СМС-вымогательство!

Зловреды становяться все зловредней. Несколько раз поподалось. СМС требование появляется сразу после прохода биоса. В WinPE показывает что диски неформатированые ( причем все, а не только системный). Естественно подключить куст реестра нельзя так-как нет пути C:\WINDOWS\system32\config. Ну и что делать дальше . Приходиться формат и переустанувку . Было бы пол беды если бы ложился только системный диск. Ну а что делать с логическим на котором обычно храниться все что нажито не посильным трудом

#205596 comod :
Приходиться формат и переустанувку

Убивал бы за такое. Подключаете винт к другому компьютеру, запускаете Kaspersky Virus Removal Tool и проверяете MBR у зараженного винта. 2 минуты и готово.

Убивал бы за такое.

Координальное решение. Ёще раз повторяю : Диски оказываются НЕФОРМАТИРОВАНЫЕ.

comod, да видал я. Kaspersky VRT лечит MBR, заодно и восстанавливает тип и разметку дисков.

Координальное

Может все-таки "кардинальное"?

#205596 comod :
Зловреды становяться все зловредней.

Единственный кардинальный способ борьбы - разрушить мафиозную цепочку оператор-владелец короткого номера-недобросовестный контент провайдер. Тогда такие программы просто вымрут как класс (если их авторов и их крышевал реально сажать в тюрьму).
Трудно представить, чтобы в штатах такие бяки вымогали бы номера кредиток.

#205596 comod :
Зловреды становяться все зловредней. Несколько раз поподалось. СМС требование появляется сразу после прохода биоса. В WinPE показывает что диски неформатированые ( причем все, а не только системный). Естественно подключить куст реестра нельзя так-как нет пути C:\WINDOWS\system32\config. Ну и что делать дальше . Приходиться формат и переустанувку . Было бы пол беды если бы ложился только системный диск. Ну а что делать с логическим на котором обычно храниться все что нажито не посильным трудом

Пробуем новую бесплатную программу AntiSMS 2.0

Действительно, эта прога расшифровывает зараженные участки дисков; у моей сестры месяц назад такое было- v1.8 справилась. только качать лучше не с трекера, а с оф.сайта

#198753 Johny-electric :
cybercop, да, это хорошо, если троян-вымогатель такого типа (отправь смс блаблабла и получишь в ответ код разблокировки), но если троян как в моём случае, тут эти службы не помогут. Тут вымогатель требует пополнить счёт указанного номера телефона через терминал оплаты и на распечатанном чеке якобы будет указан код разблокировки. Это вообще что-то) А про смс так и у Dr.Web есть подобный сервис.

Недавно подцепил такой на лицензионной предустановленной Win7 HP x64, правда, вирус оказался слабым - спасло прямое удаление тела вируса из пользовательской папки - он даже других юзеров не задел. Странно, но лицензионный Нод 32 5-ой версии с актуальными базами его пропустил. Возможная причина - сам вирус был подписан (sic!) цифровым сертификатом подлинности из страны ... Зимбабве. Мне лично больше всего не понятно, как такие зловреды минуют строгий фильтр максимально включенного UAC.

#208904 Wusa :
спасло прямое удаление тела вируса из пользовательской папки - он даже других юзеров не задел.
...
Мне лично больше всего не понятно, как такие зловреды минуют строгий фильтр максимально включенного UAC.

UAC и не смотрит за пользовательскими папки, только за системными.

При чем тут папки? UAC контролирует приложения. Видимо умный вирус попался.

SysAdminko писал:При чем тут папки? UAC контролирует приложения. Видимо умный вирус попался.

UAC ещё контролирует доступ к системным папкам на уровне NTFS прав. Винлокер самый простой, часто такие встречаю. Записываются в корень папки пользователя и в автозапуск, права админа не нужны. Удаляется из другого профиля ручками или спецсофтом для надежности. UAC бы например заволновался, если бы попытались winlogon или explorer заменить. Это уже не из под винды лечится. Антивирусы тоже не всегда на такие штуки реагируют.
Видел, кстати, как получают такие винлокеры. В почту пользователю приходит письмо на тему, типа, вот вам счет от такой то компании, оплатите. Прикрепленный файл называется Счет.jpg.exe, да только истинное расширение не видно, если не включена опция его отображения, вот пользователь жмет и при следующей загрузке получает заблокированный профиль.

#209024 Singularity :

SysAdminko писал:При чем тут папки? UAC контролирует приложения. Видимо умный вирус попался.

UAC ещё контролирует доступ к системным папкам на уровне NTFS прав. Винлокер самый простой, часто такие встречаю. Записываются в корень папки пользователя и в автозапуск, права админа не нужны. Удаляется из другого профиля ручками или спецсофтом для надежности. UAC бы например заволновался, если бы попытались winlogon или explorer заменить. Это уже не из под винды лечится. Антивирусы тоже не всегда на такие штуки реагируют.
Видел, кстати, как получают такие винлокеры. В почту пользователю приходит письмо на тему, типа, вот вам счет от такой то компании, оплатите. Прикрепленный файл называется Счет.jpg.exe, да только истинное расширение не видно, если не включена опция его отображения, вот пользователь жмет и при следующей загрузке получает заблокированный профиль.

Singularity, а разве в почтовой программе, да и в онлайн-почтовиках по-умолчанию расширения файлов вложений не отображаются? Еще до того, как ты это вложение скачал?

Wusa писал:а разве в почтовой программе, да и в онлайн-почтовиках по-умолчанию расширения файлов вложений не отображаются? Еще до того, как ты это вложение скачал?

В тот раз почему то не отображалось. Это был outlook 2007.

#205596 comod :
Зловреды становяться все зловредней. Несколько раз поподалось. СМС требование появляется сразу после прохода биоса. В WinPE показывает что диски неформатированые ( причем все, а не только системный). Естественно подключить куст реестра нельзя так-как нет пути C:\WINDOWS\system32\config. Ну и что делать дальше . Приходиться формат и переустанувку . Было бы пол беды если бы ложился только системный диск. Ну а что делать с логическим на котором обычно храниться все что нажито не посильным трудом

Антивирусная компания Trend Micro предупреждает о новом бэкдоре BKDR_MATSNU.MCB, [не смей качать! - TheVistaTeam] который активно распространяется через спам-рассылки, особенно в Германии. Зловред обладает неприятной особенностью: по команде с удаленного C&C-сервера он может или заблокировать загрузку ПК, или стереть главную загрузочную запись. Бэкдор класса ransomware перед этим вымогает денежные средства у жертвы. Вероятно, стирание MBR осуществляется в отместку за то, что пользователь отказался платить, хотя это может быть частью процедуры по скрытию улик после уже произведенной оплаты.

Другая антивирусная компания McAfee сообщает о значительном росте MBR-атак в I кв. 2013 года. Тут уже речь идет не о бэкдорах-вредителях, а о троянах, которые изменяют главную загрузочную запись для надежной прописки в системе с правами администратора.

В I кв. 2013 года компания McAfee зарегистрировала рост таких инцидентов на 30%. К числу самых популярных относятся mebroot, Tidserv, Cidox и Shamoon.