Обсуждение рецептов против sms-вымогателей

[Alex56]

Информация

В этой теме происходит обсуждение методик. Сам рекомендации находятся в этой теме.

1. Нажмите "WIN+U" появятся "Специальные возможности" - "Справка" - "О программе" и вы получите доступ к дискам.

Также для справки (может тоже пригодиться):

WIN+E - Запуск проводника
WIN+F - поиск
ALT+TAB - Смена окон
Ctrl+Alt+Del, затем Ctrl+Shift+Esc
Зажать SHIFT на несколько секунд - окошко с объяснениями (помощью) - печать раздела... - файл - открыть - explorer.exe (проводник)

Ещё вариант запуска проводника - Когда появится окно с блокировкой, нажмите кнопку выключения на корпусе, появится окошко с завершением работы, может открыться на время рабочий стол, в этот момент нажмите ESC.

2. Загрузите свежий CureIt - Dr.Web CureIt! — Лечащая утилита или Kaspersky Virus Removal Tool - Kaspersky Virus Removal Tool | Лаборатория Касперского
3. Проведите полную проверку одним из антивирусных средств из второго шага. Главное, чтобы при проверке были удалены 2 файлика "blocker.bin" и "blocker.exe". Если этого не произойдёт, то удалите смело эти 2 файла вручную из папки: "C:\Documents and settings\All Users\"
4. Дальше при загрузке в обычном режиме может быть пустой рабочий стол, без иконок и панелей, если так, то переходим к следующему шагу.
5. Зайдите в редактор реестра: Пуск - Выполнить - regedit - OK

В разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

меняем значение параметра "Userinit" с

"C:\\WINDOWS\system32\userinit.exe,C:\DOCUME~1\ALLUSE~1\APPLIC~1\blocker.exe"

на

"C:\\WINDOWS\system32\userinit.exe,"

Если редактор реестра будет заблокированным, то можно попытаться:

Вернуть Реестр: В "Пуск" - "Выполнить" вставить следующую команду:

REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f
Нажать Enter

Вернуть Диспетчер Задач: В "Пуск" - "Выполнить" вставить следующую команду:

REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f
Нажать Enter

6. Идём в папку "C:\WINDOWS\system32" и проверяем сам файл "userinit.exe". Если он окажется странного вида, без подписи Майкрософта (проверить это можно, вызвав "свойства" данного файла), то необходимо будет скопировать с незаражённой, "здоровой" машины этот файл и заменить им инфицированный.

7. Проверьте, существует ли на диске файл WINDOWS\system32\taskmgr.exe. Если он отсутствует, то его необходимо восстановить вручную из резервной копии или дистрибутива системы, как это мы делали в 6 шаге.

8. Перезагружаемся.

9. После этого машина должна загрузиться в нормальном режиме и всё должно работать.

 

[igorgn]

Два дня воевал с подобными вирусяками. Вариант №1 не прошёл. Тоже была такая мысля, но, увы... Сделал по-другому. Зашёл с загрузочного диска, запустил Нортон Командер. Удалил со всех дисков корзины, папки восстановления, TEMP, Временные файлы интернета, задонложенные программы и файлы, во всех профилях левые папки (обычно крякозябрами) и файлы. В главном меню во всех профилях очистил автозагрузку, провер win и system ini файлы. Это много времени не заняло. Всё прошло замечательно. После почистил от троянов. Curiet ничего после не нашёл.
Хотел, как умный, сделать всё цивилизованно. В Nokia N70 сохранил ссылку на разблокировщик с сайта Доктора Вэба. Не получилось... В IE кнопку ОК жал до умопомрачения, в опере - обновляет страницу с пустыми полями. Или глюк Симбы, или оператора. Это был бы, конечно, лучший вариант: ввёл код, потом убивай гада. Рекомендую его, у кого телефоны не глючат.

Теперь вопрос чуток от темы. Куда смотрят Органы? Короткий номер-то на ком-то. И деньги снимаются в банке. Откат?

