Прошел месяц с момента начала публикации цикла статей по борьбе с программами вымогателями семейства Trojan Ransom, порно баннерами и графическими баннерами вымогателями, предлагающими оплатить разблокировку путем отсылки СМС на короткий номер с некоторым кодом. Взамен, по условиям Интернет мошенников, предлагается ввести код, пришедший в ответном СМС, для разблокировки компьютера и удаления баннера.

На каждую из статей Цикла о баннерах вымогателях пришло множество комментариев читателей. Большинство из них содержат слова благодарности за публикацию способов разблокировки и удаления. Я признателен этим читателям за то, что они не просто воспользовались советами, но еще и написали о результатах их применения. Меньшая часть комментариев содержит свои рецепты избавления от программ вымогателей семейства Trojan Ransom. Читателям, опубликовавшим свои инструкции по разблокировке, я очень благодарен и, более того, я решил в этой статье создать дайджест из их комментариев, так как все они разбросаны по девяти статьям Цикла и не очень удобны для использования. Здесь же мы соберем их в одном месте, отбросим лишнее и оставим только строгие инструкции по разблокировке программ вымогателей семейства Trojan Ransom и их окончательному удалению с компьютера или с адресами и номерами телефонов помощи. Причем удалению отведем большую часть внимания. Не будет утрачено ни одно имя пользователя, ни одна ссылка на блог или сайт, все это я оставлю как есть, убрав лишь слова, не относящиеся собственно к изучаемому предмету по лечению, удалению и разблокировке программ вымогателей и баннеров вымогателей семейства Trojan Ransom. Также компьютерный и Интернет жаргон будет переведен на русский язык, дабы люди, далекие от IT технологий, понимали, о чем идет речь и могли с легкостью следовать приведенным инструкциям.

Этот пост не будет сохранять первоначальное состояние, но напротив, станет постоянно пополняться значащими, стоящими и достойными инструкциями наших читателей по теме лечения, разблокировки и удаления программ и баннеров вымогателей. Безусловно, из уже опубликованных и из будущих наставлений не будут удалены никакие ссылки, так что, если кто-то хочет получить бесплатную ссылку с «Белой Шляпы», пожалуйста, пишите хорошие советы по указанной теме и пересылайте мне или оставляйте в комментариях к любой из статей Цикла, включая настоящую.

1. Комментарии с указанием адресов помощи.

knuckles (Как убрать (удалить, разблокировать) порно баннер)
Приглашение обращаться за паролями для некоторых баннеров по адресам: ICQ: 452-790-657, Mail agent: knucles90@mail.ru, Skype: knuckles1390

Den177 (На смену eKav antivirus приходит новый вымогатель по имени Internet Security)
Сообщает, номер бесплатного для всей России телефона, где могут помочь подобрать код разблокировки баннера вымогателя: 8-800-555-01-02

Игорь (eKav antivirus — разблокировать и удалить навсегда!)
Извещает о том, что создал инструкцию о том, как записать диск WinPE на flash накопительи использовать его в качестве загрузочного. Инструкция пригодится в случае отсутствия CD привода. igorka.com.ua/2010/01/20/...na-osnove-winpe/

StivDOBERMAN (Вирус со всплывающим окном. “eKAV антивирус” – программа-вымогатель eKav antivirus. СМС на короткий номер.)
Рекомендует в случае заражения компьютера звонить по следующим номерам:
495-363-14-27 доб.555 – для Жителей Москвы
8-800-555-01-02 – для других городов России (бесплатно)

2. Комментарии с инструкциями и руководствами к действию.

Natalia (JYKU.FJO — вирус или простое сочетание букв?)
После того, как NOD32 удалил подозрительный jyku.fjo, появляется окно с сообщением о невозможности загрузить динамическую библиотеку DLL и файл jyku.fjo не найден. Необходимо значение параметра SHELL ветки реестра HKLM\Software\Microsoft\WindowsNT\CurrentVersion \Winlogon\) заменить на стандартное Explorer.exe

Виктор (Как убрать (удалить, разблокировать) порно баннер)
Рассказывает, что боролся с порно баннером в браузере Opera простым восстановлением системы из резервной копии, созданной программой для резервного копирования Acronis.

seriych (На смену eKav antivirus приходит новый вымогатель по имени Internet Security)
Дает более подробную, чем в Посте пошаговую инструкцию о том, как избавиться от баннера вымогателя Internet Security:

1. Загрузиться с загрузочного диска LiveCD, который поддерживает работу с реестром, например Win PE

2. Загружаем в редакторе реестра ветку software, находящуюся по пути %windir%\system32\config\

3. Очищаем (оставляем его пустым) значение параметра AppInit_DLLs, находящегося в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

4. Находим ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

5. Если параметр Shell отличается от стандартного explorer.exe или Explorer.exe rundll32.exe, то удаляем его и параметру Sell присваиваем значение explorer.exe

6. Проверяем параметр Userinit и устанавливаем его значение равным C:\WINDOWS\system32\userinit.exe, (с запятой в конце)

7. Удаляем на всех локальных винчестерах в корне диска все файлы autorun.inf, autorun.exe

8. Делаем перезагрузку и сканируем систему программами ComboFix (www.bleepingcomputer.com/... -to-use-combofix) и CureIt (www.freedrweb.com/download+cureit/)

