Авторитетнейшие информационные агентства сообщили о выходе 15 марта 2010 года свежей троянской программы вымогателя Cryzip. Новый троян упаковывает файлы на компьютере пользователя в архивы zip, защищает их паролем и за разблокировку требует деньги. Заражение трояном вымогателем происходит через порнографические сайты.

Не будет лишним напомнить, что прежние программы вымогатели Trojan-Ransom никак не затрагивали файлы пользователя, а просто или блокировали Windows, или загораживали часть экрана, никак не отражаясь на работе системы. Программы вымогатели “прошлого поколения” проявляли невероятную активность в начале 2010 года и к февралю их паразитическая деятельность пошла на спад. Вполне естественно, что кибер мошенники придумали что-то новое. И вот это “новое” выразилось в появлении новых троянов вымогателей серии Trojan-Ransom.Win32.Cryzip.c.

Проникнув на компьютер ничего не подозревающего пользователя троян вымогатель начинает расширенный поиск файлов по более чем двум десяткам популярных видов файлов, таким как *.rar, *.zip, *.pdf, *.txt, *.xls, *.rtf, *.doc, *.html, *.jpg, *.jpeg и другим. Для каждого обнаруженного файла программа создает архив RAR с именем «original_file_name» _crypt_.rar, а сам оригинальный файл удаляет так, что восстановить его не удается. Созданный архив ставится на пароль, за который авторы трояна просят отослать 2000 рублей с помощью СМС на короткий номер.

Вирус, подобный Trojan-Ransom.Win32.Cryzip.c. обнаружен не только в России, но и во многих странах западной и восточной Европы, а также Северной и Южной Америки. Распространение подобных программ вымогателей перестало быть национальной проблемой Российской Федерации, но переросло в мировое бедствие, бороться с которой настроено вся Интернет общественность.

Следите за новостями в рубрике Интернет на блоге Белая Шляпа и вы не пропустите самого важного в области защиты домашнего компьютера от многих напастей.

© eavasi for БЕЛАЯ ШЛЯПА, 2010. |
Читать 8 комментов ">комментарии
2010/03/28
Подпишитесь на ленту блога RSS
Post tags: Trojan-Ransom, Trojan-Ransom.Win32.Cryzip.c., Программы вымогатели, смс на короткий номер

Связанные записи:

• СМС на номер 9800. Разблокировка порно баннера ₍₂₆₀₎ ^{(22 Февраль 2010)}
• Программы вымогатели. История проникновения ₍₃₎ ^{(20 Январь 2010)}
• Встретим кибер вымогателей 100% защищенными ₍₅₀₎ ^{(13 Февраль 2010)}
• 1500 посетителей в сутки на блог, возможно ли это? ₍₁₂₉₎ ^{(1 Февраль 2010)}
• JYKU.FJO — вирус или простое сочетание букв? ₍₁₂₎ ^{(22 Январь 2010)}
• Как избавиться от вредоносного кода на сайте ₍₃₁₎ ^{(5 Январь 2011)}
• Программы вымогатели. Психологическая атака ₍₁₈₎ ^{(19 Январь 2010)}
• Программы Вымогатели. Рецепты читателей. Лечение и Удаление ₍₅₉₎ ^{(5 Февраль 2010)}
• Программы-вымогатели. Классификация. Способы лечения ₍₄₃₎ ^{(18 Январь 2010)}

: Вирус Cryzip не только блокирует Windows, но и убивает файлы БЕЛАЯ ШЛЯПА - новый блог, посвященный основам сайтостроения для чайников, реальным способам заработка в Интернете, методам продвижения и раскрутки сайта

Прошел месяц с момента начала публикации цикла статей по борьбе с программами вымогателями семейства Trojan Ransom, порно баннерами и графическими баннерами вымогателями, предлагающими оплатить разблокировку путем отсылки СМС на короткий номер с некоторым кодом. Взамен, по условиям Интернет мошенников, предлагается ввести код, пришедший в ответном СМС, для разблокировки компьютера и удаления баннера.

На каждую из статей Цикла о баннерах вымогателях пришло множество комментариев читателей. Большинство из них содержат слова благодарности за публикацию способов разблокировки и удаления. Я признателен этим читателям за то, что они не просто воспользовались советами, но еще и написали о результатах их применения. Меньшая часть комментариев содержит свои рецепты избавления от программ вымогателей семейства Trojan Ransom. Читателям, опубликовавшим свои инструкции по разблокировке, я очень благодарен и, более того, я решил в этой статье создать дайджест из их комментариев, так как все они разбросаны по девяти статьям Цикла и не очень удобны для использования. Здесь же мы соберем их в одном месте, отбросим лишнее и оставим только строгие инструкции по разблокировке программ вымогателей семейства Trojan Ransom и их окончательному удалению с компьютера или с адресами и номерами телефонов помощи. Причем удалению отведем большую часть внимания. Не будет утрачено ни одно имя пользователя, ни одна ссылка на блог или сайт, все это я оставлю как есть, убрав лишь слова, не относящиеся собственно к изучаемому предмету по лечению, удалению и разблокировке программ вымогателей и баннеров вымогателей семейства Trojan Ransom. Также компьютерный и Интернет жаргон будет переведен на русский язык, дабы люди, далекие от IT технологий, понимали, о чем идет речь и могли с легкостью следовать приведенным инструкциям.

Этот пост не будет сохранять первоначальное состояние, но напротив, станет постоянно пополняться значащими, стоящими и достойными инструкциями наших читателей по теме лечения, разблокировки и удаления программ и баннеров вымогателей. Безусловно, из уже опубликованных и из будущих наставлений не будут удалены никакие ссылки, так что, если кто-то хочет получить бесплатную ссылку с «Белой Шляпы», пожалуйста, пишите хорошие советы по указанной теме и пересылайте мне или оставляйте в комментариях к любой из статей Цикла, включая настоящую.

1. Комментарии с указанием адресов помощи.

knuckles (Как убрать (удалить, разблокировать) порно баннер)
Приглашение обращаться за паролями для некоторых баннеров по адресам: ICQ: 452-790-657, Mail agent: knucles90@mail.ru, Skype: knuckles1390

Den177 (На смену eKav antivirus приходит новый вымогатель по имени Internet Security)
Сообщает, номер бесплатного для всей России телефона, где могут помочь подобрать код разблокировки баннера вымогателя: 8-800-555-01-02

Игорь (eKav antivirus — разблокировать и удалить навсегда!)
Извещает о том, что создал инструкцию о том, как записать диск WinPE на flash накопительи использовать его в качестве загрузочного. Инструкция пригодится в случае отсутствия CD привода. igorka.com.ua/2010/01/20/...na-osnove-winpe/

StivDOBERMAN (Вирус со всплывающим окном. “eKAV антивирус” – программа-вымогатель eKav antivirus. СМС на короткий номер.)
Рекомендует в случае заражения компьютера звонить по следующим номерам:
495-363-14-27 доб.555 – для Жителей Москвы
8-800-555-01-02 – для других городов России (бесплатно)

2. Комментарии с инструкциями и руководствами к действию.

