Борьба с Trojan-Ransom (трояны-вымогатели)
 

Опишу кратко распространенные трояны-вымогатели и борьбу с ними.
eKav, Internet Security
Популярная у вирусописателей тема - фальшивый антивирус.
Только теперь для удаления вирусов (и самого псевдоантивируса) надо отправить SMS.
Также на экране выводится таймер обратного отсчета.
Насколько я знаю, файл трояна находится в потоке NTFS.
Пример пути к файлу с форума virusinfo (http://virusinfo.info/showthread.php?t=67595):
Действия трояна при заражении FAT32 мне неизвестны, скорее всего, либо кидает DLL со случайным именем в system32 и прописывает ее тоже в AppInit_DLLs, либо кидает DLL в папку Temp и запускает через rundll32 (по аналогии с Download Master (ложным), Ilite)

Для удаления этого фальшивого антивируса есть генератор кодов: http://files.mail.ru/15CNRR
Вирусов в программе нет, она помогла очень большому числу людей

Розовый порнобаннер
После включения компьютера на экране надпись: вы установили баннер для доступа на наш сайт
Есть три варианта подобных баннеров:
1. Файл "plugin.exe" в папке C:\Program Files или C:\WINDOWS + автозапуск стандартно (видно в msconfig)
2. Файл "syschk32.exe" и "el32.dll" в папке C:\WINDOWS\system32 + назначенное задание SystemCheck
3. Файлы со случайным именем (*.exe и *.dll(Trojan.Winlock.800)) в папке Temp + назначенное задание WindowsCheck
Известно, что этот баннер ставится под видом обновления Flash Player
Вот коды разблокировки:

4243352762, затем 7393936297
06159230, потом ввести 49685761

После разблокировки обязательно делать логи по правилам в раздел Лечение или хотя бы стереть файлы, указанные выше

Также возможно присутствие на зараженном компьютере файлов:
C:\WINDOWS\system32\netprotocol.dll
C:\Program Files\Internet Explorer\svcnost.exe

Примечание:
Оптимальный способ удаления трояна - обращение в раздел Лечение.
Данная тема создана для интересующихся опытных пользователей.

Полезные ссылки
http://drweb.com/unlocker - генератор кодов + база кодов
http://virusinfo.info/deblocker - примерно тоже самое
http://files.mail.ru/15CNRR - генератор кодов для eKav

Для справки
Trojan-Ransom - вид вредоносных программ, заставляющих пользователя отдать деньги автору программы. Такой вирус, например, шифрует файлы (Trojan.Encoder), блокирует ПК (Trojan.Winlock) или урезает возможности ОС (Krotten).
Массовое заражение компьютеров трояном "Windows заблокирован" наблюдалось в апреле 2009 года. Тогда заражение происходило путем установки "кодека" для просмотра видео. Подобный прием и сейчас используется для заражения ПК пользователей.

Мне всегда было интересно кто ведется на такого рода антивири? :search:

при отсутсвии интернета незаменим
и самое интересное что все эти порно баннеры и вымогатели неработают под X64

Цитата Котяра:plugin.exe »

а вот эта зараза откуда запущена оттуда и стартует
в автозапуске невидно

Все классически (http://virusinfo.info/showthread.php...t=plugin.exe):
Существует даже онлайновый псевдоантивирус.
Сайт d?f??d-p?.ru (значком ? закрыл некоторые символы). (http://news.drweb.com/show/?i=867&c=23&p=0)

Вирус Internet Security на FAT32 (http://virusinfo.info/showthread.php?t=68054):
Защита от Trojan-Ransom:

• Избегайте установки кодеков (Flash) с сайтов, рекламируемых баннерами
• Следует читать лицензионные соглашения устанавливаемого ПО. Есть, например, flvDecode.exe, он перед блокировкой системы выдает соглашение, в одной из строк которого написано при мерно следующее: "Через 1 час Вы обязаны отправить SMS". И действительно, если пользователь соглашается, то в папку Temp помещается файл kui[ЦИФРА].tmp или don[ЦИФРА].tmp, который запускается, ждет 1 час и выводит окно "Уведомление о необходимости оплат"
• Отключите автозапуск флешек
• Обновляйте Adobe Reader и не пользуйтесь IE (особенно 6)

Помимо Trojan.Winlock существуют и другие виды троянских вымогателей.
Один из таких видов - Trojan.Encoder. В случае заражения данным трояном файлы пользователя шифруются, их расширение изменяется, например, на .crypt, _crypt_.rar и т.п.
В таком случае недостаточно удалить троянскую программу, требуется восстановить файлы. Обычно для этого нужен либо пароль к файлам, либо утилита расшифровки.

(Пароль для _crypt_.rar: http://forum.oszone.net/thread-163287.html)

Также существует троянская программа Krotten. Она использует стандартные политики Windows для ограничения возможностей работы в ОС. В таком случае удалить троянскую программу также недостаточно, требуется удалить или изменить параметры реестра, отвечающие за измененные троянской программой политики.
(Примеры проявления такого трояна: вместо индикации системного времени отображаются бранные слова, пропал пункт "Выключить" в меню Пуск, не запускаются программы и т.д.)