Роман Лихневский (Вирус со всплывающим окном. “eKAV антивирус” – программа-вымогатель eKav antivirus. СМС на короткий номер.)
Сообщает адрес разработанного им офлайнового генератора кодов для разблокировки баннеров вымогателей, разработанного им на основе исходного кода самого вируса. fileshare.in.ua/3089327

jora_good (На смену eKav antivirus приходит новый вымогатель по имени Internet Security)
Скачиваем последний LiveCD, удаляем файл nldk.yxo. После перезагрузки должны появляться сообщения о том, что файл nldk.yxo не найден. С помощью ERD Commander идем в реестр, правим параметр SHELL, присваивая ему значение Explorer.exe или Explorer.exe rundll32.exe Ищем и удаляем параметр AppInit_DLLs»="C:\\WINDOWS\\win.ini:ZJZX2WU7 в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Затем полное сканирование системы с помощью AVZ, если что-то подозрительное найдено, удалить. Дальше с помощью Regedit вычищаем все параметры Paths в HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\Paths После этого восстанавливаем диспетчер задач путем присваивания параметру REG_DWORD DisableTaskMgr значения равного 0, находится он в HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem

tipic (На смену eKav antivirus приходит новый вымогатель по имени Internet Security)

1. Скачиваем самый последний CureIt

2. На зараженном компьютере загружаемся с загрузочного диска или загрузочной флешки, которые можно взять по следующим адресам:

a. netzor.org/soft/warez/26390-mini-windowsxp-usb.html (для флеш накопителя)

b. devbuilds.kaspersky-labs.com/devbuilds/RescueDisk/kav_rescue_2008.iso (загрузочный диск от Лаборатории Касперского)

c. netzor.org/soft/32780-windows-xp-75mb-edition-2008-eng-predstavlyayu-vashemu-vnimaniyu-odnu-iz-samyx-malenkix-sborok-starushki-xr.html (для загрузочного CD)

3. Запускаем CureIt и сканируем C:\WINDOWS.

4. Все, что попало в карантин, удаляем

5. Сканируем полностью весь системный диск

6. Не выходя из системы, с помощью поиска находим и удаляем следующие файлы:
siszyd32.exe
av_md.exe restorer64_a.exe
sdra64.exe
C:\WINDOWS\TEMP\ — полностью очистить эту папку

zay 06 (На смену eKav antivirus приходит новый вымогатель по имени Internet Security)
Дает рекомендации для удаления вируса вымогателя Internet Security, которые сам он позаимствовал на forum.kaspersky.com/index.php?showtopic=148547:

1. Скачать образ narod.ru/disk/16822348000/rescuecd.iso.html и записать его на диск

2. Загрузится с полученного диска, если есть Интернет, обновить базы антивирусного модуля и просканировать систему

3. Далее по инструкции, находящейся в gorka.com.ua/2010/01/20/kak-sozdat-zagruzochnuyu-fleshku-na-osnove-winpe создать загрузочный диск WinPE

4. Загрузится с WinPE и полностью очистить папку C:\\Windows\Temp

5. Загрузится обычным способом

6. Любым способом удалить из автозагрузки все вирусные файлы, которые видно сразу

7. Через политики групп вручную подключаем диспетчер задач и редактор реестра

8. Все работает

Для очистки реестра от Internet Security делаем следующее:

1. Загружаем ERD Commander чистим ключи в редакторе реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows – удаляем значение параметра AppInit_DLLs
Очищаем автозагрузку от Autoruns
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon – параметр Shell выставляем равным explorer.exe

2. Перезагрузка

3. Запуск AVZ и восстановление системы с его помощью

Danila (На смену eKav antivirus приходит новый вымогатель по имени Internet Security)

1. Загружаемся с LiveCD с его альтернативным редактором системного реестра ERD Commander и WinPE

2. Удаляем значение параметра AppInit_DLLs в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

3. Запускаем CureIt, с его помощью удаляем им найденные самостоятельно файлы sdra64.exe, load*.exe, и много других вирусных файлов в C:\WINDOWS\system32\

4. Запускаем HijackThis, сканируем на предмет наличия строки REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe Если она есть, то удаляем, но в принципе после п.3 ее остаться не должно

5. Запускаем plstfix.exe

6. После перезагрузки функции диспетчера задач и редактора реестра становятся рабочими и полностью доступными

7. Из редактора реестра удаляем HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\Paths

Serenia (eKav antivirus — разблокировать и удалить навсегда!)
Советует вручную находить DLL (динамические библиотеки) и проверять их онлайн антивирусником от Лаборатории Касперского. Можно также искать вредные файлы по размеру, равному 131072 байта. Сообщает, что нашел новый файл принадлежащий вредоносной программе вымогателю noise.deu

IZELBOR (eKav antivirus — разблокировать и удалить навсегда!)
Если в реестре прописан параметр, запрещающий редактирование системного реестра, то можно воспользоваться приложением regworks или любой другой с похожим функционалом и в ветке HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System удалить параметр DisableRegistryTools, который чаще всего бывает скрыт и его приходится искать с помощью встроенного в приложение поиска.

Toxa (eKav antivirus — разблокировать и удалить навсегда!)
Рассказывает о том, что после удаления и чистки программы вымогателя Internet Security наблюдалась сильная загрузка процессора. Выяснилось, что нагрузку дает процесс svchost.exe. Через команду Выполнить > msconfig > автозагрузка нашел подозрительный файл syszyd32.exe, который и оказался загрузчикам вредоносного ПО, даже после удаления самой программы.

