Поиск по этому блогу

вторник, 31 января 2012 г.

Trojan.MbrLock.6 на номер 380995168468

https://www.virustotal.com/file/aebc4aad8d9bc0e082e7fdd3a4d69b46828d0d4c96cf2a13152187302db70eb8/analysis/1328046193/

Внимание! Ваш ПК заблокирован за просмотр и тиражирование порнографии с
участием несовершеннолетних гомосексуалистов, элементами извращений.
Для разблокировки, Вам необходимо оплатить штраф в размере 320 гривен
в любом терминале оплаты. Выберите на экране терминала категорию
"Электронные деньги"или подобный раздел. Найдите эмблему платежной
системы QIWI . Пополните кошелек QIWI, для этого - введите
номер кошелька(12 цифр) - 380995168468 и пополните его на 320 гривен.
По завершению оплаты, на выданном терминалом чеке оплаты, Вам будет
выдан персональный код, после ввода которого, Ваш ПК будет автоматически
разблокирован. В случае отказа от оплаты, операционная система
будет уничтожена, без возможности восстановления.


380995168479
380995168509
380995168472
380995168492
380995168468

код: 113331

Trojan.WinLock.2741 на номер U356208153073

https://www.virustotal.com/file/affc3429d7ab3fb20f33f4d176af54c43fc4e160b2535432459f1447111429d8/analysis/1328045005/




U356208153073
U595249466149
U158570157391
U292917904568
U173399801299
U129873827522
U368444425508
U356996927836
U245831233066
U224002448931

код: 9109101313

Trojan.MbrLock.6 на номер 380633352519

https://www.virustotal.com/file/2d62027ced219be96aa3d377751d15eac6cd2639b33656b4de9a067f164bb592/analysis/1328038056/

Внимание! Ваш ПК заблокирован за просмотр и тиражирование порнографии с
участием несовершеннолетних гомосексуалистов, элементами извращений.
Для разблокировки, Вам необходимо оплатить штраф в размере 320 гривен
в любом терминале оплаты. Выберите на экране терминала категорию
"Электронные деньги"или подобный раздел. Найдите эмблему платежной
системы QIWI . Пополните кошелек QIWI, для этого - введите
номер кошелька(12 цифр) - 380633352519 и пополните его на 320 гривен.
По завершению оплаты, на выданном терминалом чеке оплаты, Вам будет
выдан персональный код, после ввода которого, Ваш ПК будет автоматически
разблокирован. В случае отказа от оплаты, операционная система
будет уничтожена, без возможности восстановления.



380633352519
380633351534
380632177160
380633352426
380632141883




код: 115661

Trojan.Winlock.5523 на номер 79060969907

https://www.virustotal.com/file/fb541292fd04d9a90e8ae36a5aebb9d30d773ba1d4b65686916022d56dbc2af4/analysis/




79067311829
79652659024
79060969907
79670417006
79637246503
79091562037
79671080832
79647785957
79636632039
79647785957

код: 9485739234


Как ввести код написано здесь

Новая модификация Trojan.Winlock.5310

В сети появилась новая модификация винлока Trojan.Winlock.5310
Скрыто текстовое поле для ввода кода и кнопка.
Текстовое поле на самом деле есть и код разблокировки для него есть, но они скрыты.




Для того,чтобы ввести код-необходимо

1)Щелкнуть мышкой в районе скрытого поля,при этом курсор сменит свой с такого

на вот такой


Это текстовое поле примерно находится вот здесь


2)Вводим указаный код и щелкаем немного правее (там скрытая кнопка)




номера для этого винлока и код

79067981365
79091511808
79091614692
79636628464
79670182110
79636614148
79091574574
79091514971
79060970801
79091514971

код: 205985414

код: 9485739234



Ручное удаление.

1)Включить машину, нажать и держать клавишу F8


2)Выбрать Безопасный режим с поддержкой коммандной строки.



для Windows 7






для Windows XP






3)В появившемся черном окне консоли ввести regedit.exe и нажать энтер.



