibVideo Plugin, нажимаем кнопку “Отключить”.
2. Далее заходим в “Мой компьютер”, ищем локальный диск “C”, нажимаем “Поиск файлов и папок”, ищем файл ??lib.dll, без сожаления удаляем. Знаки вопроса в имени библиотеки говорят о том, что на этих местах могут стоять две или три любые буквы.
3. Потом идем в меню “Пуск”, щелкаем по меню “Выполнить”, в текстовое поле вводим “regedit”, далее OK > Правка > Найти > вводим “??lib.dll”. Удаляем все найденные файлы. Так проделываем несколько раз.
4. Если все остальное не помогло, то через проводник Windows находим папку C:\Documents and Settings\{User Profile}\Application Data\AdSubscribe, а в ней файл AdSubscrib.dat, открываем его в блокноте, находим переменную [Runtime] ADSR=999, исправляем значение 999 на 0 и запускаем uninstall.exe. В след за этим в реестре (Пуск > Выполнить > regedit > Правка > Найти) находим все, что в имени своем имеет буквосочетание “AdSubscribe” и без опасения и сожаления удалить.
5. Перезагружаем компьютер.
6. Наслаждаемся отсутствием баннера и больше никогда не заходим на порно сайты.

Браузер Mozilla FireFox, удаление порно баннера

Чтобы удалить баннер из Mozilla FireFox делаем следующее:

1. Заходим в Mozilla FireFox. В меню Инструменты > Дополнения > Расширения ищем имя дополнения, которое отображает порно баннер, оно может называться XComFF, W V VIDEO PROVIDER, HQ Video Converter или просто INFORMER. Здесь надо включить интуицию и руководствуясь ею найти нужное название, хотя, если вы удалите не то, что нужно, никакой беды не произойдет. После вы всегда можете восстановить полезное дополнение. Можно удалять все по очереди, каждый раз перезапуская FireFox, как только порно баннер пропадет, можно считать, что вы попали в цель.
2. С помощью проводника Windows заходим на локальный диск “C” > Windows\system32\drivers\etc В этой папке ищем файл “host”, открываем его блокнотом и удаляем весь текст. Нажимаем “Сохранить”

Браузер Opera, удаление порно баннера

Чтобы удалить баннер из Opera делаем следующее:

1. Заходим в Opera. В меню Инструменты > Настройки > Дополнительно > Содержимое > Настройки JavaScript. В поле “Папка пользовательских файлов JavaScript” стираем все полностью, нажимаем “ОК”
2. Также по пути, описанном в п. 1 можно удалить все файлы баннеров с расширением *.js
3. Если по указанному в п. 1 вы видите сообщение “C:WINDOWS uscripts”, то следует удалить всю папку “uscripts”

Также для удаления порнографического баннера можно поступить так:

Когда появляется порно информер, откройте диспетчер задач сочетанием клавишь Ctrl+Alt+Delete и на вкладке “Приложения” найдите вредоносную программу, запишите ее название в Блокнот. Далее откройте меню Пуск > Выполнить > regedit > Правка > Поиск. В строке поиска впишите сохраненное название программы и удалите все записи, связанные с ним. Потом перезапустите машину в безопасном режиме (во время загрузки жмите клавишу F8) и с помощью поиска найдите все файлы и каталоги с таким названием и удалите их. Также сотрите все каталоги и файлы из папки C:\WINDOWS\Temp, а проще говоря, очистите папку Temp полностью.

Есть и другая методика:

1. Скачать и установить программу Process Explorer (Ссылка)
2. Скачать и распаковать в любую папку программу AVZ (Ссылка)
3. Устанавливаем AVZ
4. Закрыть все программы, которые имеют доступ в Интернет
5. Отключить Интернет принудительно вручную
6. Запустить программу Process Explorer
7. Найти процесс с именем, похожим на kui38 или другое, которое имеет красный цвет, то есть пытается подключиться к Интернет.
8. Наведите на найденный процесс курсор мыши  и убедитесь, что папкой его запуска является папка Temp, находящаяся по пути C:\Documents and Settings\ПОЛЬЗОВАТЕЛЬ\Local Settings\Temp
9. Выбираем на родительском процессе этого процесса “kill process tree” в контекстном меню, вызываемом правой кнопкой мыши. Окно порно информера или баннера должно исчезнуть.
10. Далее в “Мой компьютер” меню Свойства папки устанавливаем “Показывать скрытые файлы и папки” и снимаем галочку со “Скрывать защищенные системные файлы”
11. Идем по пути C:\Documents and Settings\ПОЛЬЗОВАТЕЛЬ\Local Settings\Temp
12. Находим в этой папке файлы с названием процесс, о котором мы говорили в п. 6
13. Удаляем эти файлы по одному с помощью меню программы “AVZ” “Отложенное удаление файла”
14. Не закрывая AVZ, перезагружаем компьютер
15. Запускаем AVZ и с помощью функции “Мастер поиска и устранения проблем”, разблокируем запуск Диспетчера Задач