Игорь (eKav antivirus — разблокировать и удалить навсегда!)
Дает список файлов, принадлежащих к программе вымогателю Internet Security:

ckbnad.dll — C:\documents and settings\userprofile\Local Settings\Temp
fuighf.dll — C:\documents and settings\userprofile\Local Settings\Temp
olmueh.dll — C:\documents and settings\userprofile\Local Settings\Temp
pnaynv.dll — C:\documents and settings\userprofile\Local Settings\Temp
xaxyeg.dll — C:\documents and settings\userprofile\Local Settings\Temp
password.chm:QYMX8hknYYg9KMcgNR2 — C:\Windows\Help
nyyvepuid.dll — C:\Windows\System32
sdra64.exe — C:\Windows\System32
iuzyrt.dll — C:\Windows\Temp
ulbagz.dll — C:\Windows\Temp

И предупреждает, что во время удаления значения из параметра userinit в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, необходимо удалять только запись о вирусе. Например: C:\Windows\system32\sdra64.exe А запись C:\WINDOWS\system32\userinit.exe необходимо оставить как есть.

SW© (eKav antivirus – борьба, профилактика, последствия)
Предполагает, что если восстановить Windows из программы установки системы с дистрибутивом Windows, то вполне может быть, что вирус удалится. После восстановления необходимо просканировать систему антивирусной программой с новейшими базами. Скорее всего ранее установленное антивирусное программное обеспечение придется разблокировать и приводить в рабочее состояние. Для этого необходимо удалить ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\Paths Необходимо проверить в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon следующие значения параметров:

Shell=Explorer.exe
UIHost=logonui.exe
Userinit=E:\WINDOWS\system32\userinit.exe, (ЗАПЯТАЯ ОБЯЗАТЕЛЬНА!!!)

В ветках системного реестра, отвечающих за автозапуск, например, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run надо удалить все параметры со следующими записями:

Explorer.exe program.exe
Explorer.exe program.dll
Explorer.exe userini.exe
rundll32.exe program.exe
rundll32.exe program.dll
program.exe
program.dll

Visp (eKav antivirus – борьба, профилактика, последствия )
Рассказывает о том, что его система была заражена программой вымогателем Flash Video Decoder — Get Access. Предлагает способ для избавления от нее:

1. В BIOS (Basic Input Output System) изменить системную дату на один год назад, тогда заработает Интернет

2. Скачать программу Uninstall Gold

3. Через Uninstall Gold найти Flash Video Decoder — Get Access, находящийся в \\.\globalroot\systemroot\system32 , удалить ее и дать согласие на чистку системного реестра.

4. В реестре чистить ветку с ключами HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\CurrentVersion\App Management\ARPCache\{аааааааа-F03B-4b4) -A3D0-F62E04DD1C09}

© eavasi for БЕЛАЯ ШЛЯПА, 2010. |
Читать 59 комментов ">комментарии
2010/02/05
Подпишитесь на ленту блога RSS
Post tags: eKAV антивирус, Internet Security, JYKU.FJO, Trojan-Ransom, Программы вымогатели

Связанные записи:

• eKav antivirus — разблокировать и удалить навсегда! ₍₂₆₉₎ ^{(7 Январь 2010)}
• Как избавиться от вредоносного кода на сайте ₍₃₁₎ ^{(5 Январь 2011)}
• JYKU.FJO — вирус или простое сочетание букв? ₍₁₂₎ ^{(22 Январь 2010)}
• Вирус со всплывающим окном. “eKAV антивирус” – программа-вымогатель eKav antivirus. СМС на короткий номер ₍₂₂₄₎ ^{(3 Январь 2010)}
• Вирус Cryzip не только блокирует Windows, но и убивает файлы ₍₈₎ ^{(28 Март 2010)}
• eKav antivirus – борьба, профилактика, последствия ₍₁₈₅₎ ^{(5 Январь 2010)}
• 1500 посетителей в сутки на блог, возможно ли это? ₍₁₂₉₎ ^{(1 Февраль 2010)}
• СМС на номер 9800. Разблокировка порно баннера ₍₂₆₀₎ ^{(22 Февраль 2010)}
• Программы-вымогатели. Классификация. Способы лечения ₍₄₃₎ ^{(18 Январь 2010)}
• Как убрать (удалить, разблокировать) порно баннер ₍₃₀₀₎ ^{(10 Январь 2010)}

: Программы Вымогатели. Рецепты читателей. Лечение и Удаление БЕЛАЯ ШЛЯПА - новый блог, посвященный основам сайтостроения для чайников, реальным способам заработка в Интернете, методам продвижения и раскрутки сайта

С 17 января 2010 стали появляться сообщения, а с 21 января 2010 потоком хлынули письма и запросы с просьбой помочь избавиться от файла со странным названием Jyku.fjo (JYKU.FJO) Прошло всего пять дней со дня его появления в сети и информации о нем очень мало. Однако, мы знаем, что географическими точками его появления можно назвать сразу же несколько стран: Канада, Россия, Великобритания, США. Столь широкое распространение JYKU.FJO сразу на трех континентах, говорит о серьезности намерений, боюсь предположить, авторов нового поколения вирусов. Однако же из совсем скудных сведений, имеющихся о JYKU.FJO в Интернете выясняется, что появление его сопутствует заражению компьютеров программой вымогателем, названной по имени известнейшего антивирусного продукта, Internet Security. Файл JYKU.FJO размером 21505 байт может называться также 259.TMP, 95F.TMP, 96885337.FJO и относится к типу динамической библиотеки (DLL) В Российском Интернете очень мало упоминаний о JYKU.FJO, однако на форуме Dr.WEB пользователь описывает успешный случай удаления JYKU.FJO с помощью утилиты ADSspy и последующим вмешательством известной программы AVZ. Злополучный файл, а вернее ссылка на него находится в ветке системного реестра KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в параметре shell равном explorer.exe rundll32.exe jyku.fjo hvttt. Следует полагать, что эта ссылка на JYKU.FJO не единственная и простое вытирание буквосочетания jyku.fjo hvttt видимых результатов не даст и без использования уже названных сторонних системных и антивирусных утилит дело не обойдется. На сегодня 22 января 2010 года это все сведения, что я нашел в российском и зарубежном Интернете относительно JYKU.FJO. При поступлении новых данных буду оповещать в оперативном режиме.

