Автор | Сообщение |
Maksimov
Передовик
Сообщения: 2154
|
Лаборатория Касперского - запускает сервис борьбы с «смс-вымогателями»
http://support.kaspersky.ru/viruses/deblocker
Участившиеся в последнее время случаи «вымогания» денег у пользователей при помощи программ класса Trojan-Ransom, блокирующих компьютер и предлагающих отправить платную СМС на определенный номер, вынудили «Лабораторию Касперского» для борьбы с мошенниками создать специальный бесплатный сервис.
Отличие вредоносных программ класса Trojan-Ransom от других вредоносных приложений заключается в их изначальной коммерческой направленности. Каждая программа такого поведения является инструментом для получения денег киберпреступниками с обычных пользователей. Используя новый сервис, нужно указать номер телефона, на который предлагают отправить СМС, а также текст сообщения, которое требуют отправить на этот номер. Взамен на номер отправителя будет выслан код, позволяющий разблокировать компьютер.
действительно все работает – настырное сообщение исчезает и можно продолжать серфинг. Не попадайтесь. |
|
iga
Заместитель Администратора
Сообщения: 12451
|
это работает? имею ввиду в реалии. у меня на одном рабочем компе (работа чудо-практиканта) висит порно банер. срок 30 дней (ориентировачно в середине января и заканчивается). дабы не загубить одну важную прогу, комп не рушу. - - - - - - - - - На форуме ESpec 2 388 021 сообщений в 225 916 темах.
|
|
Kolupalkin
Завсегдатай
Сообщения: 914
|
iga писал: | это работает? имею ввиду в реалии. у меня на одном рабочем компе (работа чудо-практиканта) висит порно банер. срок 30 дней (ориентировачно в середине января и заканчивается). дабы не загубить одну важную прогу, комп не рушу. |
Это который СМС за деньги хочет,так это детский сад -
за 30 сек лечится. Оно первый раз страшно ,потом привык.
Скриншот вставь . |
|
RomanRB
Модератор
Сообщения: 29338
|
Цитата: | Рассмотрим в качестве примера конкретную разновидность — Trojan-Ransom.Win32.Krotten.hu. Исполняемый файл вредоносной программы имеет размер 139 КБ. Иконка файла визуально похожа на иконку самораспаковывающегося RAR-архива. В случае запуска данная вредоносная программа выполняет набор операций, характерный для всего семейства Krotten:
1. Создает политику ограниченного использования программ (ключ реестра [Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun\]), блокируя запуск всех приложений, кроме thebat.exe, msimn.exe, iexplore.exe, MyIE.exe, Maxthon.exe, sbrowser.exe, absetup.exe, avant.exe, Photo.exe, notepad.exe, WinRAR.exe и WINZIP32.EXE.
2. Блокирует запуск UsbStor (это важный системный драйвер — «Драйвер запоминающих устройств для USB»), нарушая тем самым работу с flash-накопителями.
3. «Безобразничает» с настройками «Проводника» (в частности, отключает отображение меню «Пуск» > «Выполнить»).
4. Создает массу политик безопасности для ограничения доступа пользователя к настройке системы и ограничивает почти весь функционал браузера.
5. Подменяет стартовую страничку Internet Explorer (на ссылку на страницу сайта poetry.rotten.com) и заголовок окна IE (на нецензурную брань).
6. Отключает контекстное меню у системных папок.
7. Удаляет папку «Общие документы» из папки «Мой компьютер» (физически папка не удаляется — производится только удаление {59031a47-3f72-44a7-89c5-5595fe6b30ee} из ключа реестра [SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\DelegateFolders\]).
8. Включает вывод оповещения о нехватке свободного места на диске. Обычно это оповещение выводится, когда на HDD свободно менее 1% объёма диска. В результате действий Krotten это сообщение выводится всегда.
9. Нарушает отображение обоев рабочего стола.
10. Создает нестандартную маску форматирования времени в региональных настройках, что приводит, в частности, к отображению в трее нецензурного слова вместо часов и нарушает работу всех программ, отображающих время сообразно системным настройкам форматирования.
11. Создает сообщение, отображаемое в ходе перезагрузки системы: заголовок — DANGER, текст — вымогательство $10 или 500 рублей за восстановление ПК.
12. Блокирует политиками запуск редактора реестра и диспетчера задач.
13. Пытается создать копии своего исполняемого файла под именами C:\WINDOWS\Provisioning\Schemas\lsass.exe и C:\WINDOWS\WinSxS\Manifests\explorer.exe.
14. Нарушает возможность импорта REG-файлов путем уничтожения ключа реестра [regfile\shell\open\command].
15. Нарушает отображение и открытие дисков в проводнике.
