Обсуждение рецептов против sms-вымогателей

[Alex1983]

Нет. меня интересует почему при первой переустановке он вылез сразу же после запуска оперы?

 

[iskander-k]

Нет. меня интересует почему при первой переустановке он вылез сразу же после запуска оперы?

Возможно у вас этот вирус остался - или на флэшке , или на втором локальном диске , или вы установили систему поверх имеющейся . Причин может быть много...

 

[Suta]

Аксакалы антивирусов мне часто задают вопрос, что делать что б не не заразится СМС вымогателем? Я как то спасаюсь а что далёким людям посоветовать. Выручайте дельными рекомендациями.

 

[Indomito]

Suta ну прямо не знаю что и сказать, если в теории то отключиться от интернета, демонтировать все внешние накопители и тд (это была шутка) Надо настроить всё же AVP систему, ну и не нажимать на всё подряд.
Я скачивал (насильно) SMS-просителей и они погибали при первом же их движении.

PS Технология не изменилась с того времени, как был вирус для СМ-1410/1420, который выводил на экран надпись "Хочу печенья!!!" и после набора слова "печенье" он успокаивался где то на час. Названия и подробностей не помню это лет 20-25 назад было.

 

[rodocop]

Suta,
Просто дам ссылку на свой подход - с другого форума
_http://virusinfo.info/showthread.php?t=74532

 

[proh]

Еще способ

Вот еще способ:
Ссылка устарела и удалена
Вот моя статья, у себя на форуме писал: http://computer-safety.eu5.org/forum/viewtopic.php?f=11&t=2
P.S. не сочтите за рекламу

 

[jon2580]

помогите кто-нибудь, комп заразился вирусом который блокирует все ничего не работает,

 

[icotonev]

Создать новую тему в соответствующем разделе : Помощь в борьбе с вредоносными программами . Попробуйте следовать правилам

 

[edde]

Небольшая база номеров и кодов от смс доилок

 

[Freestyle]

Как удалить баннер блокера-вымогателя с Рабочего стола?

Если при работе с компьютером на экране появился баннер (рекламный модуль) с требованием отправить смс на указанный в сообщении номер, это значит, что вы стали жертвой вымогателя-блокера. Целью действий программ-вымогателей является блокирование доступа пользователя к данным или ограничение возможностей работы на компьютере и требование выкупа за возврат к исходному состоянию системы. Отличие вредоносных программ заключается в их изначальной коммерческой направленности. Каждая программа этого поведения является инструментом для получения денег киберпреступниками. При этом отправка смс на указанный номер не означает, что вам пришлют код разблокировки и вы избавитесь от баннера.

1. Как удалить баннер с требованием пополнить телефонный счет мошенников?

Также мошенники в сообщении баннера могут потребовать за получение кода разблокировки пополнить телефонный счет абонента Билайн. Например могут быть приведены следующие номера:
89653934816 89654028763 89654028788 89646285015 89654028786 89654028488 89654028785 89654027717 89654028497 89654027623 89654028487 89654028593 89654028771 89654028492 89654028860 89654028477 89654028491 89654028785
Чтобы получить код разблокировки и убрать c Рабочего стола баннер, выполните следующие действия:

1. откройте в браузере страницу сервиса Deblocker (деблокер) http://support.kaspersky.ru/viruses/deblocker
   
   Некоторые троянские программы могут блокировать доступ в Интернет, к сайтам Лаборатории Касперского, к сервису Deblocker. В этом случае для доступа к сервису Deblocker рекомендуем вам воспользоваться вторым компьютером, на котором есть Интернет.
   Также есть возможность использовать мобильный телефон с выходом в Интернет для доступа к сервису Deblocker, достаточно воспользоваться ссылкой: http://support.kaspersky.ru/sms
2. введите в поле "Номер телефона" номер телефона (например, 89653934816)
3. нажмите на кнопку Получить код разблокировки
4. в результате нажатия кнопки отобразится поле Изображение и поле Коды разблокировки с самыми новыми кодами разблокировки.
   