© eavasi for БЕЛАЯ ШЛЯПА, 2010. |
Читать 12 комментов ">комментарии
2010/01/22
Подпишитесь на ленту блога RSS
Post tags: Internet Security, JYKU.FJO, Программы вымогатели

Связанные записи:

• 1500 посетителей в сутки на блог, возможно ли это? ₍₁₂₉₎ ^{(1 Февраль 2010)}
• Программы Вымогатели. Рецепты читателей. Лечение и Удаление ₍₅₉₎ ^{(5 Февраль 2010)}
• Программы-вымогатели. Классификация. Способы лечения ₍₄₃₎ ^{(18 Январь 2010)}
• Программы вымогатели. Психологическая атака ₍₁₈₎ ^{(19 Январь 2010)}
• Встретим кибер вымогателей 100% защищенными ₍₅₀₎ ^{(13 Февраль 2010)}
• СМС на номер 9800. Разблокировка порно баннера ₍₂₆₀₎ ^{(22 Февраль 2010)}
• Как избавиться от вредоносного кода на сайте ₍₃₁₎ ^{(5 Январь 2011)}
• Вирус Cryzip не только блокирует Windows, но и убивает файлы ₍₈₎ ^{(28 Март 2010)}
• Программы вымогатели. История проникновения ₍₃₎ ^{(20 Январь 2010)}

: JYKU.FJO — вирус или простое сочетание букв? БЕЛАЯ ШЛЯПА - новый блог, посвященный основам сайтостроения для чайников, реальным способам заработка в Интернете, методам продвижения и раскрутки сайта

Публикуя цикл статей о программах вымогателях, технологиях их обнаружения, обезвреживания и удаления, нельзя умолчать о том какое психологическое воздействие они оказывают на пользователя ради того, чтобы получить заветную СМС с деньгами.

Если вдуматься, то методы воздействия на психику человека, применяемые Интернет-мошенниками, ничем не отличаются от тех, которые используют преступники в обычной жизни. Цель такого воздействия – вывести пользователя из равновесия, напугать его, раздавить морально, подавить его волю и способность здраво рассуждать и трезво мыслить, поставить человека в такую психологическую ситуацию, в которой у него возникла бы иллюзия того, что нет другого способа выпутаться из клубка злоключений иначе, как заплатить мошеннику деньги.

Начнем с самого легкого – визуального воздействия.

По видам внешнего отображения баннеры программ вымогателей подразделяются:

1. Простые баннеры программ вымогателей;
Это баннеры с простым статичным монохромным или цветным окном с нанесенным на него текстом о требовании выкупа. Иногда на фон таких окон помещаются фотографии неприличного, порнографического содержания (порно баннеры), сцены насилия или убийства. Реже баннеры озвучиваются неприятными звуками, например, плачем ребенка или криком женщины.

2. Мигающие, рябящие баннеры программ вымогателей;
Фон таких баннеров состоит из мигающих геометрических фигур, часто меняющихся фонов кричащих цветов, с текстом контрастного заднику цвета. Цель таких баннеров вывести человека из равновесия, ввести его в состояние раздражения, возбудить в нем желание поскорее избавиться от картинки, которая вызывает боль и рябь в глазах. Подтолкнуть его к тому, чтобы он поскорее отправил СМС на короткий номер и тем самым уплатил выкуп злоумышленнику.

3. Анимационные баннеры программ вымогателей.
На анимационных баннерах обычно помещают сцены совокупления (порно баннеры), насилия, убийства. Всего того, что неприятно видеть пользователю или неудобно смотреть при посторонних, детях, коллегах по работе, родителях. Цель таких баннеров такая же, как и у вторых, вынудить человека побыстрее избавиться от него.
Также на анимационных баннерах помещают счетчики обратного отсчета времени, которые считают минуты до, якобы, запланированного краха жесткого диска или выхода из строя центрального процессора.

По видам психологического воздействия баннеры программ вымогателей могут быть:

1. Развлекающие баннеры программ вымогателей.
Такие баннеры могут при первом запуске предложить пользователю сыграть в какую-нибудь игру и в случае согласия, а также в случае отказа на смену этому предложению возникает баннер с предложением заплатить выкуп за разблокировку компьютера.

2. Пугающие баннеры программ вымогателей.
Эти баннеры очень распространены в российском Интернете и многообразие их не знает границ. Здесь действует трехэтапное классическое правило мошенников: 1. Напугать; 2. Нарисовать картинку ужасающего будущего; 3. Предложить выход из создавшегося положения.
Например, включается таймер обратного отсчета и текст: «До вывода из строя всех жестких дисков остается… Перезагрузка системы приведет к выгоранию центрального процессора. Чтобы это предотвратить, до окончания отсчета, вышлите SMS на короткий номер с сообщением…» (Trojan-Spy.Win32.Ransom.a)
Пользователь ставится в жесточайшие рамки, он ограничен временем, боится потерять данные на жестких дисках, да и сами диски. Только очень стойкие люди с железными нервами в состоянии оценить обстановку здраво в такой ситуации и удержаться от того, чтобы не посылать СМС, за которое с телефонного счета будет снято гораздо большая сумма, чем значится в сообщении.

