Программы вымогатели, что это такое, каков их механизм и какими средствами можно с ними бороться? Эти вопросы будоражат российский Интернет с середины 2009 года по сегодняшний день. В начале 2010 года я написал цикл статей о программах вымогателях класса Trojan-Ransom, к которым относятся многим печально известный «eKAV antivirus», «Internet Security» и многие другие, а также и порно баннеры.

Эти статьи вы найдете по следующим адресам:

· Вирус со всплывающим окном. “eKAV антивирус” – программа-вымогатель eKav antivirus. СМС на короткий номер

· eKav antivirus – борьба, профилактика, последствия

· eKav antivirus — разблокировать и удалить навсегда!

· На смену eKav antivirus приходит новый вымогатель по имени Internet Security

· Как убрать (удалить, разблокировать) порно баннер

По многочисленным просьбам моих благодарных читателей, в этой статье я даю классификацию вредоносного программного обеспечения, программ вымогателей, одолевающих рядовых российских пользователей всемирной сети Интернет на протяжении очень долгого времени. Более того, я считаю себя обязанным давать все больше и больше сведений по этому поводу, так как действие вредоносного ПО в последнее время приобретает масштабы вселенской эпидемии и стремится захватить компьютеры все большего числа ничего не подозревающих начинающих, средних и опытных пользователей.

Классификация программ вымогателей

По виду выполняемых действий вредоносные программы вымогатели подразделяются:

1. Программы вымогатели, ограничивающие доступ к сайтам;

2. Вредоносные программы, ограничивающие работу с браузером;

3. Программы вымогатели, блокирующие доступ к службам и функциям операционной системы;

4. Вредоносные программы, ограничивающие действия пользователя в операционной системе;

5. Программы вымогатели, шифрующие файлы на пользовательской машине.

Все перечисленные программы относятся к классу вредоносных программ Trojan-Ransom. Избавится от действия программ из пп.1 и 2 не представляет никакой сложности и может быть осуществлено вручную без помощи антивирусных приложений. С программами из пп.3 и 4 справится сложнее и, даже приходится прибегать к помощи специального программного обеспечения. Программы из п.5 чаще всего не поддаются разблокировке без помощи высококвалифицированных специалистов и дорогостоящего программного обеспечения.

Рассмотрим каждый пункт классификации вредоносных программ вымогателей в отдельности.

Программы вымогатели, ограничивающие доступ к сайтам

В случае, когда программа вымогатель ограничивает доступ к некоторым сайтам (как правило это социальная сеть «Одноклассники», «ВКонтакте», поисковые машины «Яндекс», «Google», сайты разработчиков антивирусов Касперского, Dr.WEB и многие другие, всего около трехсот доменных имен), мы встречаемся с действием вирусной программы Trojan-Ransom.BAT.Agent.c. Когда пользователь вводит адрес, который внесен в заблокированную базу, он получает перенаправление на сайт разработчика вредоносного ПО и видит примерно следующую надпись: «Ваш браузер заблокирован. Если Вы хотите разблокировать ваш компьютер и полноценно пользоваться сайтами необходимо отправить SMS” и далее следует окошко с предложением выбрать оператора сотовой сети и страну проживания пользователя.

В данном случае мы имеем дело с обычным файлом с расширением *.bat и размером всего 13 килобайт, изменяющим файл HOSTS, хранящийся на компьютере пользователя. Механика вредоносной работы такого файла мы рассмотрим в одной из следующих статей нашего блога.

Для достижения лучшего эффекта своей деятельности Trojan-Ransom.BAT.Agent.c модифицирует файл HOSTS таким образом, что пользователь оказывается не на сайте, адрес которого был введен в адресную строку браузера, а на странице злоумышленника, где выставляются требования для разблокировки компьютера и возврата к нормальной работе браузера выслать СМС на короткий номер с определенным текстом. Как оказывается ясным в дальнейшем, текст этого СМС абсолютно не важен для кибер-мошенника, потому что он изначально не собирался высылать вам код разблокировки, ему это просто не нужно и влечет для него лишние затраты.

Префиксы коротких, как правило четырехзначных, номеров, арендуются преступниками у операторов СМС биллинга. Цена за одну SMS определяется самим арендатором короткого номера и может быть ограничена только пределами его жадности и финансовых аппетитов. Чаще всего фактическая сумма взимаемая с пользователя за одну СМС значительно превышает ту, что указана в «информационном сообщении» на сайте, куда был перенаправлен посетитель.