4)В редакторе реестра щелкнуть по папке HKEY_CURRENT_USER
далее по Software
и так весь путь

HKEY_CURRENT_USER==>Software ==> Microsoft ==> Windows NT ==> CurrentVersion ==> Winlogon



5) Щелкнуть правой кнопкой по ключу Shell


6)Выбрать Изменить

7)Выделить в текстовом поле весь путь к файлу, потом щелкнуть правой кнопкой мышки -Копировать.
(запомните весь путь к файлу..или запишите на бумажку вам ведь потом прийдется этот файл найти и удалить)



8)Теперь нажать Отмена

9)Выделить ключ Shell и щелкнуть правой кнопкой мышки -Удалить.



10)Щелкнуть Правка-Найти




11)Вставить, тот путь что у нас скопирован (щелкнуть правой кнопкой мышки-Вставить).



12)Нажать Найти далее.

13)Каждый найденый ключ удаляем


14)Снова щелкаем Правка-Найти далее  (найденое удаляем) пока не появится вот такое окошко


15)Закрываем редактор реестра

16)В консоли вводим shutdown -r





И нажимаем энтер. Ждем пока машина перезагрузится.
Нормально загрузиться.



17)Теперь находим этот файл в проводнике и просто удаляем.
Если не можете найти-пишите на почту mrbelyash@yandex.ru удаленно залезу и найду его

Или скачиваем свежий Dr.Web CureIT или Kaspersky Virus Removal Tool и проверяем машину.

Видео как удалить этот винлок вручную


P.S.

Ключи в реестре

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Shell = "c:\documents and settings\Администратор\Рабочий стол\xxx_porno.exe"

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
Shell= "C:\Documents and Settings\Администратор\Рабочий стол\xxx_porno.exe"

В некоторых случаях создается ключ еще вот здесь

HKEY_USERS\S-1-5-21-1482476501-602609370-839522115-500\Software\Microsoft\Windows\CurrentVersion\Run
"Shell"="C:\\Documents and Settings\\Администратор\\Рабочий стол\\xxx_porno.exe"

 S-1-5-21-1482476501-602609370-839522115-500- на других машинах может быть разным. Так что лучше воспользоваться поиском.  

Sandboxie. Будем знакомы.

в процессе редактирования....

      Предлагаю Вам на рассмотрение одну из так называемых программ песочниц , а именно Sandboxie.

Песо́чница (англ. sandbox) — в компьютерной безопасности механизм для безопасного исполнения программ.
Как правило, песочницы используют для запуска непроверенного кода из неизвестных источников, как средство проактивной защиты от вредоносного кода, а также для обнаружения и анализа вредоносных программ. Также, зачастую, песочницы используются в процессе разработки программного обеспечения для запуска «сырого» кода, который может случайно повредить систему или испортить сложную конфигурацию. Такие «тестировочные» песочницы копируют основные элементы среды, для которой пишется код, и позволяют разработчикам быстро и безболезненно экспериментировать с неотлаженным кодом.
http://ru.wikipedia.org/wiki/Песочница_(безопасность)

Установка

1) Скачиваем с сайта  http://www.sandboxie.com/index.php?DownloadSandboxie

2) Устанвливаем . Сразу же указываем язык приложения


И принимаем лицензионное соглашение.


3) Устанавливаем драйвер


Внимание. Если у Вас установлен какой-либо антивирус, его необходимо  временно остановить. Как правило это касается различных проактивных плюшек, используемых в антивирусе.
Например если у вас установлена последняя версия антивируса Dr.Web 7.0 то эта галочка должна быть снята.



4) Завершение установки. Желательно сразу же перезагрузиться.

Настройка

При первом запуске программы может появиться вот такое окошко


Просто нажимаем ОК.

Щелкаем Настройка-Интеграция в Проводник.