Или такой текст: «При сохранении на свой компьютер видеороликов с детской порнографией, вы нарушили № статью Уголовного Кодекса Российской Федерации» Далее называется ведомство или ведомства, на крючке у которых якобы находится этот человек и следует предложение о плате за конфиденциальность этой информации, опять же СМС на короткий номер.

Бывает, что человеку сообщают мельчайшие технические подробности проблемы, которая возникла на его компьютере вследствие действия вредоносного программного обеспечения. Также ему говорят, что в данной ситуации Windows переустановить невозможно, но даже если вы попытаетесь это сделать, то это приведет к краху всего компьютера.

Некоторые баннеры программ вымогателей могут сымитировать синий экран, который появляется вследствие серьезной критической ошибки и требовать деньги за ее исправление. (Trojan-Ransom.Win32.Bluescreen)

Целая группа программ вымогателей устраивает провокации от имени известнейших разработчиков антивирусного софта, таких как Dr.WEB, Avast, Comodo, McCaffe, KAV и других. Среди таких и подробно описанный мною в нескольких статьях eKav Antivirus и Internet Security:

· Вирус со всплывающим окном. “eKAV антивирус” – программа-вымогатель eKav antivirus. СМС на короткий номер

· eKav antivirus – борьба, профилактика, последствия

· eKav antivirus — разблокировать и удалить навсегда!

· На смену eKav antivirus приходит новый вымогатель по имени Internet Security
Таковы, например Trojan-Ransom.Win32.SMSer.gi, Trojan-Ransom.Win32.Agent.as

3. Обманывающие баннеры программ вымогателей
Trojan-Ransom.Win32.Agent.am может предложить вам просто подтвердить, что вы не робот, отослав СМС на короткий номер. А другая программа вымогатель обвиняет вас в мошеннических действиях на страницах социальной сети ВКонтакте, и чтобы снять с вас все обвинения требует отослать SMS на четырехзначный номер.

Когда на вашем рабочем столе возникает порно баннер во весь экран с обвинениями в том, что вы замечены в частом посещении порнографических сайтов, у вас, скорее всего, не возникнет желания оправдываться перед системным администратором в том, что это не так. Вы предпочтете отправить СМС, только чтобы этого позорного сообщения никто не видел и не знал о нем, особенно, если этот грешок за вами действительно водится. Так поступает Trojan.Win32.BHO.ggz, а Trojan-Ransom.Win32.Pornoblocker на баннере, который скрыть невозможно предлагает вам оплатить СМС-кой заказанное вами же порнографическое видео. Кому будет приятно оправдываться, что это не так?

Естественно, что это только общие случаи и существуют еще тысячи видов вредоносных программ вымогателей, использующие экзотические методы обмана, запугивания и провокации пользователя, ради получения денежной прибыли. Но бизнес модель всех без исключения программ вымогателей остается неизменной: заблокировать – напугать – потребовать денег.

© eavasi for БЕЛАЯ ШЛЯПА, 2010. |
Читать 18 комментов ">комментарии
2010/01/19
Подпишитесь на ленту блога RSS
Post tags: eKAV антивирус, Internet Security, Trojan-Ransom, порно баннер, Программы вымогатели, смс на короткий номер

Связанные записи:

• Программы-вымогатели. Классификация. Способы лечения ₍₄₃₎ ^{(18 Январь 2010)}
• Программы Вымогатели. Рецепты читателей. Лечение и Удаление ₍₅₉₎ ^{(5 Февраль 2010)}
• СМС на номер 9800. Разблокировка порно баннера ₍₂₆₀₎ ^{(22 Февраль 2010)}
• Встретим кибер вымогателей 100% защищенными ₍₅₀₎ ^{(13 Февраль 2010)}
• Как убрать (удалить, разблокировать) порно баннер ₍₃₀₀₎ ^{(10 Январь 2010)}
• Программа RansomHide для удаления порно баннера. Все проще, чем кажется!!! ₍₄₂₎ ^{(25 Апрель 2010)}
• eKav antivirus – борьба, профилактика, последствия ₍₁₈₅₎ ^{(5 Январь 2010)}
• eKav antivirus — разблокировать и удалить навсегда! ₍₂₆₉₎ ^{(7 Январь 2010)}
• На смену eKav antivirus приходит новый вымогатель по имени Internet Security ₍₂₉₁₎ ^{(8 Январь 2010)}
• JYKU.FJO — вирус или простое сочетание букв? ₍₁₂₎ ^{(22 Январь 2010)}

: Программы вымогатели. Психологическая атака БЕЛАЯ ШЛЯПА - новый блог, посвященный основам сайтостроения для чайников, реальным способам заработка в Интернете, методам продвижения и раскрутки сайта

Программы вымогатели, что это такое, каков их механизм и какими средствами можно с ними бороться? Эти вопросы будоражат российский Интернет с середины 2009 года по сегодняшний день. В начале 2010 года я написал цикл статей о программах вымогателях класса Trojan-Ransom, к которым относятся многим печально известный «eKAV antivirus», «Internet Security» и многие другие, а также и порно баннеры.

