Перейти к содержанию

Recommended Posts

AM_Bot

В последнее время участились случаи заражения компьютеров пользователей операционной системы Windows разновидностью вируса «Trojan.Winlock», являющегося вредоносной программой «Трояном-вымогателем», которая блокирует работу с операционной системой и требует перечисления денег злоумышленником за восстановление работоспособности компьютера. Только за последний месяц в органы внутренних дел Брестской области трижды обращались граждане, компьютеры которых были выведены из строя такими вредоносными программами, причем как находящиеся в личном пользовании, так и на рабочих местах.

Приведем типичный пример: в милицию с заявлением обратился работник одной из АЗС Брестского района, в котором указал, что компьютер на его рабочем месте по непонятной причине был заблокирован якобы за посещение порнографических интернет-ресурсов, а для разблокировки владельцу необходимо перевести деньги в сумме 200 тысяч рублей на электронный кошелек электронной платежной системы WebMoney, указанный в появившемся на мониторе сообщении. Так как без работоспособного компьютера выполнять свою непосредственную работу заявитель не мог, он взял и перечислил необходимую сумму на указанный электронный кошелек. Однако никакого кода разблокировки, разумеется, не получил.

По просьбе сотрудников отдела по раскрытию преступлений в сфере высоких технологий УВД Брестского облисполкома вирус, обнаруженный на компьютерном оборудовании одного из заявителей, был исследован в ОДО «ВирусБлокАда» в Минске. Специалисты установили, что он представляет собой исполняемую программу, написанную на языке программирования Borland Delphi.

Вирус размещает окно со своим сообщением поверх окон других программ, не дает перемещать курсор мыши за пределы своего окна, что блокирует нормальную работу с другими программами. Программа не завершается обычными методами закрытия программ в операционных системах и изменяет одну из системных веток реестра с целью последующего автоматического запуска при перезагрузке компьютера, т.е. возможна работа данной программы без участия пользователя.

«Троян-вымогатель» также автоматически закрывает окно приложения “Диспетчер задач”, что лишает пользователя возможности аварийно или принудительно закрывать программы. При своем запуске программа случайным образом выбирает один из двух номеров B218975566411 и B251686074239 электронного кошелька платежной системы WebMoney и отображает на создаваемом окне. Вирус не обладает функционалом по порче, удалению, передаче информации или других программ по компьютерной сети, сети Интернет или иным способом. При введении кода 753753 в окно программа завершает свою работу, удаляет себя с жесткого диска и восстанавливает изменения, внесенные в системный реестр, т.е. возвращает компьютер в первозданный вид.

Различные модификации вредоносной программы отличаются лишь номерами электронных кошельков, кодами разблокировки и указанными суммами для оплаты.

О массовости «заражения» компьютеров пользователей свидетельствует анализ денежных сумм, перечисляемых на указанные вредоносной программой электронные кошельки. Так, например, за период активации указанных электронных кошельков (два дня) от пользователей различных регионов республики на данные кошельки были перечислены денежные суммы – 2,5 миллиона рублей и 4,5 миллиона рублей соответственно.

С большой долей вероятности данный вирус «можно подцепить» при скачивании различного контента (фильмы, музыка, программное обеспечение) с популярных российских торрент-трекеров.

Как обезопасить себя от получения подобных вредоносных программ и что делать, если все же ваш компьютер был ими заражен?

Конечно, чтобы обезопасить себя от подобных и других неприятностей, на своем компьютере необходимо иметь установленное и постоянно обновляемое антивирусное программное обеспечение.

В случае если все же ваш компьютер был заражен, не паниковать. Естественно, никаких денег никуда не перечислять, так никакого кода разблокировки вы не получите хотя бы по той причине, что получатель ваших денег даже не знает, куда этот код разблокировки высылать. Данный код в некоторых случаях можно найти в Интернете в советах различных пользователей сети. Если не получается, следует обратиться к специалистам. Как правило, при полной блокировке можно загрузиться в систему с отдельного загрузочного диска.

По одному из заявлений граждан по фактам заражения их компьютеров данной вредоносной программой возбуждено уголовное дело по ст.354 ч.1 УК РБ «Разработка, использование либо распространение вредоносных программ». По другим случаям проводится проверка. Правда, затрудняет проведение необходимых оперативно-розыскных мероприятий и следственных действий то, что практически все следы противоправной деятельности ведут на территорию другого государства – в Российскую Федерацию.