Natalia (JYKU.FJO — вирус или простое сочетание букв?)
После того, как NOD32 удалил подозрительный jyku.fjo, появляется окно с сообщением о невозможности загрузить динамическую библиотеку DLL и файл jyku.fjo не найден. Необходимо значение параметра SHELL ветки реестра HKLM\Software\Microsoft\WindowsNT\CurrentVersion \Winlogon\) заменить на стандартное Explorer.exe

Виктор (Как убрать (удалить, разблокировать) порно баннер)
Рассказывает, что боролся с порно баннером в браузере Opera простым восстановлением системы из резервной копии, созданной программой для резервного копирования Acronis.

seriych (На смену eKav antivirus приходит новый вымогатель по имени Internet Security)
Дает более подробную, чем в Посте пошаговую инструкцию о том, как избавиться от баннера вымогателя Internet Security:

1. Загрузиться с загрузочного диска LiveCD, который поддерживает работу с реестром, например Win PE

2. Загружаем в редакторе реестра ветку software, находящуюся по пути %windir%\system32\config\

3. Очищаем (оставляем его пустым) значение параметра AppInit_DLLs, находящегося в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

4. Находим ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

5. Если параметр Shell отличается от стандартного explorer.exe или Explorer.exe rundll32.exe, то удаляем его и параметру Sell присваиваем значение explorer.exe

6. Проверяем параметр Userinit и устанавливаем его значение равным C:\WINDOWS\system32\userinit.exe, (с запятой в конце)

7. Удаляем на всех локальных винчестерах в корне диска все файлы autorun.inf, autorun.exe

8. Делаем перезагрузку и сканируем систему программами ComboFix (www.bleepingcomputer.com/... -to-use-combofix) и CureIt (www.freedrweb.com/download+cureit/)

Роман Лихневский (Вирус со всплывающим окном. “eKAV антивирус” – программа-вымогатель eKav antivirus. СМС на короткий номер.)
Сообщает адрес разработанного им офлайнового генератора кодов для разблокировки баннеров вымогателей, разработанного им на основе исходного кода самого вируса. fileshare.in.ua/3089327

jora_good (На смену eKav antivirus приходит новый вымогатель по имени Internet Security)
Скачиваем последний LiveCD, удаляем файл nldk.yxo. После перезагрузки должны появляться сообщения о том, что файл nldk.yxo не найден. С помощью ERD Commander идем в реестр, правим параметр SHELL, присваивая ему значение Explorer.exe или Explorer.exe rundll32.exe Ищем и удаляем параметр AppInit_DLLs»="C:\\WINDOWS\\win.ini:ZJZX2WU7 в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Затем полное сканирование системы с помощью AVZ, если что-то подозрительное найдено, удалить. Дальше с помощью Regedit вычищаем все параметры Paths в HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\Paths После этого восстанавливаем диспетчер задач путем присваивания параметру REG_DWORD DisableTaskMgr значения равного 0, находится он в HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem

tipic (На смену eKav antivirus приходит новый вымогатель по имени Internet Security)

1. Скачиваем самый последний CureIt

2. На зараженном компьютере загружаемся с загрузочного диска или загрузочной флешки, которые можно взять по следующим адресам:

a. netzor.org/soft/warez/26390-mini-windowsxp-usb.html (для флеш накопителя)

b. devbuilds.kaspersky-labs.com/devbuilds/RescueDisk/kav_rescue_2008.iso (загрузочный диск от Лаборатории Касперского)

c. netzor.org/soft/32780-windows-xp-75mb-edition-2008-eng-predstavlyayu-vashemu-vnimaniyu-odnu-iz-samyx-malenkix-sborok-starushki-xr.html (для загрузочного CD)

3. Запускаем CureIt и сканируем C:\WINDOWS.

4. Все, что попало в карантин, удаляем

5. Сканируем полностью весь системный диск

6. Не выходя из системы, с помощью поиска находим и удаляем следующие файлы:
siszyd32.exe
av_md.exe restorer64_a.exe
sdra64.exe
C:\WINDOWS\TEMP\ — полностью очистить эту папку

zay 06 (На смену eKav antivirus приходит новый вымогатель по имени Internet Security)
Дает рекомендации для удаления вируса вымогателя Internet Security, которые сам он позаимствовал на forum.kaspersky.com/index.php?showtopic=148547:

1. Скачать образ narod.ru/disk/16822348000/rescuecd.iso.html и записать его на диск

2. Загрузится с полученного диска, если есть Интернет, обновить базы антивирусного модуля и просканировать систему

3. Далее по инструкции, находящейся в gorka.com.ua/2010/01/20/kak-sozdat-zagruzochnuyu-fleshku-na-osnove-winpe создать загрузочный диск WinPE

4. Загрузится с WinPE и полностью очистить папку C:\\Windows\Temp

5. Загрузится обычным способом

6. Любым способом удалить из автозагрузки все вирусные файлы, которые видно сразу

7. Через политики групп вручную подключаем диспетчер задач и редактор реестра

8. Все работает

Для очистки реестра от Internet Security делаем следующее:

1. Загружаем ERD Commander чистим ключи в редакторе реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows – удаляем значение параметра AppInit_DLLs
Очищаем автозагрузку от Autoruns
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon – параметр Shell выставляем равным explorer.exe

2. Перезагрузка

3. Запуск AVZ и восстановление системы с его помощью

Danila (На смену eKav antivirus приходит новый вымогатель по имени Internet Security)

1. Загружаемся с LiveCD с его альтернативным редактором системного реестра ERD Commander и WinPE

2. Удаляем значение параметра AppInit_DLLs в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

3. Запускаем CureIt, с его помощью удаляем им найденные самостоятельно файлы sdra64.exe, load*.exe, и много других вирусных файлов в C:\WINDOWS\system32\

4. Запускаем HijackThis, сканируем на предмет наличия строки REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe Если она есть, то удаляем, но в принципе после п.3 ее остаться не должно

5. Запускаем plstfix.exe

6. После перезагрузки функции диспетчера задач и редактора реестра становятся рабочими и полностью доступными

7. Из редактора реестра удаляем HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\Paths

Serenia (eKav antivirus — разблокировать и удалить навсегда!)
Советует вручную находить DLL (динамические библиотеки) и проверять их онлайн антивирусником от Лаборатории Касперского. Можно также искать вредные файлы по размеру, равному 131072 байта. Сообщает, что нашел новый файл принадлежащий вредоносной программе вымогателю noise.deu

IZELBOR (eKav antivirus — разблокировать и удалить навсегда!)
Если в реестре прописан параметр, запрещающий редактирование системного реестра, то можно воспользоваться приложением regworks или любой другой с похожим функционалом и в ветке HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System удалить параметр DisableRegistryTools, который чаще всего бывает скрыт и его приходится искать с помощью встроенного в приложение поиска.

Toxa (eKav antivirus — разблокировать и удалить навсегда!)
Рассказывает о том, что после удаления и чистки программы вымогателя Internet Security наблюдалась сильная загрузка процессора. Выяснилось, что нагрузку дает процесс svchost.exe. Через команду Выполнить > msconfig > автозагрузка нашел подозрительный файл syszyd32.exe, который и оказался загрузчикам вредоносного ПО, даже после удаления самой программы.