Я ПАРУ РАЗ СКАЧИВАЛ FLASH И ЧЕРЕЗ КАКОЕ ТО ВРЕМЯ ПРИХОДИТ СООБЮЩЕНИЕ ОБ ОПЛАТЕ ПО SMS. БЛОКИРУЕТ ВЕСЬ ЭКРАН РАБОТАТЬ НЕВОЗМОЖНО.ПРИХОДИЛОСЬ ПЕРЕБИВАТЬ ВИНДОВС НО РЕЗУЛЬТАТ ПЛАЧЕВНЫЙ .СООБЩЕНИЕ ПРИХОДИТ ВНОВЬ.УСТАЛ ОТ ЭТОЙ ФИГНИ.КАК ИЗБАВИТЬСЯ.МОЙ ЕМАЙЛ-******* СПАСИБО!


voldemar67izm - выломайте капслок и исправьте сообщение в соответствии с правилами.

1) Да, этот вирус распространяется под видом обновления Flash
2) Если Вы хотите удалить вирус, обратитесь сюда http://forum.oszone.net/forum-87.html , выполнив правила раздела
3) Если Вас интересует характеристика вируса (какие коды подойдут, какие файлы и параметры реестра он создает), опишите подробно окно с требованиями SMS
4) Чтобы точно избавиться от вируса методом переустановки, переустановку нужно делать, отформатировав жесткий диск и , помимо этого, сразу после установки отключить автозапуск флешек (т.к. это вирус может жить на флешке, обычно это *.dll файл (иногда в папке RECYCLER) и autorun.inf).

Еще совет:
Если вид трояна неизвестен, а логи сделать невозможно, то могу посоветовать очистить папку C:\Documents and Settings\Имя пользователя\Local Settings\Temp. Система от этого не пострадает, а троян вполне может быть удален - многие Trojan.Winlock живут в этой папке.

Ветки реестра, куда часто прописывается Trojan.Winlock (как, впрочем, и другие трояны):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
В этой ветке параметры:
Shell - определяет оболочку системы, оболочка отвечает за отображение Рабочего стола и Панели задач. Значение по умолчанию - "explorer.exe". Значение "C:\WINDOWS\system32\drivers\winlogon.exe", "C:\WINDOWS\system32\drivers\svchost.exe", "porno_12mb.exe" указывает на явное заражение трояном. Общее правило: это значение всегда "explorer.exe", кроме тех случаев, когда используется альтернативная оболочка. В этом параметре никогда не бывает пути к файлу svchost.exe, winlogon.exe, lsass.exe - это явно указывает на вирус.
Userinit - определяет путь к программе userinit.exe. Нужно соблюдать осторожность в работе с этим параметром, т.к. удаление из него пути C:\WINDOWS\system32\userinit.exe приведет к полной неработоспособности системы и потребуется правка параметры из LiveCD или переустановка ОС. Троянские записи: sdra64.exe или файл *.tmp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Стандартные параметры автозапуска

Очень полезная тема ! много раз приходилось сталкиватся у друзей активных но безответственных пользователей интернета С начала делал формат потом надоело ставлю CCleaner и помогает .Да ешё выкидываю ярлык на папку темп на раб. стол и наказываю каждый вечер перед выкл компа чистить . Обращений стало меньше.

Просьба к пострадавшим от вируса "eKav" или "Internet Security":
Напишите, как Вы заразились вирусом.
Мне интересно знать, как данный вирус распространяется.

Котяра, Хм...) Нормальное так дельце.) Буквально прочитал данную тему, и на следующий день выхватил Internet Security. :) Cвоевременная публикация :) И это при том, что на данной ОС установлен Dr.Web Security Space, с включенной функцией SpIDer Gate. Правда, если говорить по совести, он меня и избавил чуть позднее от этой заразы.) А происходило всё собственно следующим образом. На кануне, как обычно, подключил сеть, в общем то особо ни где не лазил, и ничего такого не скачивал. Зашёл только на форум, и до этого заходил на одну из своих страниц, где возможно как-то эту дрянь и выхватил. На следующее утро снова подключил сеть, но связь была плохая, по этому в сети находился считаные минуты. Решил установить одну мелкую "игрушку", диск проверен, вирусов нет. При инициализации окна установки, подтвердил и... А дальше ступор.) Установка не пошла, и до этого ещё заметил какое-то лёгкое подтормаживание компа. Полез удалить некоторые программы, через стандартный- Установка и удаление программ. При подтверждении удаления ничего не происходит, и ошибок при этом никаких не выписывает. Решил запустить AVZ, и тут же выскакивает красно-белое окно Internet Security, с сообщение о том, что у вас на компе заражены чуть ли не все файлы, удалить-лечить?, что ваша версия Internet Security не активирована, отправьте sms и прочее бла-бла-бла... При этом, понятно, что данное окно занимает больше половины экрана, и естественно не даёт запустить другие программы мышью. Через Ctrl-alt-Del попытался залезть в Диспетчер задач, но кнопка службы была не активна. И тут скакануло напряжение, системник в ребут, при загрузке чистый рабочий стол, без ярлыков и панели пуск.) Зашёл через безопасный режим, запустил антивир, при мониторинге естесс.. обнаружились зловреды. К сожалению отчёт не сохранил, так как после сканирования антивир попросил перезагрузку, и я не подумав подтвердил, а создание отчёта в авт. режиме не было активировано. Помню только на вскидку, что данная погань была обнаружена в кол-ве вроде бы 7 обектов, 4 из них, под видом каких-то плагинов и установщиков были в Documents and Settings, и 3 в win32 под видом 2-х dll, и один exe-шник. После перезагрузки данная проблема исчезла.

