Обговорення рецептів проти sms-вимагача - Форум з інформаційної безпеки

Активний користувач

[INFO]У цій темі відбувається обговорення методик. Сам рекомендації перебувають уцій темі.[/INFO]

1.Натисніть "WIN+U" з'являться "Спеціальні можливості" - "Довідка" - "Про програму" і ви отримаєте доступ до дисків.

Також для довідки (може теж стати в нагоді):

WIN+E - Запуск провідника WIN+F - пошук ALT+TAB - Зміна вікон Ctrl+Alt+Del, потім Ctrl+Shift+Esc Затиснути SHIFT на кілька секунд - віконце з поясненнями (допомогою) - друк розділу. - файл - відкрити - explorer.exe (провідник)

Ще варіант запуску провідника - Коли з'явиться вікно з блокуванням, натисніть кнопку вимкнення на корпусі, з'явиться віконце з завершенням роботи, може відкритися робочий стіл, в цей момент натисніть ESC.

У розділі реєстру HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

змінюємо значення параметра "Userinit" з

Повернути Реєстр: В "Пуск" - "Виконати" вставити наступну команду:

REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f Натиснути Enter

Повернути Диспетчер Задач: У "Пуск" - "Виконати" вставити наступну команду:

REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f Натиснути Enter

6.Ідемо до папки "C:\WINDOWS\system32" і перевіряємо сам файл "userinit.exe". Якщо він виявиться дивного вигляду, без підпису Майкрософта (перевірити це можна, викликавши "властивості" цього файлу), то необхідно буде скопіювати з незараженої, "здорової" машини цей файл і замінити ним інфікований.

7.Перевірте, чи існує на диску файл WINDOWS\system32\taskmgr.exe.Якщо він відсутній, його необхідно відновити вручну з резервної копії або дистрибутива системи, як це ми робили в 6 кроці.

9.Після цього машина повинна завантажитись у нормальному режимі і все повинна працювати.

Активний користувач

Тепер питання трохи від теми. Куди дивляться органи? Короткий номер на комусь. І гроші знімаються у банку. Відкат?

Активний користувач

"WINDOWS Заблоковано. Для розблокування надішліть смс" (Нова версія)

Тепер на червоному тлі з'являється знайоме багатьом вікно і на жаль було враховано багато способів лікування попередньої версії вірусу:

- Генератор кодів від компанії Dr.Web не працює http://news.drweb.com/show/?i=304&c=5 - Переклад часу не допомагає (2 год. клавіш не функціонують. випадках помічено алгоритм відключення антивірусів

І для ХР і для Вісти найпростіше цезавантажитися за допомогою LiveCDзнайти та видалити такі файли:- DON459A.TMP-0A434428.pf - don459A.tmp - don459A.bin - DON4599.TMP-6F957000.pf - don4599.tmp - don4599.binШляхи до них на малюнку нижче! Імена даних файлів можуть відрізнятися, дивіться підозрілі файли цими шляхами (Папку "Prefetch" можна повністю в принципі очистити, власне як і всі папки "Temp"). Після видалення цих файлів можна перезавантажити комп'ютер і він має нормально завантажитись!

Потім обов'язково оновити антивірусні бази до актуального стану і провести повну перевірку комп'ютера!

Активний користувач

Одногрупниця зателефонувала щойно. Сказала, що пів години тому перейшла за зовнішнім посиланням із сайту "Вконтакте", і, власне, вуаля: чорний екран, червона табличка та вищезазначені вимоги.

У вівторок попросила приїхати до неї і почаклувати.

Тож, судячи з цієї теми, вір еволюціонує, як мені краще підготуватися?

Є Dr.Web Live CD та ERD Commander (якому я довіряю більше). Їх точно візьму. Ну і Віндосовський настановник, зрозуміло. Що ще порадите?

Вже стикався з здирником (правда табличка була на сірому фоні, заблоковано взагалі все, що можна, ніякі гарячі клавіші не спрацьовували), подолав його за допомогою ERD Commander'а.

Активний користувач

По ходу цей вірус еволюціонує і поступово вчиться обходити все нові методики. На ХР я не зміг застосувати жодну з наведених вище методик. Більше того, при спробі вбити вірус система взагалі відмовляється логінуватися. Або, можливо, цей вірус працює в тандемі з іншим.