Если клиент решает отослать SMS, то с его телефонного счета снимается сумма, заложенная злоумышленником при аренде короткого номера, а если средств на счету недостаточно, то они запишутся в долг и будут вычтены при следующем пополнении баланса телефонного счета.

Из этой суммы на счет Интернет-злоумышленника поступает только около сорока процентов от полученной обманным путем суммы, остальные деньги уходят на счета арендодателя короткого номера и СМС оператора. Полученные деньги вымогатель получает путем, личного или через посредников, обналичивания средств с кошельков известных систем виртуальных денег WebMoney, Яндекс.Деньги и других.

Программа-вымогатель Trojan-Ransom.Win32.Agent, в отличие от описанной выше действует более конкретно и целенаправленно. Она ограничивает вход посетителей, используя описанные технологии и психологические приемы, только на домен социальной сети vkontakte.ru.

Метод «лечения» программ-вымогателей, ограничивающих вход на некоторые сайты, очень прост и не затруднит даже неискушенного в компьютерных технологиях пользователя. Для разблокировки компьютера необходимо очистить файл HOSTS (%SYSTEM%\drivers\etc\hosts) и удалить из него при помощи любого текстового редактора все строчки, кроме 127.0.0.1 localhost. Кроме этого необходимо, безусловно, удалить и сам файл вредоносной программы-вымогателя, дабы не получить рецидива преступления, просканировав систему с помощью антивирусной программы с загруженными последними обновлениями или обратившись на любой онлайн сервис по борьбе с вредоносными программами, например virusinfo.info.

Вредоносные программы, ограничивающие работу с браузером

В случае с программами вымогателями, ограничивающими работу с браузером, в его окне возникает окно или баннер, часто порно баннер, без возможности его закрытия. Такой баннер сильно мешает или совсем не позволяет работать в окне обозревателя Интернет. В отличие от окон со всплывающей рекламой, работающими по технологии pop-up, к которым все давно привыкли и почти не обращают на них внимания, от таких баннеров невозможно избавиться стандартными методами. К таким вредоносным программам, как правило, относятся
Trojan-Ransom.Win32.Hexzone и Trojan-Ransom.Win32.BHO. Очень подробно мы описывали методы борьбы с такими программами в статье «Как убрать (удалить, разблокировать) порно баннер», но для более глубокого усвоения материала, кратко повторим, что для того, чтобы избавится от вредоносной программы, ограничивающей работу браузера необходимо:

— Открыть окно «Управление надстройками» из меню Сервис > Надстройки > Включение и отключение надстроек.

— Определить вредоносную надстройку среди списка в открывшемся окне. Обычно, это те надстройки, в колонке «Издатель» которых, либо ничего нет, либо значится надпись «Не проверено»

— Отключить найденные вредные надстройки, установив им статус «Отключено».

— Перезагрузить браузер, чтобы убедиться в том, что вредоносное дополнение больше не действует.

— Если описанные действия не помогли, скорее всего, было отключено не то дополнение, попробуйте поочередно отключать все надстройки из открывшегося списка и наверняка найдете нужную.

Более подробно об отключении и удалении вредоносных программ, мешающих работе браузера читайте в статье «­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­Как убрать (удалить, разблокировать) порно баннер

Программы вымогатели, блокирующие доступ к службам и функциям операционной системы

Этот вид программ-вымогателей подробно описан мной в статьях:

· Вирус со всплывающим окном. “eKAV антивирус” – программа-вымогатель eKav antivirus. СМС на короткий номер

· eKav antivirus – борьба, профилактика, последствия

· eKav antivirus — разблокировать и удалить навсегда!

· На смену eKav antivirus приходит новый вымогатель по имени Internet Security

К ним относится такой вид программ-вымогателей категории Trojan-Ransom, который не позволяет, при появлении окна с требованием «выкупа», ни закрыть само это окно, ни открыть никакие другие приложения, в том числе и «Диспетчер задач» Windows. Стандартные сочетания клавиш Windows перестают действовать, хотя сама клавиатура находится в рабочем состоянии. Курсор мыши двигается, но щелчки остаются без ответа. Если прибегнуть к простой перезагрузке машины кнопкой Reset, баннер вымогатель появится вновь, а данные несохраненные в прошлом сеансе будут утрачены навсегда. Кроме того, для удаления подобного вида программ в любом случае требуется перезагрузка компьютера.