Игорь (eKav antivirus — разблокировать и удалить навсегда!)
Дает список файлов, принадлежащих к программе вымогателю Internet Security:

ckbnad.dll — C:\documents and settings\userprofile\Local Settings\Temp
fuighf.dll — C:\documents and settings\userprofile\Local Settings\Temp
olmueh.dll — C:\documents and settings\userprofile\Local Settings\Temp
pnaynv.dll — C:\documents and settings\userprofile\Local Settings\Temp
xaxyeg.dll — C:\documents and settings\userprofile\Local Settings\Temp
password.chm:QYMX8hknYYg9KMcgNR2 — C:\Windows\Help
nyyvepuid.dll — C:\Windows\System32
sdra64.exe — C:\Windows\System32
iuzyrt.dll — C:\Windows\Temp
ulbagz.dll — C:\Windows\Temp

И предупреждает, что во время удаления значения из параметра userinit в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, необходимо удалять только запись о вирусе. Например: C:\Windows\system32\sdra64.exe А запись C:\WINDOWS\system32\userinit.exe необходимо оставить как есть.

SW© (eKav antivirus – борьба, профилактика, последствия)
Предполагает, что если восстановить Windows из программы установки системы с дистрибутивом Windows, то вполне может быть, что вирус удалится. После восстановления необходимо просканировать систему антивирусной программой с новейшими базами. Скорее всего ранее установленное антивирусное программное обеспечение придется разблокировать и приводить в рабочее состояние. Для этого необходимо удалить ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\Paths Необходимо проверить в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon следующие значения параметров:

Shell=Explorer.exe
UIHost=logonui.exe
Userinit=E:\WINDOWS\system32\userinit.exe, (ЗАПЯТАЯ ОБЯЗАТЕЛЬНА!!!)

В ветках системного реестра, отвечающих за автозапуск, например, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run надо удалить все параметры со следующими записями:

Explorer.exe program.exe
Explorer.exe program.dll
Explorer.exe userini.exe
rundll32.exe program.exe
rundll32.exe program.dll
program.exe
program.dll

Visp (eKav antivirus – борьба, профилактика, последствия )
Рассказывает о том, что его система была заражена программой вымогателем Flash Video Decoder — Get Access. Предлагает способ для избавления от нее:

1. В BIOS (Basic Input Output System) изменить системную дату на один год назад, тогда заработает Интернет

2. Скачать программу Uninstall Gold

3. Через Uninstall Gold найти Flash Video Decoder — Get Access, находящийся в \\.\globalroot\systemroot\system32 , удалить ее и дать согласие на чистку системного реестра.

4. В реестре чистить ветку с ключами HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\CurrentVersion\App Management\ARPCache\{аааааааа-F03B-4b4) -A3D0-F62E04DD1C09}

© eavasi for БЕЛАЯ ШЛЯПА, 2010. |
Читать 59 комментов ">комментарии
2010/02/05
Подпишитесь на ленту блога RSS
Post tags: eKAV антивирус, Internet Security, JYKU.FJO, Trojan-Ransom, Программы вымогатели

Связанные записи:

• Программы-вымогатели. Классификация. Способы лечения ₍₄₃₎ ^{(18 Январь 2010)}
• Как избавиться от вредоносного кода на сайте ₍₃₁₎ ^{(5 Январь 2011)}
• eKav antivirus – борьба, профилактика, последствия ₍₁₈₅₎ ^{(5 Январь 2010)}
• Программы вымогатели. Психологическая атака ₍₁₈₎ ^{(19 Январь 2010)}
• Вирус Cryzip не только блокирует Windows, но и убивает файлы ₍₈₎ ^{(28 Март 2010)}
• Программы вымогатели. История проникновения ₍₃₎ ^{(20 Январь 2010)}
• Встретим кибер вымогателей 100% защищенными ₍₅₀₎ ^{(13 Февраль 2010)}
• eKav antivirus — разблокировать и удалить навсегда! ₍₂₆₉₎ ^{(7 Январь 2010)}
• СМС на номер 9800. Разблокировка порно баннера ₍₂₆₀₎ ^{(22 Февраль 2010)}
• JYKU.FJO — вирус или простое сочетание букв? ₍₁₂₎ ^{(22 Январь 2010)}

: Программы Вымогатели. Рецепты читателей. Лечение и Удаление БЕЛАЯ ШЛЯПА - новый блог, посвященный основам сайтостроения для чайников, реальным способам заработка в Интернете, методам продвижения и раскрутки сайта

У меня такое впечатление, что не писал я в Белую Шляпу целую вечность. Мне кажется, что забросил я своих читателей и скоро они начнут уходить от меня. Я знаю почему так кажется.
Во-первых, потому что последние месяцы прошлого 2009 года я писал для определенной, известной мне группы читателей. Некоторых из этих людей я знаю лично, с иными еженедельно общаюсь в Skype, а остальных могу, по крайней мере, представить себе силой воображения. Но весь январь 2010 года я занимался циклом статей, касающихся борьбы, разблокировки и удалению вредоносных программ вымогателей семейства Trojan-Ransom, которые в начале этого года стали одолевать пользователей в таких массовых масштабах, что даже самые осторожные подверглись их атаке, а беспечные пострадали многократно. Поэтому в несколько сот раз выросшая моя аудитория, в связи выходом этого цикла, была для меня обезличена, разношерстна и нельзя было предсказать ни возраст, ни темперамент, ни даже гражданство потенциального читателя. Был случай, что китайская девочка заинтересовалась одной из моих статей и мы общались в комментариях по-английски.
Во-вторых, за короткое время произошло со мной и с моим блогом много разных событий, приятных и не очень. Самое главное и самое противное происшествие, которое до сих пор не закончилось и все еще продолжается — это DDOS атака на «Белую Шляпу», организованная злоумышленниками, у которых известен только IP и, по моей отдельной настойчивой просьбе, отфильтрованная специальными серверными инструментами, службой поддержки моего хостера Джино
В-третьих, начиная с 3 января 2010 года и по сегодняшний день, благодаря циклу статей о программах вымогателях, посещаемость «Белой Шляпы» выросла с обычных 70-100 уникальных посетителей в сутки до 1500—2300 уник/сутки.

