Перейти к содержанию

Recommended Posts

AM_Bot

В последнее время участились случаи заражения компьютеров пользователей операционной системы Windows разновидностью вируса «Trojan.Winlock», являющегося вредоносной программой «Трояном-вымогателем», которая блокирует работу с операционной системой и требует перечисления денег злоумышленником за восстановление работоспособности компьютера. Только за последний месяц в органы внутренних дел Брестской области трижды обращались граждане, компьютеры которых были выведены из строя такими вредоносными программами, причем как находящиеся в личном пользовании, так и на рабочих местах.

Приведем типичный пример: в милицию с заявлением обратился работник одной из АЗС Брестского района, в котором указал, что компьютер на его рабочем месте по непонятной причине был заблокирован якобы за посещение порнографических интернет-ресурсов, а для разблокировки владельцу необходимо перевести деньги в сумме 200 тысяч рублей на электронный кошелек электронной платежной системы WebMoney, указанный в появившемся на мониторе сообщении. Так как без работоспособного компьютера выполнять свою непосредственную работу заявитель не мог, он взял и перечислил необходимую сумму на указанный электронный кошелек. Однако никакого кода разблокировки, разумеется, не получил.

По просьбе сотрудников отдела по раскрытию преступлений в сфере высоких технологий УВД Брестского облисполкома вирус, обнаруженный на компьютерном оборудовании одного из заявителей, был исследован в ОДО «ВирусБлокАда» в Минске. Специалисты установили, что он представляет собой исполняемую программу, написанную на языке программирования Borland Delphi.

Вирус размещает окно со своим сообщением поверх окон других программ, не дает перемещать курсор мыши за пределы своего окна, что блокирует нормальную работу с другими программами. Программа не завершается обычными методами закрытия программ в операционных системах и изменяет одну из системных веток реестра с целью последующего автоматического запуска при перезагрузке компьютера, т.е. возможна работа данной программы без участия пользователя.

«Троян-вымогатель» также автоматически закрывает окно приложения “Диспетчер задач”, что лишает пользователя возможности аварийно или принудительно закрывать программы. При своем запуске программа случайным образом выбирает один из двух номеров B218975566411 и B251686074239 электронного кошелька платежной системы WebMoney и отображает на создаваемом окне. Вирус не обладает функционалом по порче, удалению, передаче информации или других программ по компьютерной сети, сети Интернет или иным способом. При введении кода 753753 в окно программа завершает свою работу, удаляет себя с жесткого диска и восстанавливает изменения, внесенные в системный реестр, т.е. возвращает компьютер в первозданный вид.

Различные модификации вредоносной программы отличаются лишь номерами электронных кошельков, кодами разблокировки и указанными суммами для оплаты.

О массовости «заражения» компьютеров пользователей свидетельствует анализ денежных сумм, перечисляемых на указанные вредоносной программой электронные кошельки. Так, например, за период активации указанных электронных кошельков (два дня) от пользователей различных регионов республики на данные кошельки были перечислены денежные суммы – 2,5 миллиона рублей и 4,5 миллиона рублей соответственно.

С большой долей вероятности данный вирус «можно подцепить» при скачивании различного контента (фильмы, музыка, программное обеспечение) с популярных российских торрент-трекеров.

Как обезопасить себя от получения подобных вредоносных программ и что делать, если все же ваш компьютер был ими заражен?

Конечно, чтобы обезопасить себя от подобных и других неприятностей, на своем компьютере необходимо иметь установленное и постоянно обновляемое антивирусное программное обеспечение.

В случае если все же ваш компьютер был заражен, не паниковать. Естественно, никаких денег никуда не перечислять, так никакого кода разблокировки вы не получите хотя бы по той причине, что получатель ваших денег даже не знает, куда этот код разблокировки высылать. Данный код в некоторых случаях можно найти в Интернете в советах различных пользователей сети. Если не получается, следует обратиться к специалистам. Как правило, при полной блокировке можно загрузиться в систему с отдельного загрузочного диска.

По одному из заявлений граждан по фактам заражения их компьютеров данной вредоносной программой возбуждено уголовное дело по ст.354 ч.1 УК РБ «Разработка, использование либо распространение вредоносных программ». По другим случаям проводится проверка. Правда, затрудняет проведение необходимых оперативно-розыскных мероприятий и следственных действий то, что практически все следы противоправной деятельности ведут на территорию другого государства – в Российскую Федерацию.

Андрей ГОЛОДКО, начальник отдела по раскрытию преступлений в сфере высоких технологий

Источник публикации 

Подробнее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Celsus

У АЗС Брестского района нет людей, разбирающихся в винлоках?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

нужно по пятибальной шкале оценить дизайн порно-блокера? потому нужен ценитель...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen
У АЗС Брестского района нет людей, разбирающихся в винлоках?

Не поверите, но на этой планетке хватает и куда более значимых и серьезных организаций, где НИКТО не разбирается в винлоках. И куда уж там какой-то АЗС в Брестском районе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C

Немного сверну от темы. Интересует информация от представителя данного вендора.

Кто, и на чём основываясь, даёт такой детект (Trojan-Ransom.Win32.PornoBlocker.sd)?

Файл не имеет никакого отношения к Ransom'у.

http://www.virustotal.com/file-scan/report...d0dc-1319049436

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Rustock.C, предполагаю, что такой детект был у ЛК, но потом когда мы фолсу убрали, то убрали ее не все.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C

Danilka, у меня тоже были подобные мысли.

P.S. Вот, что значит "воровать" детект. :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Oleg Kupreev

Лучше было в новую тему запостить, их и так у нас не много.

Ложняк закрыл, в следующем обновлении детектировать перестанем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×