 

[igorgn]

Сегодня принесли комп с теми же симптомами. Со своего вышел на страничку Вэба, ввёл пароль. В винду впустило нормально. Установил MalwareBytes Anti-malware, обновил базы. На компе были установлены впаре Авира с Авастом, которые и прощёлкали эту штуку - тоже базы обновил. Запустил свеженького Curiet. Короче, эти все программы отработали, но ничего там не нашли. Просто чудеса с самоликвидацией. Ликвидация - шишь с ней. Лишь бы снова откуда ни возьмись экран не появился. Правда, в конце запустил LSP-Fix, которая и обнаружила (и исправила) 20 ошибок в Winsock. Но, где же вирусы с троянами?!

 

[Alex56]

"WINDOWS Заблокирован. Для разблокировки отправьте смс" (Новая версия)

Изображение удалено

Теперь на красном фоне появляется знакомое многим окно и к сожалению были учтены многие способы лечения предыдущей версии вируса:

- Генератор кодов от компании Dr.Web не работает http://news.drweb.com/show/?i=304&c=5
- Перевод времени не помогает (2 часовое ожидание тоже)
- Никакие сочетания клавиш не функционируют (На XP, на Viste они работают)
- При загрузке в безопасном режиме - рестарт
- Файлов blocker.exe и blocker.bin нет
- Вирус самовосстанавливает недостающие компоненты
- В некоторых случаях замечен алгоритм отключения антивирусов


Решение:

И для ХР и для Висты самое простое это загрузиться с помощью LiveCD найти и удалить следующие файлы:
- DON459A.TMP-0A434428.pf
- don459A.tmp
- don459A.bin
- DON4599.TMP-6F957000.pf
- don4599.tmp
- don4599.bin
Пути к ним на рисунке ниже! Имена данных файлов могут отличаться, смотрите подозрительные файлы по этим путям (Папку "Prefetch" можно полностью в принципе очистить, собственно как и все папки "Temp"). После Удаления этих файлов можно перезагрузить компьютер и он должен нормально загрузиться!

Изображение удалено

Затем обновить обязательно антивирусные базы до актуального состояния и провести полную проверку компьютера!

 

[igorgn]

Вчера мне попался с красненьким окошком. Но, Вэбовский генератор ключа сработал. С первого раза. После входа в систему проверил всевозможными антитроянами и вирусами, в т.ч. и обновлённым Curiet - всё чисто. После многократных перезагрузок окно не появлялось. Этот вирус прошляпили Авира с Авастом напару. Такой же красненький убил без доступа на страницу Вэба путём грохания всех корзин, папок TEMP, временных файлов интернета, закачанных оттдуда, мусора из профилей и т.п. Самое интересное, при таком способе после загрузки системы Malwarebytes' Anti-Malware нашла 5 троянов. Curiet снова молчал.

 

[Cameroon]

Одногруппница позвонила только что. Сказала, что пол часа назад перешла по внешней ссылке с сайта "Вконтакте", и, собственно, вуаля: черный экран, красная табличка и вышеупомянутые требования.

Во вторник попросила приехать к ней и поколдовать.

Так как, судя по этой теме, вирь эволюционирует, как мне лучше подготовиться?

Есть Dr.Web Live CD и ERD Commander (которому я доверяю больше). Их точно возьму. Ну и Виндосовский установочник, разумеется. Что еще посоветуете?

Уже сталкивался с вымогателем (правда табличка была на сером фоне, заблокировано вообще все, что можно, никакие горячие клавиши не срабатывали), поборол его с помощью ERD Commander'а.

 

[igorgn]

поборол его с помощью ERD Commander'а.

это лучший вариант. У нас один умник за лечение бабок нарубил, типа ходил с ноутом и пользовался генератором с сайта Вэба. На следующий день опять выскочило. Надёжней грохнуть всё то о чём я выше писал. Антивирусы то ничего не обнаруживают, а зараза где-то сидит.