Эти вот три фактора и создали у меня иллюзию того, что целая временная пропасть разверзлась между этой и предыдущей статьями.
Как же изменился мой блог с начала этого года? Человеку, приходящему сюда ежедневно изменения вряд ли будут заметны. В самом начале января, как я и планировал, я заменил главный логотип Белой Шляпы и с его заменой стала, говорят, совсем другой и вся «Белая Шляпа». Я пытался придать помпезности и роскоши дизайну блога, не знаю удалось мне это или нет, судить моим читателям. Добавил шикарную рамку к фотографии Альфредо и защитил ее хрустальным стеклом. Фотографию Автора тоже заменил на менее легкомысленную и тоже обрамил ее золотой рамкой, очень люблю золото и с удовольствием ношу его на себе в большом количестве, и с помощью специальных php тегов ограничил появление ее только главной страницей, поскольку, при открытии отдельного поста в левом сайдбаре появляется аватар автора поста и чаще всего он совпадает с аватаром автора «Белой Шляпы», а это не совсем красиво, когда с обеих сторон красуется одинаковое изображение. Еще на стражу RSS ленты усадил двух попугаев, которые, впрочем, оба хорошие плуты. Один украл белую шляпу и держит ее в клюве, а второй кусок хлеба со стола Альфредо. Говорят, что попугаев на Кубе столько же, сколько ворон в России, а Альфредо же с Кубы, и теперь ему не скучно с этими двумя озорниками.
С повышением посещаемости было бы глупо не воспользоваться возможностью монетизировать хороший трафик и не так давно (с 26 января 2010) на Белой Шляпе стала показываться реклама тизерной сети VisiWeb, но тоже не на всех, а только на страницах отдельного поста. Вы спросите меня, как сделать так, чтобы какой нибудь контент не показывался на одном типе страниц блога на WordPress, но появлялся бы на другом. Делается это очень просто. Контент, который надо ограничить, необходимо поместить в следующий код:
<?php if (is_home ()) { ?>контент ограничиваемого блока<?php } ?>
где:
is_home () — показывать только на главной странице
is_single () — показывать на странице отдельного поста
is_archive () — показывать на странице архивов
is_page () — показывать на статичных страницах
Все эти параметры можно использовать как аргументы одной функции, разделяя их не запятыми а двумя вертикальными чертами. Например:
<?php if (is_home () || is_single () || is_archive ()) { ?>контент ограничиваемого блока<?php } ?> — обозначает, что контент будет показываться на главной странице, страницах постов и архивов, а на статичных страницах не будет отображаться. В качестве значений аргументов в круглых скобках можно использовать id постов и страниц и таким образом показывать контент не на всех страницах, а только на выбранных. Например: is_ single (1245, 3265, 5789) — обозначает, что контент будет показан только на страницах трех постов с id 1245, 3265 и 5789
Изменение, которое нельзя не заметить — это присоединение «Белой Шляпы» к глобальной сети Google Friens Connect. Любой блог принимается в эту сеть, если у его автора есть аккаунт в Google. Сервис сети предлагает для установки на блоги множество «гаджетов», среди которых глобальные Google комментарии, отображение портретов друзей в отдельном блоке, чат для друзей прямо на страницах блога, возможность выдавать на своем блоге OpenID и многие другие возможности. Вы заметили, что блока Google Friens Connect нет на главной странице, она показывается на всех остальных. Еще с главной страницы я убрал список ссылок и мелькающую рекламу сети BlogUpp, которая действует на нервы и отвлекает, но дает хороший трафик.
Чтобы попасть на страницу Google Friens Connect войдите по ссылке http://www.google.com/friendconnect/ и зарегистрируйте свой блог. После регистрации для вас откроется возможность пользоваться всем обилием инструментов, предоставляемым этой службой Google.

 

Ради справедливости, надо признаться, что гаджет Google Friens Connect, не всегда качественно подгружается, а иногда, даже, показывает вместо себя сообщение об ошибке. Но, надеюсь, это временно и все наладится.
В заключение этого обзора, я бы хотел попросить прощения у моих друзей, которые, может быть, подумали, что я забыл их. Я остаюсь верен своим принципам и обещаю, что никогда не дам повода обвинить себя в неблагодарности. Спасибо всем, кто со мной с самого начала, и каждому, кто был со мной в лихие дни января 2010, а особенно 22-24 числа, когда DDOS атака еще не была отфильтрована и «Белая Шляпа» лежала поверженной.

Хотел на этом и закончить, но вспомнил вот еще о чем. В Google появилась возможность из интерфейса Google Documents публиковать документы в блоге, если, конечно, он подключен к аккаунту. Зайдите по ссылке http://docs.google.com/, введите свои Логин и Пароль, создайте любой документ, нажмите на кнопку «Добавить в общие» вверху страницы и выберете «Опубликовать как ВЕБ страницу», далее жмите на кнопку, "Опубликовать в блоге

"

Этот пост опубликован именно из Google, описанным выше способом, потом, конечно, доработан из админки WordPress.

© eavasi for БЕЛАЯ ШЛЯПА, 2010. |
Читать 129 комментов ">комментарии
2010/02/01
Подпишитесь на ленту блога RSS
Post tags: Trojan-Ransom, блоги, выкуп трафика, посещаемость, Программы вымогатели, реклама, хостинг

Связанные записи:

• Firefox – коллекция плагинов. Наиболее полный набор дополнений к браузеру Mozilla FireFox, обязательных к загрузке и использованию ₍₄₎ ^{(5 Май 2009)}
• Как бесплатно сделать полноценный сайт ₍₁₎ ^{(9 Апрель 2009)}
• Модификация RSS ленты, как защита от воровства контента ₍₈₁₎ ^{(15 Ноябрь 2009)}
• Программы Вымогатели. Рецепты читателей. Лечение и Удаление ₍₅₉₎ ^{(5 Февраль 2010)}
• 31 декабря 2009 — время подводить итоги ₍₆₆₎ ^{(31 Декабрь 2009)}
• Дайджест комментариев Зайва Игоря Леонидовича на блоге Белая Шляпа ₍₈₎ ^{(19 Сентябрь 2009)}
• 1000$ с Блога – Реальность или сладкие сказки? ₍₁₈₁₎ ^{(17 Ноябрь 2009)}
• Мушкетерская закваска. Часть первая. Интервью с Петром Тарасевичем aka Наблюдатель ₍₅₃₎ ^{(6 Декабрь 2009)}
• Волшебное новогоднее настроение. Гадание на будущее блогов ₍₉₅₎ ^{(20 Декабрь 2009)}
• Итоги двухмесячного блоговодства. Раскрутка блога прошла успешно? ₍₄₎ ^{(30 Май 2009)}

: 1500 посетителей в сутки на блог, возможно ли это? БЕЛАЯ ШЛЯПА - новый блог, посвященный основам сайтостроения для чайников, реальным способам заработка в Интернете, методам продвижения и раскрутки сайта

Вирусы, трояны, Trojan-Ransom, трояны вымогатели, программы вымогатели, все эти понятия вошли в нашу жизнь не многим более 20 лет назад. Только вдумайтесь, всего двадцать лет назад, еще в 1988 году широкий потребитель компьютерных технологий и Интернет услуг не знал, что такое вирус, а тем более и помыслить не мог о таких понятиях, как программа вымогатель или троян вымогатель. Только одно поколение успело вырасти, закончить школу и всего лишь попробовать взрослую жизнь, за то время, пока компьютерные «черви», плод трудов недобросовестных «кибер-специалистов», настолько прочно вошли в нашу жизнь, работу, быт, что даже маленькие дети теперь в воспитательных целях устрашаются не милиционерами и мужиками с мешками, а компьютерными вирусами. Ну а люди постарше, те же подростки, студенты, люди среднего возраста за норму принимают спросить у товарища, когда тот передает ему простой телефонный рингтон по Bluetooth: «А ты там мне вместе с мелодией вирусов не накидаешь?!»