   ​
5. скриншот в поле Изображение поможет определить, какой именно блокер у вас на компьютере и какой код из поля Коды разблокировки необходимо ввести для удаления баннера. Для увеличения картинки щелкните левой кнопкой мыши по изображению. Для возврата изображения к прежнему размеру щелкните мышкой по изображению еще раз
   
   ​
6. в некоторых случаях мошенники после ввода одного кода могут потребовать пополнить другой телефонный счет для удаления баннера. Поэтому в поле Коды разблокировки могут быть представлены несколько кодов​
7. вводите в поле баннера коды по очереди, пока баннер не будет удален с Рабочего стола.​

2. Как удалить баннер с требованием отправки денег через терминал экспресс-оплаты?

В настоящее время пользователи часто сталкиваются с требованиями отправки денег через терминал экспресс оплаты на счета:

• 004287-623965 (004287623965)
• 004287-274359 (004287274359)
• 004245-166259 (004245166259)
• 004245-166629 (004245166629)
• 004305-222091 (004305222091)
• 004287-924675 (004287924675)
• 004245-166521 (004245166521)
• 004305-214814 (004305214814)
• 004245-167743 (004245167743)

Чтобы удалить с Рабочего стола баннер (Porno Media Module) с требованием перевода денег на счет мошенников через терминал экспресс оплаты, выполните следующие действия:

1. откройте в браузере страницу сервиса Deblocker (деблокер) Бесплатные утилиты для лечения
2. введите в поле "Номер телефона" номер счета, указанного мошенниками в сообщении баннера (например, 004287-623965)
3. нажмите на кнопку Получить код разблокировки
4. в результате нажатия кнопки отобразится поле Изображение и поле Коды разблокировки с самыми новыми кодами разблокировки[/CENTER]
5. скриншот в поле Изображение поможет определить, какой именно блокер у вас на компьютере и какой код из поля Коды разблокировки необходимо ввести для удаления баннера. Для увеличения картинки щелкните левой кнопкой мыши по изображению. Для возврата изображения к прежнему размеру щелкните мышкой по изображению еще раз[/CENTER]
6. вводите в поле баннера коды по очереди, пока баннер не будет удален с Рабочего стола.

3. Как удалить баннер с требованием отправки платного SMS-сообщения на короткий номер?

В настоящее время наиболее распространены следующие номера, на которые мошенники предлагают отправлять смс:

• 6681
• 5581
• 7733
• 9395
• 5121
• 8353
• 9800
• 3381
• 3121
• 4460

Чтобы получить код разблокировки и убрать c Рабочего стола баннер, выполните следующие действия:

1. откройте в браузере страницу сервиса Deblocker (деблокер) http://support.kaspersky.ru/viruses/deblocker
   
   Некоторые троянские программы могут блокировать доступ в Интернет, к сайтам Лаборатории Касперского, к сервису Deblocker. В этом случае для доступа к сервису Deblocker рекомендуем вам воспользоваться вторым компьютером, на котором есть Интернет.
   Также есть возможность использовать мобильный телефон с выходом в Интернет для доступа к сервису Deblocker, достаточно воспользоваться ссылкой: http://support.kaspersky.ru/sms
2. введите в поле "Номер телефона" номер телефона (например, 5121)
3. В поле "Текст смс" введите текст сообщения или код, который вымогатели требуют указать в смс или теме электронного сообщения.Если вы оставите поле "Текст смс" пустым, то в результате вы получите все возможные варианты кодов для удаления баннера (рекламного модуля)
   
4. нажмите на кнопку Получить код разблокировки
5. в результате нажатия кнопки отобразится поле Изображение и поле Коды разблокировки с самыми новыми кодами разблокировки. Для просмотра всех кодов разблокировки для этого номера телефона вымогателей нажмите ссылку Просмотреть все найденные коды.
   
6. скриншот в поле Изображение поможет определить, какой именно блокер у вас на компьютере и какой код из поля Коды разблокировки необходимо ввести для удаления баннера. Для увеличения картинки щелкните левой кнопкой мыши по изображению. Для возврата изображения к прежнему размеру щелкните мышкой по изображению еще раз
   
   
   в некоторых случаях мошенники после ввода одного кода могут потребовать отправить новое смс для удаления баннера. Поэтому в поле Коды разблокировки могут быть представлены несколько кодов​
7. 
   