Эти статьи вы найдете по следующим адресам:

· Вирус со всплывающим окном. “eKAV антивирус” – программа-вымогатель eKav antivirus. СМС на короткий номер

· eKav antivirus – борьба, профилактика, последствия

· eKav antivirus — разблокировать и удалить навсегда!

· На смену eKav antivirus приходит новый вымогатель по имени Internet Security

· Как убрать (удалить, разблокировать) порно баннер

По многочисленным просьбам моих благодарных читателей, в этой статье я даю классификацию вредоносного программного обеспечения, программ вымогателей, одолевающих рядовых российских пользователей всемирной сети Интернет на протяжении очень долгого времени. Более того, я считаю себя обязанным давать все больше и больше сведений по этому поводу, так как действие вредоносного ПО в последнее время приобретает масштабы вселенской эпидемии и стремится захватить компьютеры все большего числа ничего не подозревающих начинающих, средних и опытных пользователей.

Классификация программ вымогателей

По виду выполняемых действий вредоносные программы вымогатели подразделяются:

1. Программы вымогатели, ограничивающие доступ к сайтам;

2. Вредоносные программы, ограничивающие работу с браузером;

3. Программы вымогатели, блокирующие доступ к службам и функциям операционной системы;

4. Вредоносные программы, ограничивающие действия пользователя в операционной системе;

5. Программы вымогатели, шифрующие файлы на пользовательской машине.

Все перечисленные программы относятся к классу вредоносных программ Trojan-Ransom. Избавится от действия программ из пп.1 и 2 не представляет никакой сложности и может быть осуществлено вручную без помощи антивирусных приложений. С программами из пп.3 и 4 справится сложнее и, даже приходится прибегать к помощи специального программного обеспечения. Программы из п.5 чаще всего не поддаются разблокировке без помощи высококвалифицированных специалистов и дорогостоящего программного обеспечения.

Рассмотрим каждый пункт классификации вредоносных программ вымогателей в отдельности.

Программы вымогатели, ограничивающие доступ к сайтам

В случае, когда программа вымогатель ограничивает доступ к некоторым сайтам (как правило это социальная сеть «Одноклассники», «ВКонтакте», поисковые машины «Яндекс», «Google», сайты разработчиков антивирусов Касперского, Dr.WEB и многие другие, всего около трехсот доменных имен), мы встречаемся с действием вирусной программы Trojan-Ransom.BAT.Agent.c. Когда пользователь вводит адрес, который внесен в заблокированную базу, он получает перенаправление на сайт разработчика вредоносного ПО и видит примерно следующую надпись: «Ваш браузер заблокирован. Если Вы хотите разблокировать ваш компьютер и полноценно пользоваться сайтами необходимо отправить SMS” и далее следует окошко с предложением выбрать оператора сотовой сети и страну проживания пользователя.

В данном случае мы имеем дело с обычным файлом с расширением *.bat и размером всего 13 килобайт, изменяющим файл HOSTS, хранящийся на компьютере пользователя. Механика вредоносной работы такого файла мы рассмотрим в одной из следующих статей нашего блога.

Для достижения лучшего эффекта своей деятельности Trojan-Ransom.BAT.Agent.c модифицирует файл HOSTS таким образом, что пользователь оказывается не на сайте, адрес которого был введен в адресную строку браузера, а на странице злоумышленника, где выставляются требования для разблокировки компьютера и возврата к нормальной работе браузера выслать СМС на короткий номер с определенным текстом. Как оказывается ясным в дальнейшем, текст этого СМС абсолютно не важен для кибер-мошенника, потому что он изначально не собирался высылать вам код разблокировки, ему это просто не нужно и влечет для него лишние затраты.

Префиксы коротких, как правило четырехзначных, номеров, арендуются преступниками у операторов СМС биллинга. Цена за одну SMS определяется самим арендатором короткого номера и может быть ограничена только пределами его жадности и финансовых аппетитов. Чаще всего фактическая сумма взимаемая с пользователя за одну СМС значительно превышает ту, что указана в «информационном сообщении» на сайте, куда был перенаправлен посетитель.

Если клиент решает отослать SMS, то с его телефонного счета снимается сумма, заложенная злоумышленником при аренде короткого номера, а если средств на счету недостаточно, то они запишутся в долг и будут вычтены при следующем пополнении баланса телефонного счета.

Из этой суммы на счет Интернет-злоумышленника поступает только около сорока процентов от полученной обманным путем суммы, остальные деньги уходят на счета арендодателя короткого номера и СМС оператора. Полученные деньги вымогатель получает путем, личного или через посредников, обналичивания средств с кошельков известных систем виртуальных денег WebMoney, Яндекс.Деньги и других.

Программа-вымогатель Trojan-Ransom.Win32.Agent, в отличие от описанной выше действует более конкретно и целенаправленно. Она ограничивает вход посетителей, используя описанные технологии и психологические приемы, только на домен социальной сети vkontakte.ru.

Метод «лечения» программ-вымогателей, ограничивающих вход на некоторые сайты, очень прост и не затруднит даже неискушенного в компьютерных технологиях пользователя. Для разблокировки компьютера необходимо очистить файл HOSTS (%SYSTEM%\drivers\etc\hosts) и удалить из него при помощи любого текстового редактора все строчки, кроме 127.0.0.1 localhost. Кроме этого необходимо, безусловно, удалить и сам файл вредоносной программы-вымогателя, дабы не получить рецидива преступления, просканировав систему с помощью антивирусной программы с загруженными последними обновлениями или обратившись на любой онлайн сервис по борьбе с вредоносными программами, например virusinfo.info.