Двадцать лет назад в 1989 году, в то время, когда весь мир только что узнал о таком страшном явлении, как СПИД, в почтовых ящиках (простой наземной и авиа почты) американцев появился плотный почтовый конверт с компьютерной дискетой, инструкцией по использованию и лицензионным соглашением, которое, впрочем, мало кто удосуживался прочитать полностью. А зря! Надпись на дискете гласила, что это компьютерный тест, вычисляющий степень опасности заражения человека СПИДом, по его индивидуальным особенностям, выясняемым на основании ответов на вопросы. О возможности заразиться, а точнее избежать заражения губительным вирусом, разумеется, хотел узнать каждый. Люди не задумываясь о, ставших потом сенсацией, последствиях, устанавливали «тест» на свои компьютеры. Программа, как позже оказалось, вредоносная, говоря теперешним языком, программа вымогатель, активизировавшись, начинала отсчитывать девяносто запусков операционной системы, а потом зашифровывала важные файлы, блокировала систему и выдавала на экран предупреждение о том, что пора оплатить лицензию. Здесь, почти каждый прочитывал лицензию и с удивлением обнаруживал, что устанавливая программу, пользователь автоматически соглашается с оплатой программы, в противном случае, его компьютер будет заблокирован навсегда. Подобного рода заявления были в те времена редкостью. На выбор предлагалось два вида лицензии за $378 и $198. Платежную квитанцию необходимо было отослать на почтовый адрес, находящийся в Панаме. Удивительно и то, что пользователь мог отсрочить оплату путем установки программы на другой компьютер. Для этого на машине первого пользователя, в случае его согласия с отсрочкой на таких условиях, создавался специальный файл, который переносился на новый компьютер. На втором компьютере, в свою очередь, создавалась индексная пометка, при считывании которой, первый компьютер возобновлял свое действие. Однако работал он недолго и по прошествии совсем короткого времени вымогательское требование об оплате снова появлялось на экранах обманутых американских пользователей. Таким образом, программа AIDS получила в тот год очень широкое распространение. Это был первый в истории человечества случай компьютерного мошенничества, совершенный при помощи массового распространения программы вымогателя, способом, кажущимся теперь нам экзотическим и ненадежным – почта была обычная, а счета в банке бумажные. Надо признаться, что вымогатель был разоблачен и посажен за решетку, его имя нам теперь неизвестно, хотя должно было быть увековечено за первый опыт использования блокировки компьютера, с помощью программы вымогателя, в целях получения выкупа в обмен на то, чтобы «вернуть все как было», причем в масштабах федеральных!

Примерно в это же время стали появляться и в других странах программы игрушки, прототипы программ вымогателей, которые имитировали синий экран с критической ошибкой или выводили шуточное предупреждение о том, что через (работал таймер обратного отсчета) некоторое время все данные будут уничтожены. Бывали и такие программы шутники, которые переворачивали изображение на мониторе вниз головой, и заменяли его на какое-то свое. Эти программы распространялись между друзьями и знакомыми ради шутки, дарились на Дни рождений и корпоративные праздники. Тогда это были просто шутки, переросшие за два десятилетия в ужасающих масштабов эпидемию, затронувшую интересы чуть ли ни каждого пользователя персонального компьютера.

Нетематический обмен ссылками для продвижения под Rambler

© eavasi for БЕЛАЯ ШЛЯПА, 2010. |
Читать 3 комментов ">комментарии
2010/01/20
Подпишитесь на ленту блога RSS
Post tags: Trojan-Ransom, Программы вымогатели

Связанные записи:

• Программы Вымогатели. Рецепты читателей. Лечение и Удаление ₍₅₉₎ ^{(5 Февраль 2010)}
• Программы-вымогатели. Классификация. Способы лечения ₍₄₃₎ ^{(18 Январь 2010)}
• Программы вымогатели. Психологическая атака ₍₁₈₎ ^{(19 Январь 2010)}
• 1500 посетителей в сутки на блог, возможно ли это? ₍₁₂₉₎ ^{(1 Февраль 2010)}
• СМС на номер 9800. Разблокировка порно баннера ₍₂₆₀₎ ^{(22 Февраль 2010)}
• Вирус Cryzip не только блокирует Windows, но и убивает файлы ₍₈₎ ^{(28 Март 2010)}
• JYKU.FJO — вирус или простое сочетание букв? ₍₁₂₎ ^{(22 Январь 2010)}
• Как избавиться от вредоносного кода на сайте ₍₃₁₎ ^{(5 Январь 2011)}
• Встретим кибер вымогателей 100% защищенными ₍₅₀₎ ^{(13 Февраль 2010)}

: Программы вымогатели. История проникновения БЕЛАЯ ШЛЯПА - новый блог, посвященный основам сайтостроения для чайников, реальным способам заработка в Интернете, методам продвижения и раскрутки сайта

Публикуя цикл статей о программах вымогателях, технологиях их обнаружения, обезвреживания и удаления, нельзя умолчать о том какое психологическое воздействие они оказывают на пользователя ради того, чтобы получить заветную СМС с деньгами.

Если вдуматься, то методы воздействия на психику человека, применяемые Интернет-мошенниками, ничем не отличаются от тех, которые используют преступники в обычной жизни. Цель такого воздействия – вывести пользователя из равновесия, напугать его, раздавить морально, подавить его волю и способность здраво рассуждать и трезво мыслить, поставить человека в такую психологическую ситуацию, в которой у него возникла бы иллюзия того, что нет другого способа выпутаться из клубка злоключений иначе, как заплатить мошеннику деньги.

Начнем с самого легкого – визуального воздействия.

По видам внешнего отображения баннеры программ вымогателей подразделяются:

1. Простые баннеры программ вымогателей;
Это баннеры с простым статичным монохромным или цветным окном с нанесенным на него текстом о требовании выкупа. Иногда на фон таких окон помещаются фотографии неприличного, порнографического содержания (порно баннеры), сцены насилия или убийства. Реже баннеры озвучиваются неприятными звуками, например, плачем ребенка или криком женщины.

2. Мигающие, рябящие баннеры программ вымогателей;
Фон таких баннеров состоит из мигающих геометрических фигур, часто меняющихся фонов кричащих цветов, с текстом контрастного заднику цвета. Цель таких баннеров вывести человека из равновесия, ввести его в состояние раздражения, возбудить в нем желание поскорее избавиться от картинки, которая вызывает боль и рябь в глазах. Подтолкнуть его к тому, чтобы он поскорее отправил СМС на короткий номер и тем самым уплатил выкуп злоумышленнику.

3. Анимационные баннеры программ вымогателей.
На анимационных баннерах обычно помещают сцены совокупления (порно баннеры), насилия, убийства. Всего того, что неприятно видеть пользователю или неудобно смотреть при посторонних, детях, коллегах по работе, родителях. Цель таких баннеров такая же, как и у вторых, вынудить человека побыстрее избавиться от него.
Также на анимационных баннерах помещают счетчики обратного отсчета времени, которые считают минуты до, якобы, запланированного краха жесткого диска или выхода из строя центрального процессора.

По видам психологического воздействия баннеры программ вымогателей могут быть:

1. Развлекающие баннеры программ вымогателей.
Такие баннеры могут при первом запуске предложить пользователю сыграть в какую-нибудь игру и в случае согласия, а также в случае отказа на смену этому предложению возникает баннер с предложением заплатить выкуп за разблокировку компьютера.

2. Пугающие баннеры программ вымогателей.
Эти баннеры очень распространены в российском Интернете и многообразие их не знает границ. Здесь действует трехэтапное классическое правило мошенников: 1. Напугать; 2. Нарисовать картинку ужасающего будущего; 3. Предложить выход из создавшегося положения.
Например, включается таймер обратного отсчета и текст: «До вывода из строя всех жестких дисков остается… Перезагрузка системы приведет к выгоранию центрального процессора. Чтобы это предотвратить, до окончания отсчета, вышлите SMS на короткий номер с сообщением…» (Trojan-Spy.Win32.Ransom.a)
Пользователь ставится в жесточайшие рамки, он ограничен временем, боится потерять данные на жестких дисках, да и сами диски. Только очень стойкие люди с железными нервами в состоянии оценить обстановку здраво в такой ситуации и удержаться от того, чтобы не посылать СМС, за которое с телефонного счета будет снято гораздо большая сумма, чем значится в сообщении.