 

[akok]

Нашел еще один рецепт:

1. Нажать комбинацию WIN-U на клавиатуре — появится окно активации специальных возможностей. Оно, как оказалось, имеет очень высокий приоритет, и троянец ему не помеха.
2. Запускаем из этого окна экранную лупу. Запустившись, она выводит свое окошко, в котором есть гиперссылка «Веб-узел Майкрософт». Если нажать её, то запускается IE.
3. После запуска IE можно загружать из него любые целебные утилиты и запускать программы с диска ПК (в строке адреса можно указать любую программу), online-сканер и т.п.

www.viruslist.com

 

[igorgn]

WIN-U и другие "волшебные" клавиши на 4-х компах с "красненьким экранчиком" под Хрюшу не срабатывают. Как писал выше, под Вистой работает.

 

[Loader]

WIN-U сработала, однако IE не открылся... Откатился ререзвной копией реестра из-под PE, доктор веб и аваст на системном диске ничего не нашли....

 

[akok]

Еще одна методика.

 

[Cameroon]

По ходу, этот вирус эволюционирует и постепенно учится обходить все новые методики.
На ХР я не смог применить ни одну из вышеприведенных методик. Более того, при попытке убить вирус система вообще отказывается логиниться. Или же, возможно, этот вирус работает в тандеме с другим.

Опишу ситуацию: при загрузке в обычном режиме выскакивает привычное окно. Безопасный не работает. Никакие комбинации клавиш - тоже...
После этого загружаю волшебный ERD Commander, удаляю DON-файлы из темпа, вижу уже привычный khs в корне диска, удаляю и его, и несколько записей реестра... и вуаля! Вместо требований денег выскакивает окно с именем пользователя, вхожу, и сразу вижу надпись "сохранение параметров... закрытие подключений..." Причем это уже второй комп с аналогичной ситуацией.
Когда я первый раз встретил смс-мошенника, он даже выглядел по-другому (рамка была уже на раб столе, и не красная, а серая, некоторые горячие клавиши работали), и он не так наглел.
Благо на обоих компах мне пришлось переустанавливать систему, т.к. диск был один (только системный С), и грязи не нем было тьма! Я просто не могу после себя оставить такой кавардак...

 

[akok]

Нужно смотреть как прописан в реестре userinit.exe

 

[Cameroon]

Именно! В нем одна запись: C:\Windows\Explorer.exe. Хотя, он мог записать себя в любом другом месте.

Dr.Web ничего не нашел. Даже завис намертво, если быть честным... Дважды начинал, у него никак не получалось.

 

[big cat]

Trojan.Winlock

Этот вирус лезет через порносайт.
Прописывается в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.
Обычно там параметр Userinit равен C:\WINDOWS\system32\userinit.exe,, а после запуска вируса - C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\User\Local Settings\Temp\don1.tmp, вместо don1.tmp может быть nod1.tmp и вместо 1 - любая цифра.
Ранние варианты прописывали не TMP-файл, а C:\Documents and Settings\All Users\Application Data\blocker.exe.

 

[Loader]

Проще скопировать эту ветку реестра и импортировать в мертвую систему.
Пользовался ERD Commander-ом
1. Загрузился с загрузочного диска и скопировал папку C:\WINDOWS\system32\config
2. Заменил файлы в этой папке (резервная копия которой сохранена) файлами из C:\WINDOWS\repair
3. Загрузил систему в нормальном режиме и прогнал антивирусами
4. Сделал экспорт ветви реестра с параметром Userinit
5. Загрузился с загрузочного диска и установил файлы резервной копии на место
6. Перезагрузился и сделал импорт этой ветви реестра

 

[big cat]

Как удалить Trojan.Winlock

Метод 1. Использование LiveCD или подключение HDD к другому ПК
Надо удалить файлы *.tmp из папки C:\Documents and Settings\User\Local Settings\Temp. Удалить те, у которых есть двойник *.bin, можно удалить все.
Метод 2. Узнать код
«Доктор Веб» помогает избавиться от троянца, блокирующего доступ к системе
Метод 3. Пережидание
Ждем 3 часа и дальше чистим TEMP, как войдем в ОС.
Метод 4. Горячие клавиши
Ссылка устарела и удалена

 

[akok]

Удаление Trojan-Ransom.Win32.Krotten своими руками

Продолжим разговор о троянских программах, предназначенных для вымогательства денег, начатый в заметке «Удаление Trojan-Ransom.Win32.Blocker своими руками». Следующим характерным «подследственным» выступит троянец Trojan-Ransom.Win32.Krotten (также известный как Trojan.Plastix по классификации DrWeb).

