СМС-вымогатели или как с этим бороться

[GNN]

57: Burg:
Не, мне просто узнать, как создать такую учётную запись. Вирей пока не хватал.

[Старый_прохиндей]

GNN пишет:
> 57: Burg:
> Не, мне просто узнать, как создать такую учётную запись. Вирей пока не хватал.
а погуглить?
http://delbug.ru/set_password_on_computer/

[X-tream]

Похожая по описанию хрень вылазила и у меня, но никакой полной блокировки компа не присходило, блокировался только браузер (Опера), жал Alt+Ctrl+Del снимал задачу запускал вновь и как только начинало подгружаться быстрое нажатие Ctr+W закрывало вредную вкладку. Может кто и поржет но никаких левых процессов я после этого не наблюдал

[GNN]

61: Старый_прохиндей:
А хернёй не страдать?
За ссыль спасибо.

[Злец]

На днях лечил смс-вымогателя по телефону.
Узнал у пострадавшей текст смс и номер, по которому отсылать.
На http://www.drweb.com/unlocker/index/?lng=ru нашелся код разлочки.

Всегда бы так легко было. К сожалению, не все номера и смс есть в базе.

[wallTaZar]

64: Злец:
Есть оффлан база...прога называется ransomhide...вот тут лежит...http://mbty2010.narod.ru/

[wallTaZar]

Новая шляпа...5118872330 на номер 9691...код 3097

[AleX631]

Злец пишет:
> На днях лечил смс-вымогателя по телефону.
> Узнал у пострадавшей текст смс и номер, по которому отсылать.
> На http://www.drweb.com/unlocker/index/?lng=ru нашелся код разлочки.
>
> Всегда бы так легко было. К сожалению, не все номера и смс есть в базе.

К сожалению, такие вирусы "вылечить по телефону" нельзя, можно только временно отключить баннер, введя код разблокировки.

Полностью удалить вирус можно только "ручками".

[Злец]

67: AleX631:
Да не может быть?


В 95% случаев достаточно разлочить, поскольку эти "вирусы" (трояны по классификации) ПОКА не реактивируются.
А ручками лечить каждый знакомый комп, поймавший смс-вымогателя - мне на это времени жалко.

[egurt]

Один из методов:
http://ithappens.ru/story/2352

[v1v]

Приятель подобный баннер ловил. У него стоял аваст, серфил оперой. Вылечили следующим образом:
Alt+Ctrl+Del, завершили эксплоер. Баннер слетел вместе с рабочим столом Вызвал команду "выполнить" и запустил оперу. Зашел на сайт каспера, скачал КИС (триал), установил, обновил, запустил проверку. Все туже нашлось, удалилось. Перезагрузка. Проблем больше не возникало.
Если чо, за рекламу кАСПЕРА мне приплатили

[Вертолет]

Решение здесь
http://www.esetnod32.ru/.support/winlock/

[wallTaZar]

Внимание!!!

Российский разработчик антивирусов "Лаборатория Касперского" обнаружил новую модификацию троянской программы Cryzip, упаковывающей файлы пользователя в запароленные zip-архивы и требующей деньги за разблокировку.

Как говорится в сообщении "Лаборатории Касперского", заражение вирусом осуществляется через сайты, содержащие контент для взрослых.

Попав на компьютер, троянец начинает поиск по нескольким десяткам популярных расширений, в том числе .rar, .zip, .pdf, .txt, .xls, .rtf, .doc, .html, .jpg, .jpeg и другим. Для каждого найденного файла создается архив ("имя_оригинального_файла"_crypt_.rar), затем оригинал файла удаляется без возможности восстановления. За пароль от архивов программа требует отправить 2 тысячи рублей с помощью sms-сообщения.

По данным "Лаборатории Касперского", случаи заражения этой вредоносной программой зафиксированы не только в России, но и в Казахстане, Латвии, Польше, Молдове, Египте, во Франции, Индии, Италии, Мексике, Саудовской Аравии, Испании, США, на Украине, а также в других странах.

"За последние полгода количество вредоносных программ-вымогателей значительно возросло, причем появилась тенденция к их глобальному распространению. Если прежде российские пользователи составляли 90% жертв подобных зловредов, то с начала марта картина начала меняться: программы, подобные Cryzip, перестали быть национальной проблемой, сейчас уже 20% заражений приходится на зарубежные страны:", - приводятся в сообщении слова вирусного аналитика "Лаборатории Касперского" Ивана Татаринова.

Вирус Cryzip был обнаружен аналитиками компании 13 марта и детектируется как Trojan-Ransom.Win32.Cryzip.c. Для предотвращения заражения эксперты рекомендуют обновить антивирусные базы.

Источник

[MadBiker]

72: wallTaZar: Опа! Опять эта падла появилась

[Байкал]

было ль не было. смс вымогатель. блокировать ничо не блокирует - тока браузер файрфокс, может оперу. стандартный диспетчер не канает. от тюнапутилитис - пашет. внешний вражины-в центре эрана флеш окно с призывом отправить смс и показом картинок ХХХ. леичтся просто - рестарт в безопасном режиме, удалоение файла plugin из програм файлз. все.