Или такой текст: «При сохранении на свой компьютер видеороликов с детской порнографией, вы нарушили № статью Уголовного Кодекса Российской Федерации» Далее называется ведомство или ведомства, на крючке у которых якобы находится этот человек и следует предложение о плате за конфиденциальность этой информации, опять же СМС на короткий номер.

Бывает, что человеку сообщают мельчайшие технические подробности проблемы, которая возникла на его компьютере вследствие действия вредоносного программного обеспечения. Также ему говорят, что в данной ситуации Windows переустановить невозможно, но даже если вы попытаетесь это сделать, то это приведет к краху всего компьютера.

Некоторые баннеры программ вымогателей могут сымитировать синий экран, который появляется вследствие серьезной критической ошибки и требовать деньги за ее исправление. (Trojan-Ransom.Win32.Bluescreen)

Целая группа программ вымогателей устраивает провокации от имени известнейших разработчиков антивирусного софта, таких как Dr.WEB, Avast, Comodo, McCaffe, KAV и других. Среди таких и подробно описанный мною в нескольких статьях eKav Antivirus и Internet Security:

· Вирус со всплывающим окном. “eKAV антивирус” – программа-вымогатель eKav antivirus. СМС на короткий номер

· eKav antivirus – борьба, профилактика, последствия

· eKav antivirus — разблокировать и удалить навсегда!

· На смену eKav antivirus приходит новый вымогатель по имени Internet Security
Таковы, например Trojan-Ransom.Win32.SMSer.gi, Trojan-Ransom.Win32.Agent.as

3. Обманывающие баннеры программ вымогателей
Trojan-Ransom.Win32.Agent.am может предложить вам просто подтвердить, что вы не робот, отослав СМС на короткий номер. А другая программа вымогатель обвиняет вас в мошеннических действиях на страницах социальной сети ВКонтакте, и чтобы снять с вас все обвинения требует отослать SMS на четырехзначный номер.

Когда на вашем рабочем столе возникает порно баннер во весь экран с обвинениями в том, что вы замечены в частом посещении порнографических сайтов, у вас, скорее всего, не возникнет желания оправдываться перед системным администратором в том, что это не так. Вы предпочтете отправить СМС, только чтобы этого позорного сообщения никто не видел и не знал о нем, особенно, если этот грешок за вами действительно водится. Так поступает Trojan.Win32.BHO.ggz, а Trojan-Ransom.Win32.Pornoblocker на баннере, который скрыть невозможно предлагает вам оплатить СМС-кой заказанное вами же порнографическое видео. Кому будет приятно оправдываться, что это не так?

Естественно, что это только общие случаи и существуют еще тысячи видов вредоносных программ вымогателей, использующие экзотические методы обмана, запугивания и провокации пользователя, ради получения денежной прибыли. Но бизнес модель всех без исключения программ вымогателей остается неизменной: заблокировать – напугать – потребовать денег.

© eavasi for БЕЛАЯ ШЛЯПА, 2010. |
Читать 18 комментов ">комментарии
2010/01/19
Подпишитесь на ленту блога RSS
Post tags: eKAV антивирус, Internet Security, Trojan-Ransom, порно баннер, Программы вымогатели, смс на короткий номер

Связанные записи:

• Вирус со всплывающим окном. “eKAV антивирус” – программа-вымогатель eKav antivirus. СМС на короткий номер ₍₂₂₄₎ ^{(3 Январь 2010)}
• Встретим кибер вымогателей 100% защищенными ₍₅₀₎ ^{(13 Февраль 2010)}
• Как убрать (удалить, разблокировать) порно баннер ₍₃₀₀₎ ^{(10 Январь 2010)}
• eKav antivirus — разблокировать и удалить навсегда! ₍₂₆₉₎ ^{(7 Январь 2010)}
• Программа RansomHide для удаления порно баннера. Все проще, чем кажется!!! ₍₄₂₎ ^{(25 Апрель 2010)}
• Как избавиться от вредоносного кода на сайте ₍₃₁₎ ^{(5 Январь 2011)}
• Программы-вымогатели. Классификация. Способы лечения ₍₄₃₎ ^{(18 Январь 2010)}
• Вирус Cryzip не только блокирует Windows, но и убивает файлы ₍₈₎ ^{(28 Март 2010)}
• eKav antivirus – борьба, профилактика, последствия ₍₁₈₅₎ ^{(5 Январь 2010)}
• На смену eKav antivirus приходит новый вымогатель по имени Internet Security ₍₂₉₁₎ ^{(8 Январь 2010)}

: Программы вымогатели. Психологическая атака БЕЛАЯ ШЛЯПА - новый блог, посвященный основам сайтостроения для чайников, реальным способам заработка в Интернете, методам продвижения и раскрутки сайта

Программы вымогатели, что это такое, каков их механизм и какими средствами можно с ними бороться? Эти вопросы будоражат российский Интернет с середины 2009 года по сегодняшний день. В начале 2010 года я написал цикл статей о программах вымогателях класса Trojan-Ransom, к которым относятся многим печально известный «eKAV antivirus», «Internet Security» и многие другие, а также и порно баннеры.

Эти статьи вы найдете по следующим адресам:

· Вирус со всплывающим окном. “eKAV антивирус” – программа-вымогатель eKav antivirus. СМС на короткий номер

· eKav antivirus – борьба, профилактика, последствия

· eKav antivirus — разблокировать и удалить навсегда!

· На смену eKav antivirus приходит новый вымогатель по имени Internet Security

· Как убрать (удалить, разблокировать) порно баннер

По многочисленным просьбам моих благодарных читателей, в этой статье я даю классификацию вредоносного программного обеспечения, программ вымогателей, одолевающих рядовых российских пользователей всемирной сети Интернет на протяжении очень долгого времени. Более того, я считаю себя обязанным давать все больше и больше сведений по этому поводу, так как действие вредоносного ПО в последнее время приобретает масштабы вселенской эпидемии и стремится захватить компьютеры все большего числа ничего не подозревающих начинающих, средних и опытных пользователей.

Классификация программ вымогателей

По виду выполняемых действий вредоносные программы вымогатели подразделяются:

1. Программы вымогатели, ограничивающие доступ к сайтам;

2. Вредоносные программы, ограничивающие работу с браузером;

3. Программы вымогатели, блокирующие доступ к службам и функциям операционной системы;

4. Вредоносные программы, ограничивающие действия пользователя в операционной системе;

5. Программы вымогатели, шифрующие файлы на пользовательской машине.

Все перечисленные программы относятся к классу вредоносных программ Trojan-Ransom. Избавится от действия программ из пп.1 и 2 не представляет никакой сложности и может быть осуществлено вручную без помощи антивирусных приложений. С программами из пп.3 и 4 справится сложнее и, даже приходится прибегать к помощи специального программного обеспечения. Программы из п.5 чаще всего не поддаются разблокировке без помощи высококвалифицированных специалистов и дорогостоящего программного обеспечения.