В отличие от SMS-вымогателей, блокирующих загрузку системы без её повреждения, вымогатели данного семейства достаточно радикально повреждают саму систему, и после этой операции присутствие троянца и его автозапуск уже не важны. С другой стороны, повреждения обратимые, так как большинство из них делается путем правки реестра. Типичная «плата за спасение» составляет $10.

Рассмотрим в качестве примера конкретную разновидность — Trojan-Ransom.Win32.Krotten.hu. Исполняемый файл вредоносной программы имеет размер 139 КБ. Иконка файла визуально похожа на иконку самораспаковывающегося RAR-архива. В случае запуска данная вредоносная программа выполняет набор операций, характерный для всего семейства Krotten:

1. Создает политику ограниченного использования программ (ключ реестра [Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun\]), блокируя запуск всех приложений, кроме thebat.exe, msimn.exe, iexplore.exe, MyIE.exe, Maxthon.exe, sbrowser.exe, absetup.exe, avant.exe, Photo.exe, notepad.exe, WinRAR.exe и WINZIP32.EXE.
2. Блокирует запуск UsbStor (это важный системный драйвер — «Драйвер запоминающих устройств для USB»), нарушая тем самым работу с flash-накопителями.
3. «Безобразничает» с настройками «Проводника» (в частности, отключает отображение меню «Пуск» > «Выполнить»).
4. Создает массу политик безопасности для ограничения доступа пользователя к настройке системы и ограничивает почти весь функционал браузера.
5. Подменяет стартовую страничку Internet Explorer (на ссылку на страницу сайта poetry.rotten.com) и заголовок окна IE (на нецензурную брань).
6. Отключает контекстное меню у системных папок.
7. Удаляет папку «Общие документы» из папки «Мой компьютер» (физически папка не удаляется — производится только удаление {59031a47-3f72-44a7-89c5-5595fe6b30ee} из ключа реестра [SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\DelegateFolders\]).
8. Включает вывод оповещения о нехватке свободного места на диске. Обычно это оповещение выводится, когда на HDD свободно менее 1% объёма диска. В результате действий Krotten это сообщение выводится всегда.
9. Нарушает отображение обоев рабочего стола.
10. Создает нестандартную маску форматирования времени в региональных настройках, что приводит, в частности, к отображению в трее нецензурного слова вместо часов и нарушает работу всех программ, отображающих время сообразно системным настройкам форматирования.
11. Создает сообщение, отображаемое в ходе перезагрузки системы: заголовок — DANGER, текст — вымогательство $10 или 500 рублей за восстановление ПК.
12. Блокирует политиками запуск редактора реестра и диспетчера задач.
13. Пытается создать копии своего исполняемого файла под именами C:\WINDOWS\Provisioning\Schemas\lsass.exe и C:\WINDOWS\WinSxS\Manifests\explorer.exe.
14. Нарушает возможность импорта REG-файлов путем уничтожения ключа реестра [regfile\shell\open\command].
15. Нарушает отображение и открытие дисков в проводнике.
16. Создает пустые каталоги на системном диске с именами DOS и VISTA. При этом устанавливает атрибуты скрытый и системный папкам «Documents and Settings», «Program Files» и WINDOWS.

После выполнения данных операций троян отображает окно с требованием выкупа:

Изображение удалено​

Поражённый компьютер после перезагрузки выглядит следующим образом: обои рабочего стола смещены влево, иконок на рабочем столе нет, меню свойств рабочего стола не работает, меню «Пуск» урезано буквально до нуля, редактор реестра и диспетчер задач блокированы, в проводнике не отображаются HDD, в ходе перезагрузки выводится сообщение с требованием выкупа (в нём указана сумма и контактный email).

Тем не менее, всё не так плохо, и работу системы можно восстановить.