[wallTaZar]

74: Байкал:
это тебе октябренок попался...такие да...убегают/убиваются на раз...вот поймаешь посерьезнее будет веселее намного)))

[Байкал]

75: wallTaZar:
дык я представляю ячо и как. просто думал фигня и ладно. сам быстро вылечил. писать-то не хотел. а тут седня кореш позвонил та же беда. порнушный баннер. жена его пилит а он даже ответить не может откуда. по накатанному провел его.

[wallTaZar]

76: Байкал:
Антивирь норм и фсе...я вот сам специально их поймать пытаюсь...порно всяки сайта шерстю...и нифига((( Блин...как вам везет то? или мне антивирь отрубить?

[Байкал]

77: wallTaZar:
да антивирь стоит. и там и там. думаю это вирусом не считается. ну баннер и баннер. этот.мэйлваре что ли

[Splinter]

Вчера неожиданно оказия случилась с домашним компом.

Все симптомы аналогичны тем, что были на ноутбуке полгода назад: предупреждение о наличии вируса, запрет вызова диспетчера задач, запрет на выход в инет и запуск некоторых программ.
Но!

При этом надпись о том, что комп инфицирован появляется не поверх всех окон, а просто как обои на рабочем столе, т.е. не перекрывает собой ничего.
Нигде не требует отправить СМС и получить код разблокировки.

Что это и зачем?

[Rootz]

79: Splinter:
Касперский 10 тебя спасет или cureit попробуй

[Байкал]

80: Rootz:
>cureit попробуй

+1

уважаю эту штуку.

кстати аваст 5 тоже сильно зауважал.намного лучше 4

[Splinter]

81: Байкал:
> > cureit попробуй

> +1

> уважаю эту штуку.

В прошлый раз CureIt не помог ни хрена, например.

[Rootz]

82: Splinter:
10 Касперский...

[wallTaZar]

11 касперский...а лучше AVZ...

[Гут]

Я запускал поиск "по дате" и все файлы созданные на компе в этот день удалял. Все безобразие пропало. Потом всеми возможными антивирусными инструментами (вирус ремувел тоол, АВЗ, куреитом) прогнал, каждый чето свое находил. Помогло вроде. Пока не звонили.
Но это в одной конторе было. Там вобще с вирусами борятся символически (езет с базами от января 2010 ).
А на своих компьютерах я ни разу ни на какое якобы "обновление" флешплеера не нарывался. Антивирус - обычно КИС. Сейчас 10. В июне - июле 11 был.
На разные сайты захожу, безопасностью особо не парюсь. Ниче ни разу не подцепил. КИСа хватает вполне.

[Konkre]

Народ, может я и извращенец, но я сижу в инете с виртуалки под VMware 5.5, естессно без антивирей, файрволов и прочего просто в виртуалке отключена запись изменений на хард. Поймал, перезагрузил, дальше работай..

[Wiz]

есть вариант с лечением такое

грузимся с загрузочкой флешки, и заменяем вместо explorer.exe ставим far.exe но с именем explorer.exe

потом перегружаемся, запускается фар, если даже будет баннер его можно снять из фара, там есть список процессов и уже дальше разбираться что делать. файловая система видна в фаре полностью

[Splinter]

79: Splinter:

Все симптомы аналогичны тем, что были на ноутбуке полгода назад: предупреждение о наличии вируса, запрет вызова диспетчера задач, запрет на выход в инет и запуск некоторых программ.
Но!

При этом надпись о том, что комп инфицирован появляется не поверх всех окон, а просто как обои на рабочем столе, т.е. не перекрывает собой ничего.
Нигде не требует отправить СМС и получить код разблокировки.

Вылечил.

Перво-наперво попытался достучаться до списка запущенных процессов, ибо стандартными Ctrl+Alt+Del этого сделать было нельзя.
Тут помог менеджер процессов, написанный нашим Стасом Жарковым еще в 1999 году. небольшая программка позволяет увидеть все запущенные процессы и выдавать поп-апы при запуске новых процессов.

Увидел, что в списке болтаются два smss32.exe. При остановке запускаются заново, причем опять-таки два раза. Блокировка на запуск (есть там в программе фича по блокировке запуска выбранны процессов) результат не дала: два процесса блокировались, но тут же запускались еще две копии тех же самых процессов. Вобщем, блокировать можно до бесконечности.

Дальше обнаружился winlogon32.exe.
Вирус вместо обоев ставит на рабочий стол html-файл с грозным предупреждением "Your system is infected" и блокирует возможность смены обоев.

Знающие люди посоветовали воспользоваться программой HijackThis (прямая ссылка на скачивание). Просканировал ею, нашел три вредных вхождения, пофиксил.

Дальше стал восстанавливать доступ в инет.
Как оказалось, Worm.Win32.Netsky (а у меня была именно эта зараза) коверкает службу LSP, в результате чего доступ в сеть сильно затрудняется. Для решения этой проблемы использовал программу LSPFix, которая нашла поврежденный слой и моментально его восстановила.

Аоследним шагом стало вычищение хвостов.
Для этого скачал и установил MalwareBytes Anti-malware. Похрустев винчестером программа нашла 37 (!) зараженных объектов. По моей команде бодренько их удалила.

Перезагрузил комп.
Все, после этого вроде больше ничего лишнего в системе не обнаружилось.

Вот тут точно такая же последовательность действия по лечению описана (англ): http://www.myantispyware.com/2009/12/02 ... are-alert/

[Pedro]

Баян возможно, но вот наткнулся на касперыча. Грамотно все расписано