Опишу ситуацію: при завантаженні у звичайному режимі вискакує звичне вікно. Безпечний не працює. Жодні комбінації клавіш - теж. Після цього завантажую чарівний ERD Commander, видаляю DON-файли з темпу, бачу вже звичний khs в корені диска, видаляю його, і кілька записів реєстру. та вуаля! Замість вимог грошей вискакує вікно з ім'ям користувача, входжу, і відразу бачу напис "збереження параметрів. закриття підключень." Причому це вже другий комп'ютер з аналогічною ситуацією. Коли я вперше зустрів смс-шахрая, він навіть виглядав по-іншому (рамка була вже на раб столі, і не червона, а сіра, деякі гарячі клавіші працювали), і він нетак нахабнів. Благо на обох комп'ютерах мені довелося встановлювати заново систему, т.к. диск був один (тільки системний С), і бруду не було темрява! Я просто не можу після себе залишити таку безладдя.

Активний користувач

Саме! У ньому один запис: C:\Windows\Explorer.exe. Хоча він міг записати себе в будь-якому іншому місці.

Dr.Web нічого не знайшов. Навіть завис намертво, якщо бути чесним. Двічі починав, у нього ніяк не виходило.

Активний користувач

Цей вірус лізе через порносайт. Прописується вHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Зазвичай там параметрUserinitдорівнюєC:\WINDOWS\system32\userinit.exe,, а після запуску вірусу -C:\WINDOWS\system32\userinit.exe ,C:\Documents and Settings\User\Local Settings\Temp\don1.tmp, замістьdon1.tmpможе бутиnod1.tmpі замість 1 - будь-яка цифра. Ранні варіанти прописували не TMP-файл, аC:\Documents and Settings\All Users\Application Data\blocker.exe.

Активний користувач

Як видалити Trojan.Winlock

Метод 1. Використання LiveCD або підключення HDD до іншого ПКПотрібно видалити файли *.tmp з папкиC:\Documents and Settings\User\Local Settings\Temp. Видалити ті, які мають двійник *.bin, можна видалити все.Метод 2. Дізнатися код«Доктор Веб» допомагає позбутися троянця, що блокує доступ до системиМетод 3. ПеречеканняЧекаємо 3 години та далі чистимо TEMP, як увійдемо до ОС.Метод 4. Гарячі клавішіПосилання застаріло та видалено

Видалення Trojan-Ransom.Win32.Krotten своїми руками

Продовжимо розмову про троянські програми, призначені для вимагання грошей, розпочату в замітці «Видалення Trojan-Ransom.Win32.Blocker своїми руками». Наступним характерним «підслідним» виступить троянець Trojan-Ransom.Win32.Krotten (також відомий як Trojan.Plastix за класифікацією DrWeb).

На відміну від SMS-вимагачів, які блокують завантаження системи без її пошкодження, здирники даного сімейства досить радикально пошкоджують саму систему, і після цієї операції присутність троянця та його автозапуск вже не важливі. З іншого боку, ушкодження оборотні, оскільки більшість із них робиться шляхом виправлення реєстру. Типова "плата за порятунок" становить $10.

Розглянемо як приклад конкретний різновид - Trojan-Ransom.Win32.Krotten.hu. Виконуваний файл шкідливої програми має 139 КБ. Іконка файлу візуально схожа на іконку RAR-архіву, що саморозпаковується. У разі запуску ця шкідлива програма виконує набір операцій, характерний для всього сімейства Krotten:

Проте все не так погано, і роботу системи можна відновити.

Для початку можна запустити «Провідник» через меню, яке викликається при натисканні правої кнопки миші над кнопкою «Пуск», або натиснувши клавіші Win+E. Отримати доступ до диска з нього не вдасться, але запустити програму з дозволеним ім'ям (див. 1 вище), в принципі, можна. Однак, щоб не вгадувати ім'я (набір дозволених програм може змінюватися в різних модифікаціях троянця, та й завантажити потрібну програму буде проблематично), достатньо виконати такі операції:

Завантажити систему в «захищеному режимі за допомогою командного рядка».
У вікні консолі, що відкрилося після завантаження, набрати команди:

Після кожної команди слід натиснути «введення»: буде видано запит на підтвердження видалення ключа реєстру, на який слід відповістиствердно, натиснувши Y.