Для начала можно запустить «Проводник» через меню, вызываемое при нажатии правой кнопки мыши над кнопкой «Пуск», либо нажав сочетание клавиш Win+E. Получить доступ к диску из него не удастся, но запустить программу с разрешённым именем (см. п. 1 выше), в принципе, можно. Однако чтобы не угадывать имя (набор разрешенных программ может меняться в различных модификациях троянца, да и скачать нужную программу будет проблематично), достаточно выполнить следующие операции:

1. Загрузить систему в «защищенном режиме с поддержкой командной строки».
   
2. В открывшемся после загрузки окне консоли набрать команды:
   
   

   REG DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   REG DELETE HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

   После каждой команды следует нажать «ввод»: будет выдан запрос подтверждения удаления ключа реестра, на который следует ответить утвердительно, нажав Y.
   
   Далее можно запустить «Проводник», выполнив команду explorer.exe. Ограничения «Проводника» при этом уже не будут действовать и, как следствие, можно будет запустить из «Проводника» любое приложение и открыть любой диск.
   
3. Запустить AVZ, AVPTool или Kaspersky Internet Security и выполнить в них следующий скрипт:

var
 i : integer;
Begin
 For i := 1 to 9 do
  ExecuteRepair(i);
 ExecuteRepair(11);
 ExecuteRepair(17);
 RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\UsbStor', 'Start', 1);
 RegKeyStrParamWrite('HKCU', 'Control Panel\International', 'sTimeFormat', 'H:mm:ss');
 RegKeyParamDel('HKLM', 'SYSTEM\CurrentControlSet\Services\lanmanserver\parameters', 'DiskSpaceThreshold');
 RegKeyCreate('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\DelegateFolders\{59031a47-3f72-44a7-89c5-5595fe6b30ee}'); 
 ExecuteWizard('TSW', 2, 3, true);
 DeleteDirectory('%SysDisk%\DOS');
 DeleteDirectory('%SysDisk%\VISTA');
 ExecuteFile('attrib -R -S -H "'+NormalFileName('%WinDir%')+'"', '', 1, 10000, true);
 ExecuteFile('attrib -R -S -H "'+NormalFileName('%PF%')+'"', '', 1, 10000, true); 
 ExecuteFile('attrib -R -S -H "'+NormalFileName('%ProfileDir%')+'"', '', 1, 10000, true);
 RebootWindows(true); 
end.

В результате работоспособность компьютера будет восстановлена, а последствия заражения Trojan-Ransom.Win32.Krotten — ликвидированы.

Источник

 

[Drongo]

akok, Отличная статья! :good2: Подробная и детальная, главное есть скриншоты действия такого зловреда. Автор вируса неграмотный, пишет с ошибками.

Хорошее решение с циклом. Delhpi придётся учить всем и мне тоже.

var
 i : integer; [COLOR="green"]// Объявляем переменную целого числового типа[/COLOR]
Begin
 For i := 1 to 9 do [COLOR="Green"]// Присваивание переменной значения [B]1[/B] и цикл равный [B]9[/B] проходам[/COLOR]
  ExecuteRepair(i); [COLOR="Green"]// После выполнения первого прохода происходит инкремент переменной [B]i[/B] приращения значения на единицу.[/COLOR]
...

Эту часть кода я рассшифрую на нормальный язык. Я думаю, будет интересно людям.
В данном случае создаётся переменная целого типа, хранящая число и ей присваивается значение 1 (единица), дальше выполняется цикл прохода от 1 до 9 и выполняются все инструкции команды ExecuteRepair(), это эквивалентно девяти командам ExecuteRepair() идущим подряд с номерами от 1 до 9.

 

[akok]

"Лаборатория Касперского" представляет бесплатный сервис для борьбы с программами, блокирующими компьютер и предлагающими отправить платную СМС на определенный номер, взамен на номер отправителя будет выслан код, позволяющий разблокировать компьютер.

http://support.kaspersky.ru/viruses/deblocker


Для продвинутых пользователей :
Подробнее о способах борьбы с программами-вымогателями.

http://support.kaspersky.ru/viruses/solutions?qid=208637133