Зачем это нужно?
    Это очень удобная фишка. В Проводнике правой кнопкой мышки щелкаем по любому исполняемому файлу (или например текстовому документу) и выбираем Запустить в Песочнице.




Если это был вирус или например в вордовском документе был макровирус-они запустятся в песочнице и ничего вашей системе сделать не смогут.

Работа

Есть несколько вариантов запустить приложение в Песочнице.
Например из трея. Там находится значок


 Щелкаем правой кнопкой по значку, далее по DefaulBox (это профиль Песочницы по умолчанию, содержит все настройки именнно для него. Можно создать новый профиль с другим именем и другими настройками).



И выбираем например пункт Запустить Web-браузер. 



У меня по-умолчанию установлен Chrome. Если подвести мышку к краю приложения (Chrome), то мы увидим желтую окантовку окошка-это означает что приложение запущено в Песочнице.

Тестирование

1) Заходим на зараженный сайт, предлагающий нам клубничку
2) Скачиваем от-туда видеоролик и сохраняем его.




Возможно появится вот такое окошко


Нажимаем Закрыть. Зачем это нужно?
А в данном случае файл сохранится сразу в Песочнице и не попадет к нам на диск.  А потом мы его сразу же в Песочнице и запустим.

Щелкаем по значку Sanboxie и выбираем Запустить Windows Explorer


Появляется Проводник и он тоже будет заключен в желтую рамочку, а значит он сейчас в Песочнице.


Находим наш скачаный файлик и запускаем его.
Как видим в проводнике расширение файла avi , то есть это видео файл. Однако на самом деле это не так. У файла двойное расширение


best-ru-porno.avi.exe


Просто Проводник нам его не показывает.
А значит это уже не безобидный видео ролик.

Запускаем его.


 И получаем баннер, блокирующий рабочий стол.

Что же делать?
Просто перезагружаем машину кнопкой на системном блоке.


    После перезагрузки наша система грузится без баннера. Т.е. песочница не дала ему изменить реестр и файлы на Вашей системе

Копирование файлов

Чтобы скопировать файл из Песочницы на Вашу систему- нужно:

1) Щелкаем по значку Sanboxie и выбираем Запустить Windows Explorer
2) Выделяем там нужный файл или группу файлов

3) Щелкаем правой кнопкой мышки-Копировать


4) Выйти за пределы желтой рамки и у себя на Рабочем столе щелкнуть правой кнопкой мышки -Вставить.

Очистка Песочницы

    Щелкаем по значку Sanboxie и выбираем DefaulBox -Удалить содержимое.



После этого все сохраненные файлы в песочнице будут удалены.

Закрыть зависшее приложение

Иногда бывает, что какое-либо приложение зависает. Чтобы закрыть его/их необходимо  щелкнуть по значку Sanboxie и выбрать Закрыть Все программы.



Вот вроде бы и все что я хотел рассказать про это замечательное приложение.
Комментарии и жалобы приветствуются.

P.S.

     После окончания триального/бесплатного срока использования программа продолжает полнофункционально работать. Но каждый раз при запуске выводит окошко с напоминанием и кнопкой с таймером 5 сек.
После прошествия указанного срока щелкаем на кнопочку и пользуемся дальше.

----------------

Дополнение

Решил протестировать Песочницу и Энкодер (троян шифрующий файлы...и меняющий расширение например на mrbelyash)

Без Песочницы все наши файлы шифруются на ура.



А вот если мы по незнанию запустим троян в Песочнице то ничего не произойдет.
Нас даже предупредят о попытке смены обоев.




Как видим наши файлы в целости и сохранности.
И это радует ;)


Trojan.Winlock.5487 на номер U159263256925

https://www.virustotal.com/file/567e12f44778ff1729cbe6f2736a778bbed60d02e37e818afcd68d7f0869061c/analysis/




U378896933868
U626495612813
U284533115072
U259258595601
U159263256925
U858318028574
U293878336397
U385984220340
U753670445291
U343538475462

код: newnew




P.S.