© eavasi for БЕЛАЯ ШЛЯПА, 2010. |
Читать 300 комментов ">комментарии
2010/01/10
Подпишитесь на ленту блога RSS
Post tags: eKAV антивирус, как убрать порно баннер, как удалить порно информер, порно баннер, порно информер, порнографический баннер, порнографический информер, удаление порно баннера

Связанные записи:

• Вирус со всплывающим окном. “eKAV антивирус” – программа-вымогатель eKav antivirus. СМС на короткий номер ₍₂₂₄₎ ^{(3 Январь 2010)}
• Программа RansomHide для удаления порно баннера. Все проще, чем кажется!!! ₍₄₂₎ ^{(25 Апрель 2010)}
• Программы Вымогатели. Рецепты читателей. Лечение и Удаление ₍₅₉₎ ^{(5 Февраль 2010)}
• Программы-вымогатели. Классификация. Способы лечения ₍₄₃₎ ^{(18 Январь 2010)}
• На смену eKav antivirus приходит новый вымогатель по имени Internet Security ₍₂₉₁₎ ^{(8 Январь 2010)}
• Программы вымогатели. Психологическая атака ₍₁₈₎ ^{(19 Январь 2010)}
• eKav antivirus — разблокировать и удалить навсегда! ₍₂₆₉₎ ^{(7 Январь 2010)}
• eKav antivirus – борьба, профилактика, последствия ₍₁₈₅₎ ^{(5 Январь 2010)}
• СМС на номер 9800. Разблокировка порно баннера ₍₂₆₀₎ ^{(22 Февраль 2010)}

: Как убрать (удалить, разблокировать) порно баннер БЕЛАЯ ШЛЯПА - новый блог, посвященный основам сайтостроения для чайников, реальным способам заработка в Интернете, методам продвижения и раскрутки сайта

Трояны-вымогатели, требующие заплатить им с помощью отправки СМС на короткий номер с определенным сообщение, получают в начале 2010 года распространение немыслимых масштабов. Сегодня (08 января 2010 г.) появилось очень много сообщений о том, что компьютер блокирует не, ставший уже привычным eKav antivirus, а его новый последователь Internet Security. Как и в предыдущем случае, троян маскируется и стилизуется под извесную антивирусную программу Касперского.

Очень многие просят меня не прекращать цикл статей о программах-вымогателях и способах разблокировки и удаления их с компьютеров пользователей. Три статьи, посвященные разблокировке eKav antivirus и его удалению, подробно описывающие несколько методик, находятся по следующим адресам:

1. eKav antivirus. Не разблокировать, а удалить! (7.01.10)
2. eKav antivirus – борьба, профилактика, последствия (5.01.10)
3. Вирус со всплывающим окном. “eKAV антивирус” – программа-вымогатель eKav antivirus. СМС на короткий номер (3.01.10)

Судя по письмам моих читателей, новый вирус Internet Security, пришедший на смену eKav antivirus, обладает теми же функциями и тем же “движком”, что и его предшественник. Даже сообщение, выводящееся на неподвижном баннере Internet Security очень похоже на то, что выводит eKav antivirus: “Внимание!Internet Security обнаружил вредоносное ПО на вашем компьютере.” Поэтому все методики, описанные в вышеперечисленных статьях, подходят и для разблокировки, и удаления программы-вымогателя Internet Security. Повторим их коротко для вашего удобства:

1. Подбор кода разблокировки на сервисе Dr.Web по адресу: http://news.drweb.com/show/?i=304&c=5
2. Арифметическая генерация кода разблокировки. (Подробнее здесь и здесь)
3. Подбор кода разблокировки по таблице. (Подробнее здесь)
4. Генерация кода разблокировки с помощью кода разблокировки, компилированным Романом Лихневским, ссылка
5. Удаление eKav antivirus и Internet Security из системного реестра (Подробнее здесь)