Чтобы не потерять несохраненные данные, если компьютер находится в сетевом окружении, можно попробовать сделать следующее:

Инструкция №1.

— Запустить на удаленном компьютере командную оболочку cmd.exe

— Выполнить следующие команды:
wmic
/NODE:<имя компьютера>
/USER:<имя пользователя на атакованном компьютере>

— Ввести пароль на заблокированной машине

— В выведенном списке работающих процессов выбрать подозрительный, который не относится к Windows и запущенным программам пользователя, и выполнить команду: process where name=”<имя блокирующего процесса>” delete

— После завершения этого процесса на компьютере пользователя исчезнет баннер вымогатель. Далее надо провести действия по удалению программы-вымогателя с компьютера пользователя, описанные здесь.

Инструкция №2.

— Если баннер вымогатель появился не сразу, а после перезагрузки машины и нет опасности потерять несохраненные данные, перезагрузить компьютер, во время загрузки нажимать клавиш F8, до появления меню со списком режимов загрузки.

— Выбрать режим загрузки «Repair Your Computer» (Восстановление Вашего Компьютера);

— После ввода пароля, появится окно с диалогом, в котором необходимо выбрать пункт «System Restore»

— Начнет работать мастер восстановления системы, следуя указаниям которого, необходимо выбрать точку восстановления от той даты, когда компьютер нормально работал.

Инстукция №3.

— Если Инструкция №2 не помогла, то необходимо использовать способ ручного удаления вредоносного трояна при помощи Безопасного режима операционной системы Windows

— Перезагрузить компьютер, во время загрузки нажимать клавиш F8, до появления меню со списком режимов загрузки.

— Выбрать режим загрузки «Safe mode with Command Prompt» (Безопасный режим Загрузки с запуском командной строки)

— После загрузки Windows в этом режиме, появляется возможность запускать из командной строки любые приложения, с помощью которых возможно обезвредить вредоносное программное обеспечение. Для поиска названий процессов, которые необходимо будет удалить, воспользуйтесь другим, незараженным компьютером.

Инструкция №4.

— Если Безопасный режим отключен программой вымогателем, загрузите машину с загрузочного диска LiveCD, ERDCommander, Acronis или другого на ваш выбор.

— Найдите ветку реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

— Измените значение ключа Userinit на C:\Windows\system32\userinit.exe

— Удалите вирусный файл в Userinit

— Перезагрузите компьютер в нормальном режиме

Вредоносные программы, ограничивающие действия пользователя в операционной системе

Трояны семейства Trojan-Ransom, Trojan-Ransom.Win32.Krotten и Trojan-Ransom.Win32.Taras используют имеющуюся в Windows возможность изменять набор функций пользователей конкретной машины. В большинстве случаев после действия такой программы вымогателя, на зараженной машине можно запустить только один браузер, и то только для того, чтобы полюбоваться на сообщение о выкупе. Другие программы и процессы запустить не удастся, все функции пользователя будут блокированы.

Разблокировать действия таких троянов можно следуя инструкциям:

Инструкция №1

— Загрузитесь в безопасном режиме и войдите в систему под именем другого пользователя.

— Часто действия пользователя, отличного от того, который запустил программу-вымогателя, ничем не ограничены.

— Удалите аккаунт «зараженного» пользователя и создайте нового, под именем которого и продолжайте работать. Программа-вымогатель больше не должна ничем себя проявить. Программы такого типа изменяют системные настройки всего один раз запустившись.

— Об удалении программы-вымогателя читайте в статье по этой ссылке.

Инструкция №2

— На компьютере товарища скачайте из Интернета программку AVZ и сохраните ее на флэшке.

— Загрузитесь с загрузочного диска LiveCD, ERDCommander, Acronis или другого на ваш выбор.

— Скопируйте содержимое папки с утилитой AVZ с флэш-носителя на рабочий стол, переименуйте в скопированной папке файл AVZ.exe на iexplore.exe, таким образом замаскировав полезную нам программу под Internet Explorer, запуск которого обычно не блокируется.

