Перейти к содержанию

Recommended Posts

AM_Bot

В последнее время участились случаи заражения компьютеров пользователей операционной системы Windows разновидностью вируса «Trojan.Winlock», являющегося вредоносной программой «Трояном-вымогателем», которая блокирует работу с операционной системой и требует перечисления денег злоумышленником за восстановление работоспособности компьютера. Только за последний месяц в органы внутренних дел Брестской области трижды обращались граждане, компьютеры которых были выведены из строя такими вредоносными программами, причем как находящиеся в личном пользовании, так и на рабочих местах.

Приведем типичный пример: в милицию с заявлением обратился работник одной из АЗС Брестского района, в котором указал, что компьютер на его рабочем месте по непонятной причине был заблокирован якобы за посещение порнографических интернет-ресурсов, а для разблокировки владельцу необходимо перевести деньги в сумме 200 тысяч рублей на электронный кошелек электронной платежной системы WebMoney, указанный в появившемся на мониторе сообщении. Так как без работоспособного компьютера выполнять свою непосредственную работу заявитель не мог, он взял и перечислил необходимую сумму на указанный электронный кошелек. Однако никакого кода разблокировки, разумеется, не получил.

По просьбе сотрудников отдела по раскрытию преступлений в сфере высоких технологий УВД Брестского облисполкома вирус, обнаруженный на компьютерном оборудовании одного из заявителей, был исследован в ОДО «ВирусБлокАда» в Минске. Специалисты установили, что он представляет собой исполняемую программу, написанную на языке программирования Borland Delphi.

Вирус размещает окно со своим сообщением поверх окон других программ, не дает перемещать курсор мыши за пределы своего окна, что блокирует нормальную работу с другими программами. Программа не завершается обычными методами закрытия программ в операционных системах и изменяет одну из системных веток реестра с целью последующего автоматического запуска при перезагрузке компьютера, т.е. возможна работа данной программы без участия пользователя.

«Троян-вымогатель» также автоматически закрывает окно приложения “Диспетчер задач”, что лишает пользователя возможности аварийно или принудительно закрывать программы. При своем запуске программа случайным образом выбирает один из двух номеров B218975566411 и B251686074239 электронного кошелька платежной системы WebMoney и отображает на создаваемом окне. Вирус не обладает функционалом по порче, удалению, передаче информации или других программ по компьютерной сети, сети Интернет или иным способом. При введении кода 753753 в окно программа завершает свою работу, удаляет себя с жесткого диска и восстанавливает изменения, внесенные в системный реестр, т.е. возвращает компьютер в первозданный вид.

Различные модификации вредоносной программы отличаются лишь номерами электронных кошельков, кодами разблокировки и указанными суммами для оплаты.

О массовости «заражения» компьютеров пользователей свидетельствует анализ денежных сумм, перечисляемых на указанные вредоносной программой электронные кошельки. Так, например, за период активации указанных электронных кошельков (два дня) от пользователей различных регионов республики на данные кошельки были перечислены денежные суммы – 2,5 миллиона рублей и 4,5 миллиона рублей соответственно.

С большой долей вероятности данный вирус «можно подцепить» при скачивании различного контента (фильмы, музыка, программное обеспечение) с популярных российских торрент-трекеров.

Как обезопасить себя от получения подобных вредоносных программ и что делать, если все же ваш компьютер был ими заражен?

Конечно, чтобы обезопасить себя от подобных и других неприятностей, на своем компьютере необходимо иметь установленное и постоянно обновляемое антивирусное программное обеспечение.

В случае если все же ваш компьютер был заражен, не паниковать. Естественно, никаких денег никуда не перечислять, так никакого кода разблокировки вы не получите хотя бы по той причине, что получатель ваших денег даже не знает, куда этот код разблокировки высылать. Данный код в некоторых случаях можно найти в Интернете в советах различных пользователей сети. Если не получается, следует обратиться к специалистам. Как правило, при полной блокировке можно загрузиться в систему с отдельного загрузочного диска.

По одному из заявлений граждан по фактам заражения их компьютеров данной вредоносной программой возбуждено уголовное дело по ст.354 ч.1 УК РБ «Разработка, использование либо распространение вредоносных программ». По другим случаям проводится проверка. Правда, затрудняет проведение необходимых оперативно-розыскных мероприятий и следственных действий то, что практически все следы противоправной деятельности ведут на территорию другого государства – в Российскую Федерацию.