3 января 2010 появилось сообщение о том, что “Лаборатория Касперского” выпустила в свет новый Интернет-сервис для разблокировки троянов-вымогателей типа Internet Security и eKav antivirus, относящихся к группе Trojan-Ransom. При пользовании новым разблокировщиком от Касперского необходимо ввести номер телефона, на который предлагается отправить СМС и текст сообщения СМС. В ответ на ваш телефон придет сообщение с кодом разблокировки. Сервис разблокировки Internet Security и eKav antivirus находится по адресу: ссылка

Вот скриншот этой новой заразы, любезно предоставленный нашим читателем dima899:

© eavasi for БЕЛАЯ ШЛЯПА, 2010. |
Читать 291 комментов ">комментарии
2010/01/08
Подпишитесь на ленту блога RSS
Post tags: eKAV антивирус, разблокировка eKav antivirus, разблокировка Internet Security, удаление eKav antivirus

Связанные записи:

• Программы вымогатели. Психологическая атака ₍₁₈₎ ^{(19 Январь 2010)}
• eKav antivirus — разблокировать и удалить навсегда! ₍₂₆₉₎ ^{(7 Январь 2010)}
• Как убрать (удалить, разблокировать) порно баннер ₍₃₀₀₎ ^{(10 Январь 2010)}
• Вирус со всплывающим окном. “eKAV антивирус” – программа-вымогатель eKav antivirus. СМС на короткий номер ₍₂₂₄₎ ^{(3 Январь 2010)}
• Программы Вымогатели. Рецепты читателей. Лечение и Удаление ₍₅₉₎ ^{(5 Февраль 2010)}
• Программы-вымогатели. Классификация. Способы лечения ₍₄₃₎ ^{(18 Январь 2010)}
• eKav antivirus – борьба, профилактика, последствия ₍₁₈₅₎ ^{(5 Январь 2010)}

: На смену eKav antivirus приходит новый вымогатель по имени Internet Security БЕЛАЯ ШЛЯПА - новый блог, посвященный основам сайтостроения для чайников, реальным способам заработка в Интернете, методам продвижения и раскрутки сайта

Один из авторов, участников украинского форума «Бiблiотека», Wladimir Mutel рассказал свою историю о том, как он удалял eKav antivirus с двух компьютеров. Он рассказывает, что 06 января удалил с двух независимых машин эту заразу (eKav antivirus). Со стороны пользователя, на его мониторе eKav antivirus выглядит, как обыкновенное наглое вымогательство – на экране зараженного компьютера появляется баннер, напоминающий по стилю дизайна антивирус Касперского, и настоятельно требует выслать платную СМС на четырехзначный номер, и после этого система будет разблокирована, иначе через короткое время компьютеру пользователя, словившего вирус, станет очень не сладко. Никакие другие программы не запускаются. Баннер eKav antivirus находится поверх всех окон и не дает ничего делать.

Первый случай

На первом компьютере пришлось загрузиться с Alkid SE и разыскивать на винчестере недавно созданные исполняемые файлы. Стер несколько новых библиотек *.dll из пользовательского профиля, презагрузил компьютер в обычный Windows – никакого результате, баннер eKav antivirus не перестал появляться при запуске любой программы. Опять загрузился с Alkid SE и в разделе системного реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows очистил значение AppInit_DLLs, открыв при этом ветку рееста software на винчестере по пути \windows\system32\config\. В указанном месте было имя ничем не примечательного файла в \windows\system32\... затем двоеточие и за ним случайный подбор цифр, букв и знаков препинания.

Известно, что в системе NTFS в комплекте с любым файлом есть возможность хранить один или более дополнительных потоков информации (технология NTFS streams) с именами, добавляемыми к имени родительского файла и указываемыми через двоеточие от имени основного файла. Также известно, что операционная система Windows дает возможность исполнять команды, содержащиеся в этих потоках, при упоминании их в соответствующих ветках системного реестра или конфигурационных переменных. Авторы вирусов и программ-вымогателей и eKav antivirus в том числе знают об этой технологии и пользуются ею.

После такой очистки, при перезагрузке Windows в обычном режиме все приложения стали запускаться и работать, а eKav antivirus перестал себя как-либо проявлять.