P.S Да.. и что интересно, прочитал так же и тему- Какие OS Windows подвержены атакам sms-вымогателей? Но ни по каким подобным сайтам не лазил и никакие кодеки не устанавливал, по крайней мере последнюю неделю точно. Не думаю, что данный вирус будет находится в режиме ожидания досточно длительное время.)

В Интернете появилась информация о трояне-вымогателе "Online Antivirus".
http://forum.kaspersky.com/index.php...=1253624&st=0&
Судя по всему, это новая версия "Kaspersky Lab Antivirus Online" - http://support.kaspersky.ru/viruses/...?qid=208636874

Создает файл "user32.exe" и прописывается в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

На скриншоте Вы видите два файла.

1.exe - это Adobe Flash Player
2.exe - вымогатель
(это один из вариантов вымогателя, другие не маскируются под Flash, а этот неотличим)
Вот как пользователя убеждают установить вымогатель:

Т.е. у пользователя не возникнет никаких подозрений.
Что интересно, внизу на этом сайте есть едва заметная ссылка на соглашение. Там-то и написано, что же установит пользователь себе на компьютер. Но ссылка это едва заметная, да и пользователь думает, что он ставит себе Flash Player.

Сайты "Папарации русского интернета" сейчас вроде отсутствуют.
Но "с фильмами" и с "Digital Access" остались. Новый блокер идет с подписью в ресурсах "Install Shield", производитель "Soft Development Team"

+ к полезным ссылкам http://support.kaspersky.ru/viruses/deblocker

Новый рекламный баннер - zdespo##ompeg.com..
Вот соглашение:

Оно по адресу zdesp###ompeg.info/rules
Новый блокер ставится под видом обновления Flash Player.

Копируется в папку C:\Documents and Settings\All Users\Application Data\Media\plugin.exe

Всем привет! Вчера выхватил очередной зловред в виде порно-баннера. Скриншот прикрепил. Выхватил на mаil.ru, так как никуда больше не заходил. Данный вымагатель блокирует нормальную загрузку рабочего стола как в обычном так и в безопасном режиме, собственно как и водится в последнее время..) Диспетчер задач естественно тоже. Сканирование несколькими антивирами и спец. утилитами из под работоспособной ОС не дали абсолютно никаких результатов ( собственно как и из под поражённой ОС, но об этом чуть позже..) С методом входа через экранную лупу, коим обычно пользуюсь в подобных случаях, пришлось изрядно повозиться, так как в данном случае она не запускалась при проблемном баннере, вместо этого просто открывалось меню пуск, в котором тоже естественно ничего не работало, а если запускал данную опцию перед входом в систему, то упорно не выдавало окно- Веб-узел Майкрософт, и соответственно нельзя было запустить браузер и через него осуществить запуск антивира, либо добраться до реестра. При этом проц грузило на 100% и все окна изрядно подвисали. Не смотря на то, что блокирующее окно закрывало не всю часть экрана, доступные ярлыки программ не запускались. В конце-концов переключением выхода-входа из системы ( использую классический экран входа), при включенной перед входом экранной лупе, удалось таки добиться вызова браузера. Хотя рано радовался, по тому, что при запуске сканера Dr. Web, AVZ, и реестра, всё просто зависало. Зато удалось запустить из трея Dr. Web SpIDer Guard, который на данную проблему никак не среагировал. :) Затем удалось запустить, с видимого на свободном участке раб. Стола, Dr. Web Scanner, который при сканировании тоже показал большой… хм… нулевой результат…) Через командную строку запустил конфигурацию системы, поотключал в автозагрузке всё лишнее, перезагрузился, никакого результата. Опять же, через строку, запустил редактирование реестра, перетащил клавиатурой окно на свободный, на сколько это было возможным, от этой sms-хрени, участок экрана, ну и соответственно полез проверять ветки загрузки эксплорера. Во преки ожидания изменения ветки- [Software\Microsoft\Windows NT\CurrentVersion\Winlogon], параметра "Userinit" , обнаружил изменения в - [Software\Microsoft\Windows NT\CurrentVersion\Winlogon], параметр “Shell” – Explorer.exe, C:\ Documents and Settings\ All Users\ system.exe И ниже такая же ветка, с таким же параметром. Отредактировал, сейчас сижу, чищу комп…)

Не ставили никаких программ для просмотра видео онлайн?

Котяра, Не устанавливал точно. Более того, прог для просмотра видео онлайн у меня вообще не установлено, в силу того, что данной возможностью абсолютно не пользуюсь из-за отсутствия безлимитки.)