Рассмотрим каждый пункт классификации вредоносных программ вымогателей в отдельности.

Программы вымогатели, ограничивающие доступ к сайтам

В случае, когда программа вымогатель ограничивает доступ к некоторым сайтам (как правило это социальная сеть «Одноклассники», «ВКонтакте», поисковые машины «Яндекс», «Google», сайты разработчиков антивирусов Касперского, Dr.WEB и многие другие, всего около трехсот доменных имен), мы встречаемся с действием вирусной программы Trojan-Ransom.BAT.Agent.c. Когда пользователь вводит адрес, который внесен в заблокированную базу, он получает перенаправление на сайт разработчика вредоносного ПО и видит примерно следующую надпись: «Ваш браузер заблокирован. Если Вы хотите разблокировать ваш компьютер и полноценно пользоваться сайтами необходимо отправить SMS” и далее следует окошко с предложением выбрать оператора сотовой сети и страну проживания пользователя.

В данном случае мы имеем дело с обычным файлом с расширением *.bat и размером всего 13 килобайт, изменяющим файл HOSTS, хранящийся на компьютере пользователя. Механика вредоносной работы такого файла мы рассмотрим в одной из следующих статей нашего блога.

Для достижения лучшего эффекта своей деятельности Trojan-Ransom.BAT.Agent.c модифицирует файл HOSTS таким образом, что пользователь оказывается не на сайте, адрес которого был введен в адресную строку браузера, а на странице злоумышленника, где выставляются требования для разблокировки компьютера и возврата к нормальной работе браузера выслать СМС на короткий номер с определенным текстом. Как оказывается ясным в дальнейшем, текст этого СМС абсолютно не важен для кибер-мошенника, потому что он изначально не собирался высылать вам код разблокировки, ему это просто не нужно и влечет для него лишние затраты.

Префиксы коротких, как правило четырехзначных, номеров, арендуются преступниками у операторов СМС биллинга. Цена за одну SMS определяется самим арендатором короткого номера и может быть ограничена только пределами его жадности и финансовых аппетитов. Чаще всего фактическая сумма взимаемая с пользователя за одну СМС значительно превышает ту, что указана в «информационном сообщении» на сайте, куда был перенаправлен посетитель.

Если клиент решает отослать SMS, то с его телефонного счета снимается сумма, заложенная злоумышленником при аренде короткого номера, а если средств на счету недостаточно, то они запишутся в долг и будут вычтены при следующем пополнении баланса телефонного счета.

Из этой суммы на счет Интернет-злоумышленника поступает только около сорока процентов от полученной обманным путем суммы, остальные деньги уходят на счета арендодателя короткого номера и СМС оператора. Полученные деньги вымогатель получает путем, личного или через посредников, обналичивания средств с кошельков известных систем виртуальных денег WebMoney, Яндекс.Деньги и других.

Программа-вымогатель Trojan-Ransom.Win32.Agent, в отличие от описанной выше действует более конкретно и целенаправленно. Она ограничивает вход посетителей, используя описанные технологии и психологические приемы, только на домен социальной сети vkontakte.ru.

Метод «лечения» программ-вымогателей, ограничивающих вход на некоторые сайты, очень прост и не затруднит даже неискушенного в компьютерных технологиях пользователя. Для разблокировки компьютера необходимо очистить файл HOSTS (%SYSTEM%\drivers\etc\hosts) и удалить из него при помощи любого текстового редактора все строчки, кроме 127.0.0.1 localhost. Кроме этого необходимо, безусловно, удалить и сам файл вредоносной программы-вымогателя, дабы не получить рецидива преступления, просканировав систему с помощью антивирусной программы с загруженными последними обновлениями или обратившись на любой онлайн сервис по борьбе с вредоносными программами, например virusinfo.info.

Вредоносные программы, ограничивающие работу с браузером

В случае с программами вымогателями, ограничивающими работу с браузером, в его окне возникает окно или баннер, часто порно баннер, без возможности его закрытия. Такой баннер сильно мешает или совсем не позволяет работать в окне обозревателя Интернет. В отличие от окон со всплывающей рекламой, работающими по технологии pop-up, к которым все давно привыкли и почти не обращают на них внимания, от таких баннеров невозможно избавиться стандартными методами. К таким вредоносным программам, как правило, относятся
Trojan-Ransom.Win32.Hexzone и Trojan-Ransom.Win32.BHO. Очень подробно мы описывали методы борьбы с такими программами в статье «Как убрать (удалить, разблокировать) порно баннер», но для более глубокого усвоения материала, кратко повторим, что для того, чтобы избавится от вредоносной программы, ограничивающей работу браузера необходимо:

— Открыть окно «Управление надстройками» из меню Сервис > Надстройки > Включение и отключение надстроек.

— Определить вредоносную надстройку среди списка в открывшемся окне. Обычно, это те надстройки, в колонке «Издатель» которых, либо ничего нет, либо значится надпись «Не проверено»

— Отключить найденные вредные надстройки, установив им статус «Отключено».

— Перезагрузить браузер, чтобы убедиться в том, что вредоносное дополнение больше не действует.

— Если описанные действия не помогли, скорее всего, было отключено не то дополнение, попробуйте поочередно отключать все надстройки из открывшегося списка и наверняка найдете нужную.

Более подробно об отключении и удалении вредоносных программ, мешающих работе браузера читайте в статье «­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­Как убрать (удалить, разблокировать) порно баннер

Программы вымогатели, блокирующие доступ к службам и функциям операционной системы

Этот вид программ-вымогателей подробно описан мной в статьях:

· Вирус со всплывающим окном. “eKAV антивирус” – программа-вымогатель eKav antivirus. СМС на короткий номер

· eKav antivirus – борьба, профилактика, последствия

· eKav antivirus — разблокировать и удалить навсегда!

· На смену eKav antivirus приходит новый вымогатель по имени Internet Security

К ним относится такой вид программ-вымогателей категории Trojan-Ransom, который не позволяет, при появлении окна с требованием «выкупа», ни закрыть само это окно, ни открыть никакие другие приложения, в том числе и «Диспетчер задач» Windows. Стандартные сочетания клавиш Windows перестают действовать, хотя сама клавиатура находится в рабочем состоянии. Курсор мыши двигается, но щелчки остаются без ответа. Если прибегнуть к простой перезагрузке машины кнопкой Reset, баннер вымогатель появится вновь, а данные несохраненные в прошлом сеансе будут утрачены навсегда. Кроме того, для удаления подобного вида программ в любом случае требуется перезагрузка компьютера.

Чтобы не потерять несохраненные данные, если компьютер находится в сетевом окружении, можно попробовать сделать следующее:

Инструкция №1.

— Запустить на удаленном компьютере командную оболочку cmd.exe

— Выполнить следующие команды:
wmic
/NODE:<имя компьютера>
/USER:<имя пользователя на атакованном компьютере>

— Ввести пароль на заблокированной машине

— В выведенном списке работающих процессов выбрать подозрительный, который не относится к Windows и запущенным программам пользователя, и выполнить команду: process where name=”<имя блокирующего процесса>” delete

— После завершения этого процесса на компьютере пользователя исчезнет баннер вымогатель. Далее надо провести действия по удалению программы-вымогателя с компьютера пользователя, описанные здесь.