После проверки системы, приложение AutoRuns определило, что в системе находится еще один вирус с исполняемым файлом sdra64.exe. Для того, чтобы избавиться от него, надо было загрузиться с Alkid SE еще раз и удалить исполняемый файл из ветки \windows\system32 и в программе Regedit стереть его из списка Userlnit в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

После этих манипуляций остался запрещенным запуск утилиты Regedit, диспетчера задач и всех имевшихся на машине антивирусных программ. Через Интернет, который работал на тот момент, была скачана программа RegistryFix (сайт программы) и через нее был восстановлен запуск приложения Regedit. C помощью этой же утилиты был запрещен запуск исполняемых файлов и потоков информации в вышеуказанных каталогах с помощью механизма политик Windows XP, Safer. В разделе KEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths были вычищены все подразделы с каталогами, запрещенными при проникновении вируса. После следующего перезапуска системы появилась возможность установить и обновить Zillya, MBAM и с помощью последнего просканировать всю машину. Сканирование позволило удалить остатки «зараженных» файлов и восстановить настройки реестра, которые были нарушены вредоносной программой eKav antivirus. Все настройки приложений и данные были сохранены, система была полностью работоспособной.

Второй случай

На втором компьютере, который был поражен eKav antivirus с помощью Alkid SE были удалены все новые библиотеки *.dll и вычищены AppInit_DLLs и Safer\...\Paths. После перезагрузки в обычном режиме был установлен MBAM, который просканировал машину и помог стереть остатки вредных файлов и восстановить настройки системного реестра в их прежнее состояние.

Домыслы

1. Подлецы, выпустившие в свет eKav antivirus оказались умными людьми, знающими не только операционную систему Windows, но и психологию рядового пользователя, уверовавших в непогрешимость антивирусных программ. Кроме того, они подгадали выход eKav antivirus под новогодние каникулы, когда он будет сразу обнаружен только на домашних компьютерах, а основная масса зараженных машин, находящихся в офисах и на предприятиях, будут включены только после 11 января 2010 г. Антивирусные базы пополнить с них будет невозможно, а большинство системных администраторов со своими скудными знаниями не будут знать, что делать с открывшимся баннером eKav antivirus. И многие тысячи неискушенных пользователей будут посылать СМС-ки на короткие номера, указанные на этих баннерах. eKav antivirus будет оставаться очень популярным в нашем обществе еще очень долго.

2. Необходимо быть очень осторожным при посещении сайтов кустарного производства на бесплатных хостингах типа narod.ru, ukoz.ru, by.ru и пр. Надо уметь отличать полезный контент от вредоносных баннеров, рекламы, всплывающих окон и баннеров. Лучше всего пользоваться последней версией Mozilla FireFox, который проверяет все сомнительные адреса по огромной централизованной базе корпорации Google.

© eavasi for БЕЛАЯ ШЛЯПА, 2010. |
Читать 269 комментов ">комментарии
2010/01/07
Подпишитесь на ленту блога RSS
Post tags: eKAV антивирус, разблокировка eKav antivirus, удаление eKav antivirus, хостинг

Связанные записи:

• На смену eKav antivirus приходит новый вымогатель по имени Internet Security ₍₂₉₁₎ ^{(8 Январь 2010)}
• Яндекс.Директ принял “Белую Шляпу” в ряды рекламных площадок ₍₃₂₎ ^{(19 Апрель 2010)}
• Календари, органайзеры и напоминалки для WordPress в плагинах. ICS Calendar ₍₆₎ ^{(27 Сентябрь 2009)}
• Итоги двухмесячного блоговодства. Раскрутка блога прошла успешно? ₍₄₎ ^{(30 Май 2009)}
• Хостинг. Перенос сайта, блога к другому хост-провайдеру ₍₆₎ ^{(8 Май 2009)}
• Как убрать (удалить, разблокировать) порно баннер ₍₃₀₀₎ ^{(10 Январь 2010)}
• Хостинг Джино раздаривает флэш накопители ₍₀₎ ^{(26 Июль 2009)}
• 1500 посетителей в сутки на блог, возможно ли это? ₍₁₂₉₎ ^{(1 Февраль 2010)}
• Вирус со всплывающим окном. “eKAV антивирус” – программа-вымогатель eKav antivirus. СМС на короткий номер ₍₂₂₄₎ ^{(3 Январь 2010)}
• Полностью бесплатный хостинг hostmefree.ru ₍₁₈₎ ^{(13 Апрель 2009)}

: eKav antivirus — разблокировать и удалить навсегда! БЕЛАЯ ШЛЯПА - новый блог, посвященный основам сайтостроения для чайников, реальным способам заработка в Интернете, методам продвижения и раскрутки сайта

Большой интерес, вызванный моей статьей “Вирус со всплывающим окном. “eKAV антивирус” – программа-вымогатель eKav antivirus. СМС на короткий номер”, опубликованной 3 января 2010 г., стимулировал читателей публиковать свои способы разблокировки вредоносной программы-вымогателя “eKav antivirus” и многих ей подобных. Но сначала напомним о чем идет речь.