Андрей ГОЛОДКО, начальник отдела по раскрытию преступлений в сфере высоких технологий

Источник публикации 

Подробнее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Celsus

У АЗС Брестского района нет людей, разбирающихся в винлоках?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

нужно по пятибальной шкале оценить дизайн порно-блокера? потому нужен ценитель...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen
У АЗС Брестского района нет людей, разбирающихся в винлоках?

Не поверите, но на этой планетке хватает и куда более значимых и серьезных организаций, где НИКТО не разбирается в винлоках. И куда уж там какой-то АЗС в Брестском районе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C

Немного сверну от темы. Интересует информация от представителя данного вендора.

Кто, и на чём основываясь, даёт такой детект (Trojan-Ransom.Win32.PornoBlocker.sd)?

Файл не имеет никакого отношения к Ransom'у.

http://www.virustotal.com/file-scan/report...d0dc-1319049436

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Rustock.C, предполагаю, что такой детект был у ЛК, но потом когда мы фолсу убрали, то убрали ее не все.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C

Danilka, у меня тоже были подобные мысли.

P.S. Вот, что значит "воровать" детект. :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Oleg Kupreev

Лучше было в новую тему запостить, их и так у нас не много.

Ложняк закрыл, в следующем обновлении детектировать перестанем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • demkd
      это если пользоваться regedit-ом, впрочем там невозможно обнулить dacl там можно его сделать пустым, что приведет к обратному - недоступности ключа для всех пользователей кроме владельца, если убивать dacl программно то ничего не появляется его просто нет и ключ доступен для всех. Сами исправят когда-нибудь, я им не пользуюсь. Увы, но майнеры работают напрямую с библиотеками amd opencl или с cuda nvidia или просто с opencl какой зацепят включая интеля, через них можно получить общую загрузку gpu для родной карты, но не раскладку по процессам, ну разве что за исключением nvidia quadro у них есть свои бибилиотки и там вроде как можно что-то вытянуть, но опять же только для quadro.
      Да и это не актуально, я набросал на коленке небольшую тестовую утилиту через direct-x, все довольно точно считает и в 10-ке и в 7-ке, вряд ли оно конечно будет работать в XP, но оно и не надо впрочем желающие протестируют, добавлю в след. версии uVS, будет считать аналогично CPU с момента запуска процесса, такой подход майнеров CPU/GPU выявляет замечательно, они грузят постоянно, а значит и процент близкий 100 выходит, на фоне практически нуля для всех остальных процессов.
    • PR55.RP55
      Dragokas Да, сегодня искал по данному вопросу информацию. https://ru.bmstu.wiki/Кража_веб-страниц,_запускаемых_в_браузере_пользователя,_с_использованием_уязвимостей_графического_процессора + Ещё будет полезна информация полученная по:  tasklist  [ Память ] https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/tasklist  
    • Dragokas
      Раз уж в них такие нестыковки по показаниям GPU, проще наверное взять исходники какого-нибудь консольного майнера. Там обычно отображаются и учитываются все такие нагрузки, уже заточена поддержка под несколько видеокарт и даже можно задать ограничения. Можно начать с NiceHashMiner - там внутри папки есть все наиболее популярные майнеры и дальше уже смотреть, у какого из них есть исходник, в крайнем случае списаться с автором.
    • Dragokas
    • demkd
      Сейчас посмотрел в Windows 10 1803, PH показал загрузку, но вот только отличие от реальной более чем в 2 раза xD
      PE показал на процент больше, но считай тоже самое, виндовый диспетчер задач показал менее процента при реальной загрузке близкой к 100%
      Вывод очевиден: надо делать самому с нуля, почитаю что там умеет dx оценю объем работ, если он небольшой то сделаю, если нет то когда-нибудь...

      Посмотрел что показывает PE на Windows 7 с 4-мя картами загруженными майнингом на 100%:
      Как бы он вообще не видит что zecminer64 насилует все 4 карты одновременно


      ProcessHacker повел себя идентично, копипаст рулит, одинаковые ошибки в одинаковых случаях.
×