Обсуждение рецептов против sms-вымогателей

akoK
Смысл в том как, автор вируса, продвинул защиту Баннера
Думаю, поймешь...
Информация
Немного более информативно, а то флуд получается.


Hotab
В системе - это т.е. в процессах?
если да, в uVS зайди Вкладку>процессы и ищи свой баннер
если нет, возьми утилиту типо Dr.web Cureit; AVP; Emisoft; и т.п.

Не забывай, чистить временные файлы и ссылки, после удаление вируса...
 
Притом AVZ!Что с помощью него пытался Winlock убить.. в одной случае помог,в другом нет!
Да кому нужны эти танцы с бубном. WinPE гораздо быстрее. Загрузился, посмотрел в реестре откуда грузит, всё вычистил, реестр исправил - готово.
 
[WARN]Хватит флудить, локеры разные бывают.[/WARN]

По теме, если попался сложный локер, проще закарантинить его c WinPE и проанализировать на виртулке, тогда сомнения, что, и как, и где прописывает отпадут сразу!!!

Отсюда и рекомендации по лечению.

Локеры с какой-то защитой - бред, так как чаще пишутся а-ля школотой и рекламщиками из примитивных партнерок.

Здесь не в счет ксористы и сложные мбр-инфекторы, хотя конструкторы доступны всем желающим.
 
Последнее редактирование:
Кстати, по поводу mbr. Никто не пробовал, fdisk /mbr помогает?

Читаем

раз

два

три

Вкратце: после последних разновидностей локера не помогает, так как портится таблица разделов диска, и после этого начинаются танцы с бубном по восстановлению потерянных партиций!!!
 
Спасибо за информацию. Тогда проще винду сразу переустановить. Чтобы не мудохаться.

При переустановке Windows MBR-раздел не трогается, поэтому после первой перезагрузки получите того же самого локера. Лечить и восстанавливать проще, хотя может и потребоваться ожидание анализа дампа МБР аналитиками.
 
Severnyj,
Ну я не согласен с тобой, защита у винлоков есть..
Например - Блок Safe Mode, Блок Диспетчера задач, с помощью руткитов и т.п.

Я встречал примитивный локер, он чисто вести по середке экрана и прости код разблокировки....
Он разрешал пользоваться эксплоером, но блокировал доступ к диспетчеру и разрешал зупускать Safe Mode


Hotab,
Я старался объяснить как проделать операцию с помощью uVS, тем более ты сам хотел узнать почему в системе висит тот или иной файл..
я всего лишь хотел помочь....
 
Чтобы закончить флуд в теме скажу, что руткит-технологии на уровне ядра в локерах еще ни разу не видел, в прочем как и руткиты пользовательского режима (заражения буткитами-маячками-2 - отбрасываем - так как это не блокировщик), поскольку ни к чему локеру прятать себя, если и так ничего невозможно запустить, а из-под лайва все и так на ладони.

По остальным способам - это не защита, а небольшое осложнение жизни пользователю. Таких локеров с блокировкой безопасного режима, диспетчера задач и редактора реестра - можно на коленке за день без конструкторов 10-ками штамповать, изменяя методы правки реестра, отключая UAC, подменяя системные файлы и тому подобное.

Защитой на минимальном уровне будут те же самые руткит-технологии, защита ключей реестра, защита файла локера от удаления, защита процесса локера от выгрузки - но ни к чему эти более сложные методы программе, которая запустилась от имени админа, изменила политики в реестре, возможно переписала некоторые системные файлы и вымогает от 600 до 1500 рублей.

Это все мелкое интернет-гопничество, у которого такие же правила игры как и у уличного - быстренько отжать, ограбить и свалить.

Защита нужна крупному криминальному бизнесу, где нужно создавать ботнеты для различных нужд, от ддос-атак, до рассылки спама, трояны для кражи конфиденциальной информации, будь то банковские данные или промышленный шпионаж - согласитесь, прибыли будут долговременными, если зловред делает свое дело и не обнаруживается.

А дело винлока виднее всего, так зачем ему еще и прятаться?
 
Последнее редактирование:
Severnyj,
Защитой на минимальном уровне будут те же самые руткит-технологии, защита ключей реестра, защита файла локера от удаления, защита процесса локера от выгрузки
Это я и имел виду.. просто, вы так горячо обсуждаете.. что вам трудно мыслить логически и размышлять над словами...