Суть дела

В последнее время, а особенно в конце 2009, начале 2010 годов активизировали свою позорную деятельность программы-вымогатели типа “eKav antivirus”. Появились программы такого типа, программы агрегаторы в апреле 2009 года, а к его концу получили устрашающее распространение. Загружаются программы-агрегаторы на компьютер пользователя принудительно и незаметно с помощью специального скрипта, кроящегося в исходном коде какого-нибудь сайта, на который пользователь заманивается обманным путем. Как правило заманить пользователя на подобного рода сайт можно, взломав аккаунт его друга в крупной социальной сети, например Вконтакте или Одноклассники, и написав от его имени сообщение типа “ты не видел его полжизни, а я его нашел, заходи на сайт…” и далее следует адрес, очень похожий на основной сайт, но отличающийся от него одним или двумя символами. Например odnoklasniki.ru или vkontqkte.ru

Загрузившись на компьютер пользователя, программа типа “eKav antivirus” “ждет” перезагрузки компьютера и запускается самостоятельно, не давая открывать никакие приложения и имитируя “бурную деятельность”, например, сканирование машины на предмет обнаружения троянов и вирусов. Перезагрузка компьютера, как правило, ничего не дает и приводит к новому запуску “eKav antivirus” и к новому “сканированию”. На баннере, который открывает программа, пишется “Внимание EKav Antivirus обнаружил вредоносное по на вашем компьютере” и далее предлагается отправить СМС на короткий четырехзначный номер, с текстом, например “К204414900”, чтобы полностью удалить найденные вирусы. Причем “создатели” “eKav antivirus”, утверждают, что это СМС обойдется пользователю всего в 10 рублей. На самом деле, код, приходящий в ответном СМС, если оно, конечно, приходит, оказывается нерабочим и СМС приходится отправлять еще и еще раз. И стоит каждое из таких сообщений далеко не 10 рублей, а намного дороже. В результате оказывается, что с телефонного счета жертвы мошенников снимается кругленькая сумма. Мне написали несколько моих читателей и сообщили, что с их телефонных аккаунтов было снято от 500 до 1500 рублей. Все зависело от того, когда человек понимал, что он обманут и в какой момент переставал посылать СМСки.

Борьба с “eKav antivirus”. Разблокировка.

В статье от 3 января 2010 г. , которая находится тут, я опубликовал способы разблокировки “eKav antivirus”, но мои читатели любезно предоставили мне еще несколько, и я спешу поделиться ими с теми, кто все еще находится в западне программы-вымогателя.

1. Очень многие сообщают, что им очень помог сервис команды антивируса Dr.WEB, находящийся здесь. Сервис бесплатный. Надо выбрать скриншот программы, которая атакует ваш компьютер, ввести текст сообщения, которое предлагается отправить по СМС и получить бесплатный код разблокировки программы-вымогателя. База данных этого сервиса постоянно пополняется. Безусловно то, что манипуляции с этим сервисом придется делать с чужого компьютера, так как на машине с работающим “eKav antivirus”, браузер запустить не удастся. Несомненно и то, что после разблокировки программы-агрегатора необходимо провести полную очистку системы и деинсталляцию самой программы-вымогателя, благо, что это можно сделать стандартными методами с помощью программ для деинсталляции приложений.
2. Огромное количество читателей сообщают способы самостоятельного подбора кода для разблокировки “eKav antivirus” и подобных ей программ. Евгений предлагает простой, но действенный способ вычисления кода. К каждой цифре сообщения надо добавить одинаковое число из ряда от 1 до 9, а букву К заменить на первое число кода. Например, вам предлагается выслать СМС с текстом К123456789, прибавьте к каждому из этих цифр, предположим 2, получится 345678912, а вместо К подставьте первую цифру получившегося кода, то есть 3. Если код не подходит, пытайтесь прибавить 3, потом 4 и так далее до 9.  Если в результате сложения получается двузначное число, скажем, 12, то обе его цифры тоже следует сложить, в нашем случае получится 3.  Этот способ помог очень многим и этому есть свидетели.
3. Читатель fdgd предложил таблицу для подбора кода для разблокировки программ-вымогателей, подобных “eKav antivirus”. В этой таблице все просто. В первом столбце выбирается цифра кода сообщения и заменяется на соответствующую цифру из любого из цветных столбцов. Для одного кода используются цифры только из одного цветного столбца. Если не помог первый столбец, переходите к следующему, один из девяти столбиков должен обязательно помочь.
4. Роман Лихневский из Киева, квалифицированный IT-шник и просто хороший человек предложил свой способ разблокировки. Он написал программу-генератор кода разблокировки на основании исходного кода программы-вымогателя. Отзывы об этом генераторе поступают положительные, поэтому я публикую ссылку на файлообменник, на который Роман выложил его.
   Скачать генератор кода разблокировки “eKav antivirus” и подобных ему программ можно тут.
5. Последний способ более кардинален, нежели предыдущие. Если ничего не получилось, переустановите ОС с полным форматированием системного диска. Но сначала попробуйте пп. 1-4 еще и еще раз!!!

