Обсуждение рецептов против sms-вымогателей
- Автор темы Alex56
- Дата начала
Joker
Новый пользователь
- Сообщения
- 21
- Реакции
- 3
akoK
Смысл в том как, автор вируса, продвинул защиту Баннера
Думаю, поймешь...
Hotab
В системе - это т.е. в процессах?
если да, в uVS зайди Вкладку>процессы и ищи свой баннер
если нет, возьми утилиту типо Dr.web Cureit; AVP; Emisoft; и т.п.
Не забывай, чистить временные файлы и ссылки, после удаление вируса...
Смысл в том как, автор вируса, продвинул защиту Баннера
Думаю, поймешь...
Информация
Немного более информативно, а то флуд получается.
Hotab
В системе - это т.е. в процессах?
если да, в uVS зайди Вкладку>процессы и ищи свой баннер
если нет, возьми утилиту типо Dr.web Cureit; AVP; Emisoft; и т.п.
Не забывай, чистить временные файлы и ссылки, после удаление вируса...
igorgn
Участник
- Сообщения
- 57
- Реакции
- 18
Да кому нужны эти танцы с бубном. WinPE гораздо быстрее. Загрузился, посмотрел в реестре откуда грузит, всё вычистил, реестр исправил - готово.
- Сообщения
- 8,444
- Реакции
- 5,471
[WARN]Хватит флудить, локеры разные бывают.[/WARN]
По теме, если попался сложный локер, проще закарантинить его c WinPE и проанализировать на виртулке, тогда сомнения, что, и как, и где прописывает отпадут сразу!!!
Отсюда и рекомендации по лечению.
Локеры с какой-то защитой - бред, так как чаще пишутся а-ля школотой и рекламщиками из примитивных партнерок.
Здесь не в счет ксористы и сложные мбр-инфекторы, хотя конструкторы доступны всем желающим.
По теме, если попался сложный локер, проще закарантинить его c WinPE и проанализировать на виртулке, тогда сомнения, что, и как, и где прописывает отпадут сразу!!!
Отсюда и рекомендации по лечению.
Локеры с какой-то защитой - бред, так как чаще пишутся а-ля школотой и рекламщиками из примитивных партнерок.
Здесь не в счет ксористы и сложные мбр-инфекторы, хотя конструкторы доступны всем желающим.
Последнее редактирование:
- Сообщения
- 8,444
- Реакции
- 5,471
При переустановке Windows MBR-раздел не трогается, поэтому после первой перезагрузки получите того же самого локера. Лечить и восстанавливать проще, хотя может и потребоваться ожидание анализа дампа МБР аналитиками.
Joker
Новый пользователь
- Сообщения
- 21
- Реакции
- 3
Severnyj,
Ну я не согласен с тобой, защита у винлоков есть..
Например - Блок Safe Mode, Блок Диспетчера задач, с помощью руткитов и т.п.
Я встречал примитивный локер, он чисто вести по середке экрана и прости код разблокировки....
Он разрешал пользоваться эксплоером, но блокировал доступ к диспетчеру и разрешал зупускать Safe Mode
Hotab,
Я старался объяснить как проделать операцию с помощью uVS, тем более ты сам хотел узнать почему в системе висит тот или иной файл..
я всего лишь хотел помочь....
Ну я не согласен с тобой, защита у винлоков есть..
Например - Блок Safe Mode, Блок Диспетчера задач, с помощью руткитов и т.п.
Я встречал примитивный локер, он чисто вести по середке экрана и прости код разблокировки....
Он разрешал пользоваться эксплоером, но блокировал доступ к диспетчеру и разрешал зупускать Safe Mode
Hotab,
Я старался объяснить как проделать операцию с помощью uVS, тем более ты сам хотел узнать почему в системе висит тот или иной файл..
я всего лишь хотел помочь....