— Перезагрузите машину и войдите в систему под именем заблокированного пользователя и запустите с рабочего стола программку AVZ из нового файла iexplore.exe

— Пользуясь интерфейсом программы выберете пункт меню «Восстановить систему», поставьте галочку на всех пунктах, кроме последнего и запустите процесс восстанволения.

— Когда работа будет закончена, перезагрузите машину. Все ограничения должны быть сняты.

Программы вымогатели, шифрующие файлы на пользовательской машине

Совсем необычный, но все более часто встречающийся в последнее время вид программ вымогателей, когда, вирус незаметно для пользователя шифрует файлы с важной информацией, как правило, это файлы с расширениями *.doc, *.docx, *.xls, *.xlsx, *.txt и прочие. Рядом с зашифрованным файлом, вернее в одной с ним директории, программа злоумышленник помещает текстовый файл с текстом условия выкупа, так поступает Trojan-Ransom.Win32.GPCode. Реже бывает, что баннер вымогателей помещается на обоях рабочего стола, это дело рук Trojan-Ransom.Win32.Encore. Зашифрованные файлы представляют из себя полную бессмыслицу, наполненную крякозябрами, прочитать ничего решительно невозможно. Самое часто встречающееся детище этого семейства — Trojan-Ransom.Win32.Gpcode . Программы-вымогатели группы Trojan-Ransom.Win32.Cryzip не мудрствуя лукаво помещают файлы с важной для пользователя информацией в архивы *.zip и закрывают их паролем, за который просят заплатить выкуп через платную СМС. А мошенники из группы Trojan-Ransom.Win32.Fixer предлагают «купить» специальную программку для расшифровки файлов. Сообщение об этом выскакивает как раз в тот момент, когда пользователь безуспешно пытается открыть скрытно зашифрованный файл. Оплату за свою программку для расшифровки файлов, мошенники, конечно же просят отправить через SMS.

Чтобы вылечить зашифрованные файлы самостоятельно нужно иметь сам троян и попытаться его распаковать, чтобы узнать способ шифрования и написать программу дешифровки. Если такое не под силу, то необходимо обращаться в службу технической поддержки любой антивирусной компании.

© eavasi for БЕЛАЯ ШЛЯПА, 2010. |
Читать 43 комментов ">комментарии
2010/01/18
Подпишитесь на ленту блога RSS
Post tags: eKAV антивирус, Internet Security, Trojan-Ransom, вредоносное по, Программы вымогатели

Связанные записи:

• JYKU.FJO — вирус или простое сочетание букв? ₍₁₂₎ ^{(22 Январь 2010)}
• Программы вымогатели. История проникновения ₍₃₎ ^{(20 Январь 2010)}
• На смену eKav antivirus приходит новый вымогатель по имени Internet Security ₍₂₉₁₎ ^{(8 Январь 2010)}
• Встретим кибер вымогателей 100% защищенными ₍₅₀₎ ^{(13 Февраль 2010)}
• Вирус со всплывающим окном. “eKAV антивирус” – программа-вымогатель eKav antivirus. СМС на короткий номер ₍₂₂₄₎ ^{(3 Январь 2010)}
• Как убрать (удалить, разблокировать) порно баннер ₍₃₀₀₎ ^{(10 Январь 2010)}
• Программы Вымогатели. Рецепты читателей. Лечение и Удаление ₍₅₉₎ ^{(5 Февраль 2010)}
• Вирус Cryzip не только блокирует Windows, но и убивает файлы ₍₈₎ ^{(28 Март 2010)}
• eKav antivirus — разблокировать и удалить навсегда! ₍₂₆₉₎ ^{(7 Январь 2010)}
• СМС на номер 9800. Разблокировка порно баннера ₍₂₆₀₎ ^{(22 Февраль 2010)}

: Программы-вымогатели. Классификация. Способы лечения БЕЛАЯ ШЛЯПА - новый блог, посвященный основам сайтостроения для чайников, реальным способам заработка в Интернете, методам продвижения и раскрутки сайта

Большой интерес, вызванный моей статьей “Вирус со всплывающим окном. “eKAV антивирус” – программа-вымогатель eKav antivirus. СМС на короткий номер”, опубликованной 3 января 2010 г., стимулировал читателей публиковать свои способы разблокировки вредоносной программы-вымогателя “eKav antivirus” и многих ей подобных. Но сначала напомним о чем идет речь.