Чтобы ввести буквенный код необходимо:
1. щелкнуть мышью на поле ввода блокера
2. нажать комбинацию CTRL+SHIFT+ESC
После этого в поле ввода блокера можно вводить текст с клавиатуры. Если ввод текста все равно невозможен повторить действия 1 и 2 несколько раз.


Видео как удалить вручную....




Trojan.MbrLock.6 на номер 380635723869

Внимание! Ваш ПК заблокирован за просмотр и тиражирование порнографии с
участием несовершеннолетних гомосексуалистов, элементами извращений.
Для разблокировки, Вам необходимо оплатить штраф в размере 320 гривен
в любом терминале оплаты. Выберите на экране терминала категорию
"Электронные деньги"или подобный раздел. Найдите эмблему платежной
системы QIWI . Пополните кошелек QIWI, для этого - введите
номер кошелька(12 цифр) - 380635723869 и пополните его на 320 гривен.
По завершению оплаты, на выданном терминалом чеке оплаты, Вам будет
выдан персональный код, после ввода которого, Ваш ПК будет автоматически
разблокирован. В случае отказа от оплаты, операционная система
будет уничтожена, без возможности восстановления.

380635723869
380635723732
380635723755
380635723740

код: 112221

понедельник, 30 января 2012 г.

Trojan.Winlock.5310 на номер 79091576647

https://www.virustotal.com/file/88562ffdfb298a693fef46938f37b50802339d894f33c92f1e257588f11c748d/analysis/




79096504284
79091618106
79091618439
79099360330
79036726322
79067982878
79651597360
79067716100
79091576647
79067716100

код: 459652018

Trojan.MbrLock.6 на номер 079670699021

https://www.virustotal.com/file/5e0e77d7433f6ddabb87099a892be603defe4e315aae289ab180d81ec5a1e20e/analysis/

Внимание! Ваш ПК заблокирован за просмотр и распространение порнографии с
участием несовершеннолетних, элементами насилия, педофилии. Для дальнейшей
работы Вам необходимо оплатить штраф в размере 500 рублей в любом терминале
оплаты. Выберите на экране терминала категорию "Электронная коммерция",
"Электронные деньги" и т.п. Найдите эмблему платежной системы WebMoney.
Введите номер R кошелька (12 цифр) - 079670699021
Внесите сумму 500 рублей. Внимание: учитывайте комиссию терминала.
По завершении платежа, в случае оплаты суммы равной штрафу, либо ее
превышающей, на фискальном чеке терминала оплаты Вы найдете
персональный код, после ввода которого Ваш ПК будет автоматически
разблокирован. Любые попытки разблокировки без оплаты и ввода персонального
кода, приведут к уничтожению операционной системы и всех хранящихся файлов.

R079670699021
079670699021

код: 00018312

Trojan.MbrLock.6 на номер 380635904688

Внимание! Ваш ПК заблокирован за просмотр и тиражирование порнографии с
участием несовершеннолетних гомосексуалистов, элементами извращений.
Для разблокировки, Вам необходимо оплатить штраф в размере 320 гривен
в любом терминале оплаты. Выберите на экране терминала категорию
"Электронные деньги"или подобный раздел. Найдите эмблему платежной
системы QIWI . Пополните кошелек QIWI, для этого - введите
номер кошелька(12 цифр) - 380635904688 и пополните его на 320 гривен.
По завершению оплаты, на выданном терминалом чеке оплаты, Вам будет
выдан персональный код, после ввода которого, Ваш ПК будет автоматически
разблокирован. В случае отказа от оплаты, операционная система
будет уничтожена, без возможности восстановления.

380635904688
380635904697
380635904640
380635904728
380635904731

код: 112221

Trojan.WinLock.2741 на номер U100788695649

md5: 55D4F838B36F4173BF8B5A8187250638




U216039400429
U454380125946
U100788695649
U387778251945
U226529881887
U260238455286
U347965245760
U406269072923
U130454088348
U303055133778

код: 9109101313