- Сообщения
- 8,444
- Реакции
- 5,471
Чтобы закончить флуд в теме скажу, что руткит-технологии на уровне ядра в локерах еще ни разу не видел, в прочем как и руткиты пользовательского режима (заражения буткитами-маячками-2 - отбрасываем - так как это не блокировщик), поскольку ни к чему локеру прятать себя, если и так ничего невозможно запустить, а из-под лайва все и так на ладони.
По остальным способам - это не защита, а небольшое осложнение жизни пользователю. Таких локеров с блокировкой безопасного режима, диспетчера задач и редактора реестра - можно на коленке за день без конструкторов 10-ками штамповать, изменяя методы правки реестра, отключая UAC, подменяя системные файлы и тому подобное.
Защитой на минимальном уровне будут те же самые руткит-технологии, защита ключей реестра, защита файла локера от удаления, защита процесса локера от выгрузки - но ни к чему эти более сложные методы программе, которая запустилась от имени админа, изменила политики в реестре, возможно переписала некоторые системные файлы и вымогает от 600 до 1500 рублей.
Это все мелкое интернет-гопничество, у которого такие же правила игры как и у уличного - быстренько отжать, ограбить и свалить.
Защита нужна крупному криминальному бизнесу, где нужно создавать ботнеты для различных нужд, от ддос-атак, до рассылки спама, трояны для кражи конфиденциальной информации, будь то банковские данные или промышленный шпионаж - согласитесь, прибыли будут долговременными, если зловред делает свое дело и не обнаруживается.
А дело винлока виднее всего, так зачем ему еще и прятаться?
По остальным способам - это не защита, а небольшое осложнение жизни пользователю. Таких локеров с блокировкой безопасного режима, диспетчера задач и редактора реестра - можно на коленке за день без конструкторов 10-ками штамповать, изменяя методы правки реестра, отключая UAC, подменяя системные файлы и тому подобное.
Защитой на минимальном уровне будут те же самые руткит-технологии, защита ключей реестра, защита файла локера от удаления, защита процесса локера от выгрузки - но ни к чему эти более сложные методы программе, которая запустилась от имени админа, изменила политики в реестре, возможно переписала некоторые системные файлы и вымогает от 600 до 1500 рублей.
Это все мелкое интернет-гопничество, у которого такие же правила игры как и у уличного - быстренько отжать, ограбить и свалить.
Защита нужна крупному криминальному бизнесу, где нужно создавать ботнеты для различных нужд, от ддос-атак, до рассылки спама, трояны для кражи конфиденциальной информации, будь то банковские данные или промышленный шпионаж - согласитесь, прибыли будут долговременными, если зловред делает свое дело и не обнаруживается.
А дело винлока виднее всего, так зачем ему еще и прятаться?
Последнее редактирование:
Pleskan87
Новый пользователь
- Сообщения
- 2
- Реакции
- 0
Решил из личного опыта вставить свои 5 копеек.
Пролечил MBR от локера авторства vazonez
с помощью DOS-утилиты MBR Work.
Может прописывать загрузочную запись
как WinXP, так Win7. Кажись даже умеет восстанавливать
таблицу разделов. Не панацея, но меня пока не подвела
Пролечил MBR от локера авторства vazonez
с помощью DOS-утилиты MBR Work.
Может прописывать загрузочную запись
как WinXP, так Win7. Кажись даже умеет восстанавливать
таблицу разделов. Не панацея, но меня пока не подвела
- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
Вот еще список утилит для подборки кода разблокировки.
Добавлено через 17 секунд
https://safezone.cc/forum/forumdisplay.php?f=70
Добавлено через 17 секунд
https://safezone.cc/forum/forumdisplay.php?f=70
- Сообщения
- 8,444
- Реакции
- 5,471
Anvi Rescue Disk 1.0 защищает от «ransomware»
Компания Anvisoft, известный производитель средств защиты, выпустила новый продукт под названием Anvi Rescue Disk 1.0.
Вниманию пользователей предлагается удобная загрузочная среда на базе дистрибутива CDlinux и среды рабочего стола Xfce, которая гарантирует быстрое обнаружение вредоносных приложений «ransomware» и обеспечит их удаление с жесткого диска.