Инструкция №2.

— Если баннер вымогатель появился не сразу, а после перезагрузки машины и нет опасности потерять несохраненные данные, перезагрузить компьютер, во время загрузки нажимать клавиш F8, до появления меню со списком режимов загрузки.

— Выбрать режим загрузки «Repair Your Computer» (Восстановление Вашего Компьютера);

— После ввода пароля, появится окно с диалогом, в котором необходимо выбрать пункт «System Restore»

— Начнет работать мастер восстановления системы, следуя указаниям которого, необходимо выбрать точку восстановления от той даты, когда компьютер нормально работал.

Инстукция №3.

— Если Инструкция №2 не помогла, то необходимо использовать способ ручного удаления вредоносного трояна при помощи Безопасного режима операционной системы Windows

— Перезагрузить компьютер, во время загрузки нажимать клавиш F8, до появления меню со списком режимов загрузки.

— Выбрать режим загрузки «Safe mode with Command Prompt» (Безопасный режим Загрузки с запуском командной строки)

— После загрузки Windows в этом режиме, появляется возможность запускать из командной строки любые приложения, с помощью которых возможно обезвредить вредоносное программное обеспечение. Для поиска названий процессов, которые необходимо будет удалить, воспользуйтесь другим, незараженным компьютером.

Инструкция №4.

— Если Безопасный режим отключен программой вымогателем, загрузите машину с загрузочного диска LiveCD, ERDCommander, Acronis или другого на ваш выбор.

— Найдите ветку реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

— Измените значение ключа Userinit на C:\Windows\system32\userinit.exe

— Удалите вирусный файл в Userinit

— Перезагрузите компьютер в нормальном режиме

Вредоносные программы, ограничивающие действия пользователя в операционной системе

Трояны семейства Trojan-Ransom, Trojan-Ransom.Win32.Krotten и Trojan-Ransom.Win32.Taras используют имеющуюся в Windows возможность изменять набор функций пользователей конкретной машины. В большинстве случаев после действия такой программы вымогателя, на зараженной машине можно запустить только один браузер, и то только для того, чтобы полюбоваться на сообщение о выкупе. Другие программы и процессы запустить не удастся, все функции пользователя будут блокированы.

Разблокировать действия таких троянов можно следуя инструкциям:

Инструкция №1

— Загрузитесь в безопасном режиме и войдите в систему под именем другого пользователя.

— Часто действия пользователя, отличного от того, который запустил программу-вымогателя, ничем не ограничены.

— Удалите аккаунт «зараженного» пользователя и создайте нового, под именем которого и продолжайте работать. Программа-вымогатель больше не должна ничем себя проявить. Программы такого типа изменяют системные настройки всего один раз запустившись.

— Об удалении программы-вымогателя читайте в статье по этой ссылке.

Инструкция №2

— На компьютере товарища скачайте из Интернета программку AVZ и сохраните ее на флэшке.

— Загрузитесь с загрузочного диска LiveCD, ERDCommander, Acronis или другого на ваш выбор.

— Скопируйте содержимое папки с утилитой AVZ с флэш-носителя на рабочий стол, переименуйте в скопированной папке файл AVZ.exe на iexplore.exe, таким образом замаскировав полезную нам программу под Internet Explorer, запуск которого обычно не блокируется.

— Перезагрузите машину и войдите в систему под именем заблокированного пользователя и запустите с рабочего стола программку AVZ из нового файла iexplore.exe

— Пользуясь интерфейсом программы выберете пункт меню «Восстановить систему», поставьте галочку на всех пунктах, кроме последнего и запустите процесс восстанволения.

— Когда работа будет закончена, перезагрузите машину. Все ограничения должны быть сняты.

Программы вымогатели, шифрующие файлы на пользовательской машине

Совсем необычный, но все более часто встречающийся в последнее время вид программ вымогателей, когда, вирус незаметно для пользователя шифрует файлы с важной информацией, как правило, это файлы с расширениями *.doc, *.docx, *.xls, *.xlsx, *.txt и прочие. Рядом с зашифрованным файлом, вернее в одной с ним директории, программа злоумышленник помещает текстовый файл с текстом условия выкупа, так поступает Trojan-Ransom.Win32.GPCode. Реже бывает, что баннер вымогателей помещается на обоях рабочего стола, это дело рук Trojan-Ransom.Win32.Encore. Зашифрованные файлы представляют из себя полную бессмыслицу, наполненную крякозябрами, прочитать ничего решительно невозможно. Самое часто встречающееся детище этого семейства — Trojan-Ransom.Win32.Gpcode . Программы-вымогатели группы Trojan-Ransom.Win32.Cryzip не мудрствуя лукаво помещают файлы с важной для пользователя информацией в архивы *.zip и закрывают их паролем, за который просят заплатить выкуп через платную СМС. А мошенники из группы Trojan-Ransom.Win32.Fixer предлагают «купить» специальную программку для расшифровки файлов. Сообщение об этом выскакивает как раз в тот момент, когда пользователь безуспешно пытается открыть скрытно зашифрованный файл. Оплату за свою программку для расшифровки файлов, мошенники, конечно же просят отправить через SMS.

Чтобы вылечить зашифрованные файлы самостоятельно нужно иметь сам троян и попытаться его распаковать, чтобы узнать способ шифрования и написать программу дешифровки. Если такое не под силу, то необходимо обращаться в службу технической поддержки любой антивирусной компании.

© eavasi for БЕЛАЯ ШЛЯПА, 2010. |
Читать 43 комментов ">комментарии
2010/01/18
Подпишитесь на ленту блога RSS
Post tags: eKAV антивирус, Internet Security, Trojan-Ransom, вредоносное по, Программы вымогатели

Связанные записи:

• Программы вымогатели. Психологическая атака ₍₁₈₎ ^{(19 Январь 2010)}
• Как убрать (удалить, разблокировать) порно баннер ₍₃₀₀₎ ^{(10 Январь 2010)}
• Вирус со всплывающим окном. “eKAV антивирус” – программа-вымогатель eKav antivirus. СМС на короткий номер ₍₂₂₄₎ ^{(3 Январь 2010)}
• СМС на номер 9800. Разблокировка порно баннера ₍₂₆₀₎ ^{(22 Февраль 2010)}
• Вирус Cryzip не только блокирует Windows, но и убивает файлы ₍₈₎ ^{(28 Март 2010)}
• Программы вымогатели. История проникновения ₍₃₎ ^{(20 Январь 2010)}
• eKav antivirus – борьба, профилактика, последствия ₍₁₈₅₎ ^{(5 Январь 2010)}
• 1500 посетителей в сутки на блог, возможно ли это? ₍₁₂₉₎ ^{(1 Февраль 2010)}
• Как избавиться от вредоносного кода на сайте ₍₃₁₎ ^{(5 Январь 2011)}
• На смену eKav antivirus приходит новый вымогатель по имени Internet Security ₍₂₉₁₎ ^{(8 Январь 2010)}

: Программы-вымогатели. Классификация. Способы лечения БЕЛАЯ ШЛЯПА - новый блог, посвященный основам сайтостроения для чайников, реальным способам заработка в Интернете, методам продвижения и раскрутки сайта