Вредоносные программы, ограничивающие работу с браузером

В случае с программами вымогателями, ограничивающими работу с браузером, в его окне возникает окно или баннер, часто порно баннер, без возможности его закрытия. Такой баннер сильно мешает или совсем не позволяет работать в окне обозревателя Интернет. В отличие от окон со всплывающей рекламой, работающими по технологии pop-up, к которым все давно привыкли и почти не обращают на них внимания, от таких баннеров невозможно избавиться стандартными методами. К таким вредоносным программам, как правило, относятся
Trojan-Ransom.Win32.Hexzone и Trojan-Ransom.Win32.BHO. Очень подробно мы описывали методы борьбы с такими программами в статье «Как убрать (удалить, разблокировать) порно баннер», но для более глубокого усвоения материала, кратко повторим, что для того, чтобы избавится от вредоносной программы, ограничивающей работу браузера необходимо:

— Открыть окно «Управление надстройками» из меню Сервис > Надстройки > Включение и отключение надстроек.

— Определить вредоносную надстройку среди списка в открывшемся окне. Обычно, это те надстройки, в колонке «Издатель» которых, либо ничего нет, либо значится надпись «Не проверено»

— Отключить найденные вредные надстройки, установив им статус «Отключено».

— Перезагрузить браузер, чтобы убедиться в том, что вредоносное дополнение больше не действует.

— Если описанные действия не помогли, скорее всего, было отключено не то дополнение, попробуйте поочередно отключать все надстройки из открывшегося списка и наверняка найдете нужную.

Более подробно об отключении и удалении вредоносных программ, мешающих работе браузера читайте в статье «­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­Как убрать (удалить, разблокировать) порно баннер

Программы вымогатели, блокирующие доступ к службам и функциям операционной системы

Этот вид программ-вымогателей подробно описан мной в статьях:

· Вирус со всплывающим окном. “eKAV антивирус” – программа-вымогатель eKav antivirus. СМС на короткий номер

· eKav antivirus – борьба, профилактика, последствия

· eKav antivirus — разблокировать и удалить навсегда!

· На смену eKav antivirus приходит новый вымогатель по имени Internet Security

К ним относится такой вид программ-вымогателей категории Trojan-Ransom, который не позволяет, при появлении окна с требованием «выкупа», ни закрыть само это окно, ни открыть никакие другие приложения, в том числе и «Диспетчер задач» Windows. Стандартные сочетания клавиш Windows перестают действовать, хотя сама клавиатура находится в рабочем состоянии. Курсор мыши двигается, но щелчки остаются без ответа. Если прибегнуть к простой перезагрузке машины кнопкой Reset, баннер вымогатель появится вновь, а данные несохраненные в прошлом сеансе будут утрачены навсегда. Кроме того, для удаления подобного вида программ в любом случае требуется перезагрузка компьютера.

Чтобы не потерять несохраненные данные, если компьютер находится в сетевом окружении, можно попробовать сделать следующее:

Инструкция №1.

— Запустить на удаленном компьютере командную оболочку cmd.exe

— Выполнить следующие команды:
wmic
/NODE:<имя компьютера>
/USER:<имя пользователя на атакованном компьютере>

— Ввести пароль на заблокированной машине

— В выведенном списке работающих процессов выбрать подозрительный, который не относится к Windows и запущенным программам пользователя, и выполнить команду: process where name=”<имя блокирующего процесса>” delete

— После завершения этого процесса на компьютере пользователя исчезнет баннер вымогатель. Далее надо провести действия по удалению программы-вымогателя с компьютера пользователя, описанные здесь.

Инструкция №2.

— Если баннер вымогатель появился не сразу, а после перезагрузки машины и нет опасности потерять несохраненные данные, перезагрузить компьютер, во время загрузки нажимать клавиш F8, до появления меню со списком режимов загрузки.

— Выбрать режим загрузки «Repair Your Computer» (Восстановление Вашего Компьютера);

— После ввода пароля, появится окно с диалогом, в котором необходимо выбрать пункт «System Restore»

— Начнет работать мастер восстановления системы, следуя указаниям которого, необходимо выбрать точку восстановления от той даты, когда компьютер нормально работал.

Инстукция №3.

— Если Инструкция №2 не помогла, то необходимо использовать способ ручного удаления вредоносного трояна при помощи Безопасного режима операционной системы Windows

— Перезагрузить компьютер, во время загрузки нажимать клавиш F8, до появления меню со списком режимов загрузки.

— Выбрать режим загрузки «Safe mode with Command Prompt» (Безопасный режим Загрузки с запуском командной строки)

— После загрузки Windows в этом режиме, появляется возможность запускать из командной строки любые приложения, с помощью которых возможно обезвредить вредоносное программное обеспечение. Для поиска названий процессов, которые необходимо будет удалить, воспользуйтесь другим, незараженным компьютером.

Инструкция №4.

— Если Безопасный режим отключен программой вымогателем, загрузите машину с загрузочного диска LiveCD, ERDCommander, Acronis или другого на ваш выбор.