Термином «Ransomware» обозначается распространенная разновидность вредоносных программ, которые берут в «заложники» пользовательский компьютер или хранимые на нем важные данные. За разблокирование доступа к системе или информации жертвам мошенников предлагается заплатить определенную сумму денег. Anvi Rescue Disk поможет решить возникшие проблемы без лишних материальных затрат. Создайте загрузочный носитель с помощью предлагаемых инструментов и используйте его для загрузки вашего ПК. Приложение выполнит тщательное сканирование компьютера и самостоятельно ликвидирует обнаруженные угрозы.
В загруженном из сети архиве RescueDisk.zip (размером в 106 мегабайт) вы найдете не только привычный файл ISO, предназначенный для «прожига» на оптический диск. Благодаря утилите BootUSB.exe предлагаемый образ можно будет использовать для создания загрузочной среды на любом подходящем USB-носителе.
Воспользоваться предлагаемым инструментом смогут даже те пользователи, которые имеют лишь смутное представление о платформе Linux. Интуитивно понятный интерфейс Rescue Disk позволит выбрать подходящий режим сканирования (быстрая, полная или выборочная проверка). Разработчики из Anvisoft также добавили полезную опцию «Repair», которая обнаружит и устранит ошибки в системном реестре, вызванные активностью вируса.
Пользователям предлагается несколько дополнительных инструментов, которые могут оказаться полезными в различных ситуациях. К примеру, вы сможете решить проблемы с дисковыми разделами с помощью утилит GPartEd или TestDisk. В состав пакета инструменты для записи важных файлов на оптические диски, а также копия популярного браузера Firefox, с помощью которого вы сможете искать решения проблем в глобальной сети.
Приложение работает под управлением операционной системы Windows (XP, Vista, 7 и 8) и переведено на несколько иностранных языков, включая русский. Копию Anvi Rescue Disk 1.0 можно бесплатно загрузить с сайта разработчика — http://www.anvisoft.com.
Описание программы
Anvi Rescue Disk - антивирусный диск для создания загрузочного CD/DVD-носителя или загрузочной USB-флэшки.
Загрузочный диск позволяет запустить зараженный троянами-винлокерами компьютер с заблокированной системой, выполнить антивирусную проверку и восстановить нормальную работу ОС Windows.
Наиболее распространенные трояны-вымогатели, с которыми справляется Anvi Rescue Disk: Reveton, FBI Moneypak virus, FBI Online Agent virus, FBI Black Screen of Death Virus, FBI Ultimate Game Card virus, Metropolitan Police Ukash virus (PCeU ransomware).
Создание загрузочного носителя с помощью Anvi Rescue Disk
Источники:
http://www.comss.ru/page.php?id=1179
http://soft.mail.ru/pressrl_page.php?id=50032
Компания Anvisoft, известный производитель средств защиты, выпустила новый продукт под названием Anvi Rescue Disk 1.0.
Вниманию пользователей предлагается удобная загрузочная среда на базе дистрибутива CDlinux и среды рабочего стола Xfce, которая гарантирует быстрое обнаружение вредоносных приложений «ransomware» и обеспечит их удаление с жесткого диска.
Термином «Ransomware» обозначается распространенная разновидность вредоносных программ, которые берут в «заложники» пользовательский компьютер или хранимые на нем важные данные. За разблокирование доступа к системе или информации жертвам мошенников предлагается заплатить определенную сумму денег. Anvi Rescue Disk поможет решить возникшие проблемы без лишних материальных затрат. Создайте загрузочный носитель с помощью предлагаемых инструментов и используйте его для загрузки вашего ПК. Приложение выполнит тщательное сканирование компьютера и самостоятельно ликвидирует обнаруженные угрозы.