16. Создает пустые каталоги на системном диске с именами DOS и VISTA. При этом устанавливает атрибуты скрытый и системный папкам «Documents and Settings», «Program Files» и WINDOWS. |
Kolupalkin Как ты собираешься за 30 сек. это вылечить? |
|
C1-65A
Фанат форума
Сообщения: 4561
|
Maksimov, тфу, Avira давно и с успехом, и нет необходимости об этом трезвонить , внимательнее надо быть. |
|
Kolupalkin
Завсегдатай
Сообщения: 914
|
|
RomanRB
Модератор
Сообщения: 29338
|
Одна знакомая дама подцепила эту фигню. В интернет машина не выходит, восстановление системы не работает, комп тормозит. Короче полный капец!!! Что делать? |
|
Kolupalkin
Завсегдатай
Сообщения: 914
|
RomanRB писал: | Одна знакомая дама подцепила эту фигню. В интернет машина не выходит, восстановление системы не работает, комп тормозит. Короче полный капец!!! Что делать? |
Выкинуть нафиг и новый купить .
Сам то как думаеш ,с такими "подробностями",что насоветовать |
|
C1-65A
Фанат форума
Сообщения: 4561
|
RomanRB, купи Каспера, ГЫ-ГЫ. |
|
RomanRB
Модератор
Сообщения: 29338
|
Цитата: | Сам то как думаеш ,с такими "подробностями",что насоветовать |
Это тема не этого раздела-во первых.
У меня нет дома этого компа и я уже не помню как троян обзывался(месяц назад дело было)-это во вторых.
И не надо говорить, что удаление всей этой бяки дело 30 сек.-это в третьих. |
|
радиособака
Инженер-конструктор
Сообщения: 11297
|
RomanRB писал: | Одна знакомая дама подцепила эту фигню. В интернет машина не выходит, восстановление системы не работает, комп тормозит. Короче полный капец!!! Что делать? | У меня сын вытащил подобную хреновину из моего бука за несколько часов. Как-не знаю. Хотя не сказал бы,что он у меня супер в компах продвинутый..любитель. Говорил,что любой спец знает.Спросить-не могу.Уехал на каникулы. |
|
RomanRB
Модератор
Сообщения: 29338
|
C1-65A, Не пользуюсь я такими антивирусниками. Если надо проверить-сканер запускаю. |
|
Maksimov
Передовик
Сообщения: 2154
|
Спрашивал Nabi: зачем три одинаковых тем открыл?
Чтобы больше народу увидели.
Это надо распространить, знать все должны. |
|
Kolupalkin
Завсегдатай
Сообщения: 914
|
RomanRB,
Даже в наше смутное время ,существуют фирмы имеющие 500 и более компов .
Сколько раз в день у них возникают подобные проблемы ,как думаеш ? |
|
RomanRB
Модератор
Сообщения: 29338
|
Kolupalkin, Не так часто. Все входящее из вне автоматически проверяется антивирусником. Я в основном сталкивался с NODом. И ни на одной рабочей станции, ни один служащий не поставит то что ему захочется. Как минимум надо обладать правами администратора. Представляешь что будет если в такую глобальную локалку эта зараза попадет? |
|
-20 dB
Фанат форума
Сообщения: 7674
|
iga писал: | это работает? имею ввиду в реалии. у меня на одном рабочем компе (работа чудо-практиканта) висит порно банер. срок 30 дней (ориентировачно в середине января и заканчивается). дабы не загубить одну важную прогу, комп не рушу. |
iga, почитай-ка на ту же тему: http://monitor.espec.ws/section13/topic132449p49.html
радиособака писал: | У меня сын вытащил подобную хреновину из моего бука за несколько часов. Как-не знаю. Хотя не сказал бы,что он у меня супер в компах продвинутый..любитель. Говорил,что любой спец знает.Спросить-не могу.Уехал на каникулы. |
радиособака, я себя спецом в компах не считаю. Даже наоборот, чем больше зарываюсь в систему, тем больше понимаю, что недалеко от ламера ушёл. Однако если есть терпение, внешняя операционная система (у меня BartPE на флэшке), пара утилит (AVZ оч-чень помогает), и Гугль - надобность финансировать мошенников отпадает. Каспер решил облегчить жизнь - честь ему и хвала. Поможет - ну, и хорошо, не поможет - дорожки уже протоптаны, задай поиск Гуглю!
И ещё полезная ссылка для ищущих лёгких путей. Так сказать, с намёком.
|
|
RomanRB
Модератор
Сообщения: 29338
|
радиособака, Один раз я эту хрень обманул-сделал восстановление винды. На следующий раз-хрен в глаз. Только тотальная чистка винды и реестра. |
|
Kolupalkin
Завсегдатай
Сообщения: 914
|
RomanRB,
А с чего ты решил ,что это локалка. Самая большая сеть около 100 ,остальные в разных местах ,в основном магазины ......
Так ,что этих приветов хватает. |
|
RomanRB
Модератор
Сообщения: 29338
|
Kolupalkin, Какая разница. Все что приходит на прокси-автоматом проверяется. Не проверять-самоубийство. Потом ноги по самое нехочу сотрешь, вычисляя эту гадину. |
|
Kolupalkin
Завсегдатай
Сообщения: 914
|
RomanRB,
Ага проходит,только и того .
Это только кажется ,что мы такие умные и все можем .На практике все гораздо печальнее .
Есть хренова туча всяких НО.
Это как прививка от гриппа - помагает ,может быть , на 65 %
Сам я в эти проблемы сувать свой нос даже и не собираюсь ,своих хватает .
Но в конторе есть люди которые занимаются только этим ,и поверь зарплата у них не шуточная . |
|