   вводите в поле баннера коды по очереди, пока баннер не будет удален с Рабочего стола.​

4. Как удалить баннер с требованием пополнить счет учетной записи Вконтакте?

Кроме коротких номеров, мошенники также используют учетные записи социальной сети Вконтакте, предлагая пополнить их счет. Вот наиболее распространенные учетные записи:

• id92860484
• id92959841
• id93120709
• id93120017
• id92960394
• id93120395
• id93120982
• id91868792
• id91866260

Чтобы получить код разблокировки и убрать c Рабочего стола баннер, выполните следующие действия:

1. откройте в браузере страницу сервиса Deblocker (деблокер) http://support.kaspersky.ru/viruses/deblocker
   Некоторые троянские программы могут блокировать доступ в Интернет, к сайтам Лаборатории Касперского, к сервису Deblocker. В этом случае для доступа к сервису Deblocker рекомендуем вам воспользоваться вторым компьютером, на котором есть Интернет.
   Также есть возможность использовать мобильный телефон с выходом в Интернет для доступа к сервису Deblocker, достаточно воспользоваться ссылкой: http://support.kaspersky.ru/sms
2. введите в поле "Номер телефона" номер учетной записи Вконтакте, на которую предлагают перевести деньги (например, id92860484 )
3. нажмите на кнопку Получить код разблокировки
4. в результате нажатия кнопки отобразится поле Изображение и поле Коды разблокировки с самыми новыми кодами разблокировки.
5. скриншот в поле Изображение поможет определить, какой именно блокер у вас на компьютере и какой код из поля Коды разблокировки необходимо ввести для удаления баннера. Для увеличения картинки щелкните левой кнопкой мыши по изображению. Для возврата изображения к прежнему размеру щелкните мышкой по изображению еще раз​
6. вводите в поле баннера коды по очереди, пока баннер не будет удален с Рабочего стола.​

5. Как восстановить зашифрованные вирусом файлы?

Чтобы восстановить зашифрованные вирусом файлы, выполните следующие действия:

1. откройте в браузере страницу сервиса Deblocker (деблокер) http://support.kaspersky.ru/viruses/deblocker
2. в поле "Текст смс" введите номер ID в формате ХХХ-ХХХ-ХХХ, который вымогатели требуют указать в теме письма
   
3. нажмите на кнопку Получить код разблокировки
4. полученный код разблокировки введите в программу расшифровки файлов, указанную мошенниками.

6. Что делать после удаления баннера?

После удаления баннера блокера-вымогателя настоятельно рекомендуется проверить компьютер на вирусы, например с помощью утилиты Kaspersky Virus Removal Tool.

support.kaspersky.ru
​

 

[MotherBoard]

LiveCD c возможностью правки реестра более практично. Коды не всегда спасают...

 

[goredey]

Кто-нибудь сталкивался с тем, что вирус блокирует использование мыши?

 

[Arbitr]

нет, скорее всего техническая неисправность

 

[OKshef]

Да, встречал, мышь и клавиатуру. Лечится только с LiveCD

 

[igorgn]

Да, встречал, мышь и клавиатуру. Лечится только с LiveCD

тут автор вируса явно переборщил... Как можно вымогать, если невозможно код разблокировки ввсети? И какой дурак ему заплатит?

 

[akok]

Появилась новая версия вымогателя.

Вымогатель теперь не патчит MBR, а подменяет собой Загрузчик операционной системы Windows

 

[igorgn]

И с этим поборемся. Я на всякий случай таскаю с собой на флешке-реаниматоре Userinit.exe и Explorer.exe от ХР и семёрки. Просто набор добавится.

 

[akok]

Боремся. Только еще не понятно патчит ли зловред загрузчик vista и win 7.

 

[Сашка]

патчит ли зловред загрузчик vista и win 7

а если установлен мультизагрузчик, типо grub, grub2 и тп (windows и linux на одном компе, например)?

 

[igorgn]

Рекомендую ещё к набору носимых файлов на замену добавить "taskmgr.exe". Тоже сталкивался, что вирус его подменяет. Вроди система вылечена, но когда нажмёшь три волшебные кнопки выскакивает чудо.