Суть дела

В последнее время, а особенно в конце 2009, начале 2010 годов активизировали свою позорную деятельность программы-вымогатели типа “eKav antivirus”. Появились программы такого типа, программы агрегаторы в апреле 2009 года, а к его концу получили устрашающее распространение. Загружаются программы-агрегаторы на компьютер пользователя принудительно и незаметно с помощью специального скрипта, кроящегося в исходном коде какого-нибудь сайта, на который пользователь заманивается обманным путем. Как правило заманить пользователя на подобного рода сайт можно, взломав аккаунт его друга в крупной социальной сети, например Вконтакте или Одноклассники, и написав от его имени сообщение типа “ты не видел его полжизни, а я его нашел, заходи на сайт…” и далее следует адрес, очень похожий на основной сайт, но отличающийся от него одним или двумя символами. Например odnoklasniki.ru или vkontqkte.ru

Загрузившись на компьютер пользователя, программа типа “eKav antivirus” “ждет” перезагрузки компьютера и запускается самостоятельно, не давая открывать никакие приложения и имитируя “бурную деятельность”, например, сканирование машины на предмет обнаружения троянов и вирусов. Перезагрузка компьютера, как правило, ничего не дает и приводит к новому запуску “eKav antivirus” и к новому “сканированию”. На баннере, который открывает программа, пишется “Внимание EKav Antivirus обнаружил вредоносное по на вашем компьютере” и далее предлагается отправить СМС на короткий четырехзначный номер, с текстом, например “К204414900”, чтобы полностью удалить найденные вирусы. Причем “создатели” “eKav antivirus”, утверждают, что это СМС обойдется пользователю всего в 10 рублей. На самом деле, код, приходящий в ответном СМС, если оно, конечно, приходит, оказывается нерабочим и СМС приходится отправлять еще и еще раз. И стоит каждое из таких сообщений далеко не 10 рублей, а намного дороже. В результате оказывается, что с телефонного счета жертвы мошенников снимается кругленькая сумма. Мне написали несколько моих читателей и сообщили, что с их телефонных аккаунтов было снято от 500 до 1500 рублей. Все зависело от того, когда человек понимал, что он обманут и в какой момент переставал посылать СМСки.

Борьба с “eKav antivirus”. Разблокировка.

В статье от 3 января 2010 г. , которая находится тут, я опубликовал способы разблокировки “eKav antivirus”, но мои читатели любезно предоставили мне еще несколько, и я спешу поделиться ими с теми, кто все еще находится в западне программы-вымогателя.

1. Очень многие сообщают, что им очень помог сервис команды антивируса Dr.WEB, находящийся здесь. Сервис бесплатный. Надо выбрать скриншот программы, которая атакует ваш компьютер, ввести текст сообщения, которое предлагается отправить по СМС и получить бесплатный код разблокировки программы-вымогателя. База данных этого сервиса постоянно пополняется. Безусловно то, что манипуляции с этим сервисом придется делать с чужого компьютера, так как на машине с работающим “eKav antivirus”, браузер запустить не удастся. Несомненно и то, что после разблокировки программы-агрегатора необходимо провести полную очистку системы и деинсталляцию самой программы-вымогателя, благо, что это можно сделать стандартными методами с помощью программ для деинсталляции приложений.
2. Огромное количество читателей сообщают способы самостоятельного подбора кода для разблокировки “eKav antivirus” и подобных ей программ. Евгений предлагает простой, но действенный способ вычисления кода. К каждой цифре сообщения надо добавить одинаковое число из ряда от 1 до 9, а букву К заменить на первое число кода. Например, вам предлагается выслать СМС с текстом К123456789, прибавьте к каждому из этих цифр, предположим 2, получится 345678912, а вместо К подставьте первую цифру получившегося кода, то есть 3. Если код не подходит, пытайтесь прибавить 3, потом 4 и так далее до 9.  Если в результате сложения получается двузначное число, скажем, 12, то обе его цифры тоже следует сложить, в нашем случае получится 3.  Этот способ помог очень многим и этому есть свидетели.
3. Читатель fdgd предложил таблицу для подбора кода для разблокировки программ-вымогателей, подобных “eKav antivirus”. В этой таблице все просто. В первом столбце выбирается цифра кода сообщения и заменяется на соответствующую цифру из любого из цветных столбцов. Для одного кода используются цифры только из одного цветного столбца. Если не помог первый столбец, переходите к следующему, один из девяти столбиков должен обязательно помочь.
4. Роман Лихневский из Киева, квалифицированный IT-шник и просто хороший человек предложил свой способ разблокировки. Он написал программу-генератор кода разблокировки на основании исходного кода программы-вымогателя. Отзывы об этом генераторе поступают положительные, поэтому я публикую ссылку на файлообменник, на который Роман выложил его.
   Скачать генератор кода разблокировки “eKav antivirus” и подобных ему программ можно тут.
5. Последний способ более кардинален, нежели предыдущие. Если ничего не получилось, переустановите ОС с полным форматированием системного диска. Но сначала попробуйте пп. 1-4 еще и еще раз!!!