А дело винлока виднее всего, так зачем ему еще и прятаться?
не прятаться, а скрыть свой источник... см.выше

вымогает от 600 до 1500 рублей.
в среднем 500-800 рублей
 
Решил из личного опыта вставить свои 5 копеек.
Пролечил MBR от локера авторства vazonez
с помощью DOS-утилиты MBR Work.
Может прописывать загрузочную запись
как WinXP, так Win7. Кажись даже умеет восстанавливать
таблицу разделов. Не панацея, но меня пока не подвела :)
 
Anvi Rescue Disk 1.0 защищает от «ransomware»

Компания Anvisoft, известный производитель средств защиты, выпустила новый продукт под названием Anvi Rescue Disk 1.0.

Вниманию пользователей предлагается удобная загрузочная среда на базе дистрибутива CDlinux и среды рабочего стола Xfce, которая гарантирует быстрое обнаружение вредоносных приложений «ransomware» и обеспечит их удаление с жесткого диска.

Термином «Ransomware» обозначается распространенная разновидность вредоносных программ, которые берут в «заложники» пользовательский компьютер или хранимые на нем важные данные. За разблокирование доступа к системе или информации жертвам мошенников предлагается заплатить определенную сумму денег. Anvi Rescue Disk поможет решить возникшие проблемы без лишних материальных затрат. Создайте загрузочный носитель с помощью предлагаемых инструментов и используйте его для загрузки вашего ПК. Приложение выполнит тщательное сканирование компьютера и самостоятельно ликвидирует обнаруженные угрозы.



В загруженном из сети архиве RescueDisk.zip (размером в 106 мегабайт) вы найдете не только привычный файл ISO, предназначенный для «прожига» на оптический диск. Благодаря утилите BootUSB.exe предлагаемый образ можно будет использовать для создания загрузочной среды на любом подходящем USB-носителе.

Воспользоваться предлагаемым инструментом смогут даже те пользователи, которые имеют лишь смутное представление о платформе Linux. Интуитивно понятный интерфейс Rescue Disk позволит выбрать подходящий режим сканирования (быстрая, полная или выборочная проверка). Разработчики из Anvisoft также добавили полезную опцию «Repair», которая обнаружит и устранит ошибки в системном реестре, вызванные активностью вируса.

Пользователям предлагается несколько дополнительных инструментов, которые могут оказаться полезными в различных ситуациях. К примеру, вы сможете решить проблемы с дисковыми разделами с помощью утилит GPartEd или TestDisk. В состав пакета инструменты для записи важных файлов на оптические диски, а также копия популярного браузера Firefox, с помощью которого вы сможете искать решения проблем в глобальной сети.

Приложение работает под управлением операционной системы Windows (XP, Vista, 7 и 8) и переведено на несколько иностранных языков, включая русский. Копию Anvi Rescue Disk 1.0 можно бесплатно загрузить с сайта разработчика — http://www.anvisoft.com.


Описание программы
Anvi Rescue Disk - антивирусный диск для создания загрузочного CD/DVD-носителя или загрузочной USB-флэшки.

Загрузочный диск позволяет запустить зараженный троянами-винлокерами компьютер с заблокированной системой, выполнить антивирусную проверку и восстановить нормальную работу ОС Windows.

Наиболее распространенные трояны-вымогатели, с которыми справляется Anvi Rescue Disk: Reveton, FBI Moneypak virus, FBI Online Agent virus, FBI Black Screen of Death Virus, FBI Ultimate Game Card virus, Metropolitan Police Ukash virus (PCeU ransomware).

Создание загрузочного носителя с помощью Anvi Rescue Disk

• Скачайте файл rescuedisk.zip, используя ссылку выше.

• Распакуйте zip-архив в удобное для вас место на компьютере.

• Используйте файл BootUsb.exe для создания загрузочной USB-флешки.

• Используйте образ Rescue.iso для создания загрузочного CD/DVD-диска.

• Запустите компьютер, используя созданный загрузочный носитель.​

Источники:

http://www.comss.ru/page.php?id=1179
http://soft.mail.ru/pressrl_page.php?id=50032
 
Вобщим начну с того что данная проблема уже встречается в интернете.
Мой антивирусник Нортон NIS 2013, но суть не в этом а точнее именно в NIS так как он не блокирует это окно (ваш vk заблокирован) ..буквально неделю назад такой случай описывался юзерами и речь шла именно о нортон NIS.
Раза три и у меня вылетало это окно, вот сегодня решил обратить на это так сказать внимание общественности вирусоборцев.
Что скажите по этому поводу ?
 
Последнее редактирование модератором:
Назад
Сверху Снизу