— Найдите ветку реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

— Измените значение ключа Userinit на C:\Windows\system32\userinit.exe

— Удалите вирусный файл в Userinit

— Перезагрузите компьютер в нормальном режиме

Вредоносные программы, ограничивающие действия пользователя в операционной системе

Трояны семейства Trojan-Ransom, Trojan-Ransom.Win32.Krotten и Trojan-Ransom.Win32.Taras используют имеющуюся в Windows возможность изменять набор функций пользователей конкретной машины. В большинстве случаев после действия такой программы вымогателя, на зараженной машине можно запустить только один браузер, и то только для того, чтобы полюбоваться на сообщение о выкупе. Другие программы и процессы запустить не удастся, все функции пользователя будут блокированы.

Разблокировать действия таких троянов можно следуя инструкциям:

Инструкция №1

— Загрузитесь в безопасном режиме и войдите в систему под именем другого пользователя.

— Часто действия пользователя, отличного от того, который запустил программу-вымогателя, ничем не ограничены.

— Удалите аккаунт «зараженного» пользователя и создайте нового, под именем которого и продолжайте работать. Программа-вымогатель больше не должна ничем себя проявить. Программы такого типа изменяют системные настройки всего один раз запустившись.

— Об удалении программы-вымогателя читайте в статье по этой ссылке.

Инструкция №2

— На компьютере товарища скачайте из Интернета программку AVZ и сохраните ее на флэшке.

— Загрузитесь с загрузочного диска LiveCD, ERDCommander, Acronis или другого на ваш выбор.

— Скопируйте содержимое папки с утилитой AVZ с флэш-носителя на рабочий стол, переименуйте в скопированной папке файл AVZ.exe на iexplore.exe, таким образом замаскировав полезную нам программу под Internet Explorer, запуск которого обычно не блокируется.

— Перезагрузите машину и войдите в систему под именем заблокированного пользователя и запустите с рабочего стола программку AVZ из нового файла iexplore.exe

— Пользуясь интерфейсом программы выберете пункт меню «Восстановить систему», поставьте галочку на всех пунктах, кроме последнего и запустите процесс восстанволения.

— Когда работа будет закончена, перезагрузите машину. Все ограничения должны быть сняты.

Программы вымогатели, шифрующие файлы на пользовательской машине

Совсем необычный, но все более часто встречающийся в последнее время вид программ вымогателей, когда, вирус незаметно для пользователя шифрует файлы с важной информацией, как правило, это файлы с расширениями *.doc, *.docx, *.xls, *.xlsx, *.txt и прочие. Рядом с зашифрованным файлом, вернее в одной с ним директории, программа злоумышленник помещает текстовый файл с текстом условия выкупа, так поступает Trojan-Ransom.Win32.GPCode. Реже бывает, что баннер вымогателей помещается на обоях рабочего стола, это дело рук Trojan-Ransom.Win32.Encore. Зашифрованные файлы представляют из себя полную бессмыслицу, наполненную крякозябрами, прочитать ничего решительно невозможно. Самое часто встречающееся детище этого семейства — Trojan-Ransom.Win32.Gpcode . Программы-вымогатели группы Trojan-Ransom.Win32.Cryzip не мудрствуя лукаво помещают файлы с важной для пользователя информацией в архивы *.zip и закрывают их паролем, за который просят заплатить выкуп через платную СМС. А мошенники из группы Trojan-Ransom.Win32.Fixer предлагают «купить» специальную программку для расшифровки файлов. Сообщение об этом выскакивает как раз в тот момент, когда пользователь безуспешно пытается открыть скрытно зашифрованный файл. Оплату за свою программку для расшифровки файлов, мошенники, конечно же просят отправить через SMS.

Чтобы вылечить зашифрованные файлы самостоятельно нужно иметь сам троян и попытаться его распаковать, чтобы узнать способ шифрования и написать программу дешифровки. Если такое не под силу, то необходимо обращаться в службу технической поддержки любой антивирусной компании.

© eavasi for БЕЛАЯ ШЛЯПА, 2010. |
Читать 43 комментов ">комментарии
2010/01/18
Подпишитесь на ленту блога RSS
Post tags: eKAV антивирус, Internet Security, Trojan-Ransom, вредоносное по, Программы вымогатели

Связанные записи:

• eKav antivirus – борьба, профилактика, последствия ₍₁₈₅₎ ^{(5 Январь 2010)}
• Как убрать (удалить, разблокировать) порно баннер ₍₃₀₀₎ ^{(10 Январь 2010)}
• На смену eKav antivirus приходит новый вымогатель по имени Internet Security ₍₂₉₁₎ ^{(8 Январь 2010)}
• Программы вымогатели. История проникновения ₍₃₎ ^{(20 Январь 2010)}
• Встретим кибер вымогателей 100% защищенными ₍₅₀₎ ^{(13 Февраль 2010)}
• eKav antivirus — разблокировать и удалить навсегда! ₍₂₆₉₎ ^{(7 Январь 2010)}
• СМС на номер 9800. Разблокировка порно баннера ₍₂₆₀₎ ^{(22 Февраль 2010)}
• 1500 посетителей в сутки на блог, возможно ли это? ₍₁₂₉₎ ^{(1 Февраль 2010)}
• Как избавиться от вредоносного кода на сайте ₍₃₁₎ ^{(5 Январь 2011)}
• Программы Вымогатели. Рецепты читателей. Лечение и Удаление ₍₅₉₎ ^{(5 Февраль 2010)}

: Программы-вымогатели. Классификация. Способы лечения БЕЛАЯ ШЛЯПА - новый блог, посвященный основам сайтостроения для чайников, реальным способам заработка в Интернете, методам продвижения и раскрутки сайта