Профилактика заражения “eKav antivirus” и другими подобными программами.

1. Пользуйтесь Файерволом. Он хотя бы предупредит вас о попадании в систему вредоносного ПО. Файерволов много. Есть платные и бесплатные, я предпочитаю бесплатный Comodo Firewall, качайте его тут.
2. С помощью программы Acronis (загружать тут) всегда держать “под рукой” образ работоспособной версии своей ОС, из которой можно в любой момент восстановить свою операционку со всеми установленными программами и их настройками и данными.
3. Не переходить по сомнительным ссылкам, а особенно тем, которые были получены на крупных социальных сетях.
4. При попадании на сайт со всплывающими окнами (технология PopUp), сразу же покинуть его, во избежании заражения компьютера вредоносными программами.
5. Постоянно сканировать систему с помощью программ для поиска вредоносного ПО, например Lavasoft Ad-Ware (тут)

Если Вы попали на деньги!

Если все же доверились мошенникам и отправили одно или несколько СМС и с вашего телефонного счета сняли несколько сотен рублей, вам необходимо пойти в районную прокуратуру по месту жительства и подать заявление примерно следующего содержания:

Прокурору Деникинского района г. Царицына
Иванова Сергея Моисеевича, проживающего
по адресу: г. Царицын, ул. Колчака, д.19, кв. 18,
тел. 1917—1918-10, моб. +7-918-ХХ-ХХХ-10,
паспорт 5703 № 000000, выдан УВД Деникинского
района г. Царицына 7 ноября 1997 г.

заявление

Я, Иванов Сергей Моисеевич, настоящим сообщаю, что 10.01.10 я был подвергнут мошенническим действиям со стороны неизвестных мне лиц, путем вымогательства у меня с помощью компьютерной программы “eKav antivirus”, которая была установлена на мой компьютер через компьютерную сеть Интернет без  моего ведома. Названная программа полностью блокировала мой компьютер и не давала возможности запустить ни одно компьютерное приложение. Для разблокировки компьютера программа предложила мне отправить сообщение СМС с моего мобильного телефона на номер 4561 с текстом К123456789. Это СМС сообщение было мною отослано, в результате чего с моего счета было снято 900 рублей, а код присланный мне в ответном СМС сообщении не разблокировал программу “eKav antivirus”.
Прошу Вас привлечь к уголовной ответственности производителей этой программы и за их счет возместить мне материальный вред в размере 900 рублей и моральный вред  в размере 18’000 рублей.

Дата
Подпись

© eavasi for БЕЛАЯ ШЛЯПА, 2010. |
Читать 185 комментов ">комментарии
2010/01/05
Подпишитесь на ленту блога RSS
Post tags: eKAV антивирус, вредоносное по, программы-агрегаторы

Связанные записи:

• Программы-вымогатели. Классификация. Способы лечения ₍₄₃₎ ^{(18 Январь 2010)}
• Как убрать (удалить, разблокировать) порно баннер ₍₃₀₀₎ ^{(10 Январь 2010)}
• eKav antivirus — разблокировать и удалить навсегда! ₍₂₆₉₎ ^{(7 Январь 2010)}
• Вирус со всплывающим окном. “eKAV антивирус” – программа-вымогатель eKav antivirus. СМС на короткий номер ₍₂₂₄₎ ^{(3 Январь 2010)}
• Программы Вымогатели. Рецепты читателей. Лечение и Удаление ₍₅₉₎ ^{(5 Февраль 2010)}
• Программы вымогатели. Психологическая атака ₍₁₈₎ ^{(19 Январь 2010)}
• На смену eKav antivirus приходит новый вымогатель по имени Internet Security ₍₂₉₁₎ ^{(8 Январь 2010)}