Профилактика заражения “eKav antivirus” и другими подобными программами.

1. Пользуйтесь Файерволом. Он хотя бы предупредит вас о попадании в систему вредоносного ПО. Файерволов много. Есть платные и бесплатные, я предпочитаю бесплатный Comodo Firewall, качайте его тут.
2. С помощью программы Acronis (загружать тут) всегда держать “под рукой” образ работоспособной версии своей ОС, из которой можно в любой момент восстановить свою операционку со всеми установленными программами и их настройками и данными.
3. Не переходить по сомнительным ссылкам, а особенно тем, которые были получены на крупных социальных сетях.
4. При попадании на сайт со всплывающими окнами (технология PopUp), сразу же покинуть его, во избежании заражения компьютера вредоносными программами.
5. Постоянно сканировать систему с помощью программ для поиска вредоносного ПО, например Lavasoft Ad-Ware (тут)

Если Вы попали на деньги!

Если все же доверились мошенникам и отправили одно или несколько СМС и с вашего телефонного счета сняли несколько сотен рублей, вам необходимо пойти в районную прокуратуру по месту жительства и подать заявление примерно следующего содержания:

Прокурору Деникинского района г. Царицына
Иванова Сергея Моисеевича, проживающего
по адресу: г. Царицын, ул. Колчака, д.19, кв. 18,
тел. 1917—1918-10, моб. +7-918-ХХ-ХХХ-10,
паспорт 5703 № 000000, выдан УВД Деникинского
района г. Царицына 7 ноября 1997 г.

заявление

Я, Иванов Сергей Моисеевич, настоящим сообщаю, что 10.01.10 я был подвергнут мошенническим действиям со стороны неизвестных мне лиц, путем вымогательства у меня с помощью компьютерной программы “eKav antivirus”, которая была установлена на мой компьютер через компьютерную сеть Интернет без  моего ведома. Названная программа полностью блокировала мой компьютер и не давала возможности запустить ни одно компьютерное приложение. Для разблокировки компьютера программа предложила мне отправить сообщение СМС с моего мобильного телефона на номер 4561 с текстом К123456789. Это СМС сообщение было мною отослано, в результате чего с моего счета было снято 900 рублей, а код присланный мне в ответном СМС сообщении не разблокировал программу “eKav antivirus”.
Прошу Вас привлечь к уголовной ответственности производителей этой программы и за их счет возместить мне материальный вред в размере 900 рублей и моральный вред  в размере 18’000 рублей.

Дата
Подпись

© eavasi for БЕЛАЯ ШЛЯПА, 2010. |
Читать 185 комментов ">комментарии
2010/01/05
Подпишитесь на ленту блога RSS
Post tags: eKAV антивирус, вредоносное по, программы-агрегаторы

Связанные записи:

• Вирус со всплывающим окном. “eKAV антивирус” – программа-вымогатель eKav antivirus. СМС на короткий номер ₍₂₂₄₎ ^{(3 Январь 2010)}
• На смену eKav antivirus приходит новый вымогатель по имени Internet Security ₍₂₉₁₎ ^{(8 Январь 2010)}
• Как убрать (удалить, разблокировать) порно баннер ₍₃₀₀₎ ^{(10 Январь 2010)}
• Программы-вымогатели. Классификация. Способы лечения ₍₄₃₎ ^{(18 Январь 2010)}
• Программы Вымогатели. Рецепты читателей. Лечение и Удаление ₍₅₉₎ ^{(5 Февраль 2010)}
• Программы вымогатели. Психологическая атака ₍₁₈₎ ^{(19 Январь 2010)}
• eKav antivirus — разблокировать и удалить навсегда! ₍₂₆₉₎ ^{(7 Январь 2010)}

: eKav antivirus – борьба, профилактика, последствия БЕЛАЯ ШЛЯПА - новый блог, посвященный основам сайтостроения для чайников, реальным способам заработка в Интернете, методам продвижения и раскрутки сайта

Начало 2010 года было ознаменовано для меня неприятным событием, связанным с моим компьютером.

Суть проблемы

Когда 1 января 2010 года я включил компьютер, на экране показался баннер почти во весь экран, оповещающий меня о том, что в системе обнаружено 57 вирусов и для того, чтобы их удалить я должен отправить СМС с каким-то текстом на короткий номер, причем, утверждалось, что СМС обойдется мне всего в 10 р. ($0.33). Текст сообщения на баннере был такой: «Внимание eKAV антивирус обнаружил вредоносное ПО» и далее следовал длинный список “троянов” с локальными путями к ним. Скриншот баннера мне снять удалось несколько позже, после ухода проблемы, так как никакие программы не запускались, всякая попытка открыть любое приложение приводила к повторному “сканированию” системы. Мысли о том, чтобы отправить СМС и потратить деньги у меня не появлялось – понятно было, что это обман через занесенное в систему вредоносное программное обеспечение. Один раз я попадался на эту удочку и теперь я “воробей стрелянный”, второго раза не будет. Понятно, что 10-ю рублями дело бы не ограничилось, со счета были бы сняты все деньги и я бы еще остался должен. Говорят, что за такую СМС с телефонных счетов пользователей “уплывали” многие тысячи рублей, это зависит, видимо, от аппетитов и наглости злоумышленников.

Решение проблемы было найдено быстро – я снес Windows и установил новую. Естественно, что я не успел сделать резервные копии настроек большинства приложений и их настройка после установки новой копии Windows заняла почти два дня и на момент написания этой статьи еще не закончена.

При исследовании вопроса, я выяснил, что текст на баннерах может быть совершенно разный. Например там может быть крикливая надпись о том, что на вашем компьютере установлена нелицензионная Windows, или что с вашего компьютера постоянно осуществляется доступ на порносайты и материалы с изображением малолетних детей и с использованием насилия хранятся на вашем компьютере, что противоречит УК РФ. А может быть и совсем просто – сообщение о том, что ваш компьютер заблокирован без объяснения причин, и все. Может быть еще и другой вариант, когда пользователь собирается посмотреть онлайн какой-то фильм, как правило пиратскую его копию, и при нажатии на кнопку “Воспроизведение” появляется сообщение о том, что на компьютере пользователя не установлены драйверы для просмотра этого “нового” формата, с предложением тут же бесплатно их установить. Если пользователь соглашается, то вместо драйверов на его машину устанавливается программа-вымогатель.

Откуда что берется?

Проведя исследование вопроса я выяснил, что подобное вредоносное ПО очень легко можно “подцепить” на самых популярных сайтах в рунете “Одноклассники”, “В Контакте”, “Мой Мир” и многие “веселые” сайты с адалт-содержимым, то есть, проще говоря, порносайты.

Схема такая: взламывается аккаунт друга, который редко посещает сеть и с него распространяется сообщение вида “Привет, зайди по адресу: vkantakte.ru/id4578 или odnaklassniki.ru/?id1235, там фотография очень знакомого тебе человека, который хочет с тобой увидеться!” Адрес знакомый, но внимательный человек заметит, что одна буква изменена. Это адрес сайта, в исходный код которого встроен вредоносный скрипт, который без ведома пользователя устанавливает на его машину программу, которая будет вымогать деньги. Подобного рода явления можно встретить на всех крупных социальных сетях. Не заходите по таким адресам, это нанесет вред вашему компьютеру!!!