Андрей ГОЛОДКО, начальник отдела по раскрытию преступлений в сфере высоких технологий

Источник публикации 

Подробнее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Celsus

У АЗС Брестского района нет людей, разбирающихся в винлоках?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

нужно по пятибальной шкале оценить дизайн порно-блокера? потому нужен ценитель...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen
У АЗС Брестского района нет людей, разбирающихся в винлоках?

Не поверите, но на этой планетке хватает и куда более значимых и серьезных организаций, где НИКТО не разбирается в винлоках. И куда уж там какой-то АЗС в Брестском районе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C

Немного сверну от темы. Интересует информация от представителя данного вендора.

Кто, и на чём основываясь, даёт такой детект (Trojan-Ransom.Win32.PornoBlocker.sd)?

Файл не имеет никакого отношения к Ransom'у.

http://www.virustotal.com/file-scan/report...d0dc-1319049436

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Rustock.C, предполагаю, что такой детект был у ЛК, но потом когда мы фолсу убрали, то убрали ее не все.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C

Danilka, у меня тоже были подобные мысли.

P.S. Вот, что значит "воровать" детект. :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Oleg Kupreev

Лучше было в новую тему запостить, их и так у нас не много.

Ложняк закрыл, в следующем обновлении детектировать перестанем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Dima2_90
      На мой взгляд то, что Process Hacker выгружает антивирусы - явление нормальное, потому что Process Hacker - легитимная программа (по мнению некоторых вендоров -  потенциально опасная), а не троянская, и  команду на выгрузку антивируса даёт сам пользователь ( выбрав процесс в списке и нажимая "Terminate"), то есть это действие (завершение процесса, отвечающего за работу антивируса) санкционировано самим пользователем.
    • rownong
      Здравствуйте. Есть следующая инфраструктура (VPS куплены у хостинг-провайдера).  VPS сервер 1.
      На нем:
      - Несколько баз данных MySQL 
      - Папки (с сайтами, веб-приложениями, скриптами)
      - Установленные программы
      > Панель управления Vesta
      > MySQL-сервер
      > PhpMyAdmin
      > FTP-сервер
      - Задачи крона VPS сервер 2.
      На нем:
      - Asterisk (с конфигурациями) В перспективе VPS сервер 3.
      На нем будет располагаться ERP организации (база данных, бекенд Laravel, фронтенд Vue.js).  Нужно обеспечить безопасность данной IT инфраструктуры, закрыть максимум уязвимостей.
      Чтобы злоумышленники не могли, просмотреть / украсть: пароли в конфигах PHP скриптов, данные БД Таблиц MySQL, не имели доступ к  Asterisk, данным ERP, защита от sql инъекций, DDoS-атак и т.д. Вопросы: 1. В представленной инфраструктуре, каких технические специалисты должны делать аудит ? PHP-программист, системный администратор, или есть отдельные специалисты которые занимаются безопастностью в IT? 2. Я правильно понимаю, что выполнение задачи будет разбито на 2 этапа:
      - аудит (когда будут выписаны замечания)
      - реализация мер по устранению замечаний
      ?? 3. Как выбрать аудиторов?
      Достаточно фрилансеров или нужно обращаться в организацию? 4. Как определить компетенции аудиторов в обеспечении безопасности в IT? 5. Имеет смысл  нанимать сразу 2-х аудиторов?
      Потом реализовывать замечания обоих аудитов? 6. В какой формате проводятся аудиты по безопасности?
      Нужно будет прислать специалистам доступы ко всем системам? 7. Целесообразно делать аудит VPS без аудита офисного железа (компьютеры, роутеры, файловый сервак)?
      Теоретически на компьютерах могут быть уязвимости к вирусам которые доступы крадут от VPS, но проверять еще компы всей организации, сильно увеличит время на аудит.  
    • Draft
      К Сереге лысому, моему другу, приходят и жалуются, мол разводят их как лохов
    • Quincy
      К тебе именно приходит и на сайт жалуется?)))) 
    • PR55.RP55
      https://github.com/dragokas/hijackthis/blob/devel/src/_ChangeLog_ru.txt Стоит прочесть и найти полезное. Типа: Добавлена зачистка зависимостей легитимных служб от удаляемой службы.
      Добавлен запрет программе на перезагрузку серверных ОС с запросом к пользователю сделать это вручную.
      Добавлена проверка типа виртуализации ключей реестра.
×