В загруженном из сети архиве RescueDisk.zip (размером в 106 мегабайт) вы найдете не только привычный файл ISO, предназначенный для «прожига» на оптический диск. Благодаря утилите BootUSB.exe предлагаемый образ можно будет использовать для создания загрузочной среды на любом подходящем USB-носителе.
Воспользоваться предлагаемым инструментом смогут даже те пользователи, которые имеют лишь смутное представление о платформе Linux. Интуитивно понятный интерфейс Rescue Disk позволит выбрать подходящий режим сканирования (быстрая, полная или выборочная проверка). Разработчики из Anvisoft также добавили полезную опцию «Repair», которая обнаружит и устранит ошибки в системном реестре, вызванные активностью вируса.
Пользователям предлагается несколько дополнительных инструментов, которые могут оказаться полезными в различных ситуациях. К примеру, вы сможете решить проблемы с дисковыми разделами с помощью утилит GPartEd или TestDisk. В состав пакета инструменты для записи важных файлов на оптические диски, а также копия популярного браузера Firefox, с помощью которого вы сможете искать решения проблем в глобальной сети.
Приложение работает под управлением операционной системы Windows (XP, Vista, 7 и 8) и переведено на несколько иностранных языков, включая русский. Копию Anvi Rescue Disk 1.0 можно бесплатно загрузить с сайта разработчика — http://www.anvisoft.com.
Описание программы
Anvi Rescue Disk - антивирусный диск для создания загрузочного CD/DVD-носителя или загрузочной USB-флэшки.
Загрузочный диск позволяет запустить зараженный троянами-винлокерами компьютер с заблокированной системой, выполнить антивирусную проверку и восстановить нормальную работу ОС Windows.
Наиболее распространенные трояны-вымогатели, с которыми справляется Anvi Rescue Disk: Reveton, FBI Moneypak virus, FBI Online Agent virus, FBI Black Screen of Death Virus, FBI Ultimate Game Card virus, Metropolitan Police Ukash virus (PCeU ransomware).
Создание загрузочного носителя с помощью Anvi Rescue Disk
• Скачайте файл rescuedisk.zip, используя ссылку выше.
• Распакуйте zip-архив в удобное для вас место на компьютере.
• Используйте файл BootUsb.exe для создания загрузочной USB-флешки.
• Используйте образ Rescue.iso для создания загрузочного CD/DVD-диска.
• Запустите компьютер, используя созданный загрузочный носитель.
• Распакуйте zip-архив в удобное для вас место на компьютере.
• Используйте файл BootUsb.exe для создания загрузочной USB-флешки.
• Используйте образ Rescue.iso для создания загрузочного CD/DVD-диска.
• Запустите компьютер, используя созданный загрузочный носитель.
Источники:
http://www.comss.ru/page.php?id=1179
http://soft.mail.ru/pressrl_page.php?id=50032
- Сообщения
- 2,709
- Реакции
- 2,035
Вобщим начну с того что данная проблема уже встречается в интернете.
Мой антивирусник Нортон NIS 2013, но суть не в этом а точнее именно в NIS так как он не блокирует это окно (ваш vk заблокирован) ..буквально неделю назад такой случай описывался юзерами и речь шла именно о нортон NIS.
Раза три и у меня вылетало это окно, вот сегодня решил обратить на это так сказать внимание общественности вирусоборцев.
Что скажите по этому поводу ?
Мой антивирусник Нортон NIS 2013, но суть не в этом а точнее именно в NIS так как он не блокирует это окно (ваш vk заблокирован) ..буквально неделю назад такой случай описывался юзерами и речь шла именно о нортон NIS.
Раза три и у меня вылетало это окно, вот сегодня решил обратить на это так сказать внимание общественности вирусоборцев.
Что скажите по этому поводу ?
Последнее редактирование модератором:
- Сообщения
- 9,327
- Реакции
- 3,980
hosts отредактируй.
- Сообщения
- 2,709
- Реакции
- 2,035
Можно уточнить что именно редактировать.
- Сообщения
- 2,709
- Реакции
- 2,035
Что написать сюда что там есть ?