На сайтах с порнографическим содержанием (мы умолчим здесь о нравственности) все происходит немного по-другому, но тоже очень просто. Пользователь открывает страницу с вожделенным содержимым, но поверх нее возникает другая страница, предлагающая перейти на такой-то сайт. Закрыть это окошко невозможно, ибо таково ее предназначение, во что бы то ни стало перенаправить вас на сайт-мошенник, технология эта давно известна и называется в народе POP-UP. Порно-картинки, естественно, посмотреть очень хочется и пользователю ничего не остается делать, как перейти на предлагаемый сайт, где тот же самый скрипт самостоятельно устанавливает на его компьютер вредную программу. Бороться с этим можно с помощью встроенных в браузеры или сторонних средств подавления всплывающих окон. В браузере Mozilla Firefox, например, эта функция прекрасно реализуется с помощью дополнения AdBlock Plus.

Как с этим бороться?

Способы борьбы с программами-вымогателями есть и они описаны на специальных форумах. Вот самые простые из тех, что я смог выискать.

1. Переустановить Windows с форматированием системного диска. Этот способ хорош для тех, кто не ленится делать резервные копии настроек всех своих программ и хранит данные на тех дисках, на которых не установлена операционная система, в противном случае, придется потратить массу времени на настройку любимых программ, как это пришлось делать мне.
2. С помощью компьютера друга (товарища, брата, соседа) зайти на сайт Dr.WEB по адресу: http://news.drweb.com/show/?i=304&c=5 и там подобрать бесплатно код для разблокировки компьютера без отправки СМС. Многим это помогало и база Dr.WEB постоянно пополняется.
3. Заранее установить программу  jv16 Power Tools с помощью которой деинсталлировать программу-вымогатель, которая по сути своей является не совсем вирусом и имеет возможность быть деинсталлированной. Подойдет даже пробная версия платной программы jv16 Power Tools
4. Можно попробовать подобрать код активации. Вас просят прислать сообщение с текстом “К205414200” код активации — 4427636422. Обратите внимание, к каждой цифре, +2. Подбором, вы сможете вбить код активации и для своего вируса, это может быть +1, +2, +3 и т.д. к каждой цифре. Внимание, если у вас +7, например, и получаются десятичные, округляйте до простых путем сложения. Например: 5+7=12, далее 1+2=3. Искомое число 3. «K» может быть любой цифрой, но чаще всего «K» = первой цифре в коде активации.
5. После использования всех способов необходимо полностью очистить систему любым доступным антивирусом.

Выводы.

Подобный вид мошенничества появился в апреле 2009 года и только в последнее время получил огромное распространение. Несколько моих знакомых попадались на эту же удочку и отправляли СМС, у обоих было снять с телефонного счета около 500 руб. Если учесть то, что в ответном СМС приходит нерабочий код и СМС надо отправлять снова, да еще с учетом массовости этого явления, можно примерно посчитать прибыли мошенников. Они исчисляются миллионами!

© eavasi for БЕЛАЯ ШЛЯПА, 2010. |
Читать 224 комментов ">комментарии
2010/01/03
Подпишитесь на ленту блога RSS
Post tags: eKAV антивирус, браузеры, вредоносное по, резервные копии настроек

Связанные записи:

• На смену eKav antivirus приходит новый вымогатель по имени Internet Security ₍₂₉₁₎ ^{(8 Январь 2010)}
• Программы-вымогатели. Классификация. Способы лечения ₍₄₃₎ ^{(18 Январь 2010)}
• Программы вымогатели. Психологическая атака ₍₁₈₎ ^{(19 Январь 2010)}
• Firefox — любимый браузер блоггера и ошибка "400 Bad Request. nginx/0.4.14" ₍₂₄₎ ^{(12 Декабрь 2009)}
• Как убрать (удалить, разблокировать) порно баннер ₍₃₀₀₎ ^{(10 Январь 2010)}
• eKav antivirus — разблокировать и удалить навсегда! ₍₂₆₉₎ ^{(7 Январь 2010)}
• eKav antivirus – борьба, профилактика, последствия ₍₁₈₅₎ ^{(5 Январь 2010)}
• Программы Вымогатели. Рецепты читателей. Лечение и Удаление ₍₅₉₎ ^{(5 Февраль 2010)}

: Вирус со всплывающим окном. “eKAV антивирус” – программа-вымогатель eKav antivirus. СМС на короткий номер БЕЛАЯ ШЛЯПА - новый блог, посвященный основам сайтостроения для чайников, реальным способам заработка в Интернете, методам продвижения и раскрутки сайта