: eKav antivirus – борьба, профилактика, последствия БЕЛАЯ ШЛЯПА - новый блог, посвященный основам сайтостроения для чайников, реальным способам заработка в Интернете, методам продвижения и раскрутки сайта

Начало 2010 года было ознаменовано для меня неприятным событием, связанным с моим компьютером.

Суть проблемы

Когда 1 января 2010 года я включил компьютер, на экране показался баннер почти во весь экран, оповещающий меня о том, что в системе обнаружено 57 вирусов и для того, чтобы их удалить я должен отправить СМС с каким-то текстом на короткий номер, причем, утверждалось, что СМС обойдется мне всего в 10 р. ($0.33). Текст сообщения на баннере был такой: «Внимание eKAV антивирус обнаружил вредоносное ПО» и далее следовал длинный список “троянов” с локальными путями к ним. Скриншот баннера мне снять удалось несколько позже, после ухода проблемы, так как никакие программы не запускались, всякая попытка открыть любое приложение приводила к повторному “сканированию” системы. Мысли о том, чтобы отправить СМС и потратить деньги у меня не появлялось – понятно было, что это обман через занесенное в систему вредоносное программное обеспечение. Один раз я попадался на эту удочку и теперь я “воробей стрелянный”, второго раза не будет. Понятно, что 10-ю рублями дело бы не ограничилось, со счета были бы сняты все деньги и я бы еще остался должен. Говорят, что за такую СМС с телефонных счетов пользователей “уплывали” многие тысячи рублей, это зависит, видимо, от аппетитов и наглости злоумышленников.

Решение проблемы было найдено быстро – я снес Windows и установил новую. Естественно, что я не успел сделать резервные копии настроек большинства приложений и их настройка после установки новой копии Windows заняла почти два дня и на момент написания этой статьи еще не закончена.

При исследовании вопроса, я выяснил, что текст на баннерах может быть совершенно разный. Например там может быть крикливая надпись о том, что на вашем компьютере установлена нелицензионная Windows, или что с вашего компьютера постоянно осуществляется доступ на порносайты и материалы с изображением малолетних детей и с использованием насилия хранятся на вашем компьютере, что противоречит УК РФ. А может быть и совсем просто – сообщение о том, что ваш компьютер заблокирован без объяснения причин, и все. Может быть еще и другой вариант, когда пользователь собирается посмотреть онлайн какой-то фильм, как правило пиратскую его копию, и при нажатии на кнопку “Воспроизведение” появляется сообщение о том, что на компьютере пользователя не установлены драйверы для просмотра этого “нового” формата, с предложением тут же бесплатно их установить. Если пользователь соглашается, то вместо драйверов на его машину устанавливается программа-вымогатель.

Откуда что берется?

Проведя исследование вопроса я выяснил, что подобное вредоносное ПО очень легко можно “подцепить” на самых популярных сайтах в рунете “Одноклассники”, “В Контакте”, “Мой Мир” и многие “веселые” сайты с адалт-содержимым, то есть, проще говоря, порносайты.

Схема такая: взламывается аккаунт друга, который редко посещает сеть и с него распространяется сообщение вида “Привет, зайди по адресу: vkantakte.ru/id4578 или odnaklassniki.ru/?id1235, там фотография очень знакомого тебе человека, который хочет с тобой увидеться!” Адрес знакомый, но внимательный человек заметит, что одна буква изменена. Это адрес сайта, в исходный код которого встроен вредоносный скрипт, который без ведома пользователя устанавливает на его машину программу, которая будет вымогать деньги. Подобного рода явления можно встретить на всех крупных социальных сетях. Не заходите по таким адресам, это нанесет вред вашему компьютеру!!!

На сайтах с порнографическим содержанием (мы умолчим здесь о нравственности) все происходит немного по-другому, но тоже очень просто. Пользователь открывает страницу с вожделенным содержимым, но поверх нее возникает другая страница, предлагающая перейти на такой-то сайт. Закрыть это окошко невозможно, ибо таково ее предназначение, во что бы то ни стало перенаправить вас на сайт-мошенник, технология эта давно известна и называется в народе POP-UP. Порно-картинки, естественно, посмотреть очень хочется и пользователю ничего не остается делать, как перейти на предлагаемый сайт, где тот же самый скрипт самостоятельно устанавливает на его компьютер вредную программу. Бороться с этим можно с помощью встроенных в браузеры или сторонних средств подавления всплывающих окон. В браузере Mozilla Firefox, например, эта функция прекрасно реализуется с помощью дополнения AdBlock Plus.

Как с этим бороться?

Способы борьбы с программами-вымогателями есть и они описаны на специальных форумах. Вот самые простые из тех, что я смог выискать.

1. Переустановить Windows с форматированием системного диска. Этот способ хорош для тех, кто не ленится делать резервные копии настроек всех своих программ и хранит данные на тех дисках, на которых не установлена операционная система, в противном случае, придется потратить массу времени на настройку любимых программ, как это пришлось делать мне.
2. С помощью компьютера друга (товарища, брата, соседа) зайти на сайт Dr.WEB по адресу: http://news.drweb.com/show/?i=304&c=5 и там подобрать бесплатно код для разблокировки компьютера без отправки СМС. Многим это помогало и база Dr.WEB постоянно пополняется.
3. Заранее установить программу  jv16 Power Tools с помощью которой деинсталлировать программу-вымогатель, которая по сути своей является не совсем вирусом и имеет возможность быть деинсталлированной. Подойдет даже пробная версия платной программы jv16 Power Tools
4. Можно попробовать подобрать код активации. Вас просят прислать сообщение с текстом “К205414200” код активации — 4427636422. Обратите внимание, к каждой цифре, +2. Подбором, вы сможете вбить код активации и для своего вируса, это может быть +1, +2, +3 и т.д. к каждой цифре. Внимание, если у вас +7, например, и получаются десятичные, округляйте до простых путем сложения. Например: 5+7=12, далее 1+2=3. Искомое число 3. «K» может быть любой цифрой, но чаще всего «K» = первой цифре в коде активации.
5. После использования всех способов необходимо полностью очистить систему любым доступным антивирусом.

Выводы.

Подобный вид мошенничества появился в апреле 2009 года и только в последнее время получил огромное распространение. Несколько моих знакомых попадались на эту же удочку и отправляли СМС, у обоих было снять с телефонного счета около 500 руб. Если учесть то, что в ответном СМС приходит нерабочий код и СМС надо отправлять снова, да еще с учетом массовости этого явления, можно примерно посчитать прибыли мошенников. Они исчисляются миллионами!

© eavasi for БЕЛАЯ ШЛЯПА, 2010. |
Читать 224 комментов ">комментарии
2010/01/03
Подпишитесь на ленту блога RSS
Post tags: eKAV антивирус, браузеры, вредоносное по, резервные копии настроек

Связанные записи:

• Программы Вымогатели. Рецепты читателей. Лечение и Удаление ₍₅₉₎ ^{(5 Февраль 2010)}
• Программы вымогатели. Психологическая атака ₍₁₈₎ ^{(19 Январь 2010)}
• Программы-вымогатели. Классификация. Способы лечения ₍₄₃₎ ^{(18 Январь 2010)}
• Firefox — любимый браузер блоггера и ошибка "400 Bad Request. nginx/0.4.14" ₍₂₄₎ ^{(12 Декабрь 2009)}
• eKav antivirus — разблокировать и удалить навсегда! ₍₂₆₉₎ ^{(7 Январь 2010)}
• eKav antivirus – борьба, профилактика, последствия ₍₁₈₅₎ ^{(5 Январь 2010)}
• На смену eKav antivirus приходит новый вымогатель по имени Internet Security ₍₂₉₁₎ ^{(8 Январь 2010)}
• Как убрать (удалить, разблокировать) порно баннер ₍₃₀₀₎ ^{(10 Январь 2010)}

: Вирус со всплывающим окном. “eKAV антивирус” – программа-вымогатель eKav antivirus. СМС на короткий номер БЕЛАЯ ШЛЯПА - новый блог, посвященный основам сайтостроения для чайников, реальным способам заработка в Интернете, методам продвижения и раскрутки сайта