Перейти к содержанию

Recommended Posts

AM_Bot

В последнее время участились случаи заражения компьютеров пользователей операционной системы Windows разновидностью вируса «Trojan.Winlock», являющегося вредоносной программой «Трояном-вымогателем», которая блокирует работу с операционной системой и требует перечисления денег злоумышленником за восстановление работоспособности компьютера. Только за последний месяц в органы внутренних дел Брестской области трижды обращались граждане, компьютеры которых были выведены из строя такими вредоносными программами, причем как находящиеся в личном пользовании, так и на рабочих местах.

Приведем типичный пример: в милицию с заявлением обратился работник одной из АЗС Брестского района, в котором указал, что компьютер на его рабочем месте по непонятной причине был заблокирован якобы за посещение порнографических интернет-ресурсов, а для разблокировки владельцу необходимо перевести деньги в сумме 200 тысяч рублей на электронный кошелек электронной платежной системы WebMoney, указанный в появившемся на мониторе сообщении. Так как без работоспособного компьютера выполнять свою непосредственную работу заявитель не мог, он взял и перечислил необходимую сумму на указанный электронный кошелек. Однако никакого кода разблокировки, разумеется, не получил.

По просьбе сотрудников отдела по раскрытию преступлений в сфере высоких технологий УВД Брестского облисполкома вирус, обнаруженный на компьютерном оборудовании одного из заявителей, был исследован в ОДО «ВирусБлокАда» в Минске. Специалисты установили, что он представляет собой исполняемую программу, написанную на языке программирования Borland Delphi.

Вирус размещает окно со своим сообщением поверх окон других программ, не дает перемещать курсор мыши за пределы своего окна, что блокирует нормальную работу с другими программами. Программа не завершается обычными методами закрытия программ в операционных системах и изменяет одну из системных веток реестра с целью последующего автоматического запуска при перезагрузке компьютера, т.е. возможна работа данной программы без участия пользователя.

«Троян-вымогатель» также автоматически закрывает окно приложения “Диспетчер задач”, что лишает пользователя возможности аварийно или принудительно закрывать программы. При своем запуске программа случайным образом выбирает один из двух номеров B218975566411 и B251686074239 электронного кошелька платежной системы WebMoney и отображает на создаваемом окне. Вирус не обладает функционалом по порче, удалению, передаче информации или других программ по компьютерной сети, сети Интернет или иным способом. При введении кода 753753 в окно программа завершает свою работу, удаляет себя с жесткого диска и восстанавливает изменения, внесенные в системный реестр, т.е. возвращает компьютер в первозданный вид.

Различные модификации вредоносной программы отличаются лишь номерами электронных кошельков, кодами разблокировки и указанными суммами для оплаты.

О массовости «заражения» компьютеров пользователей свидетельствует анализ денежных сумм, перечисляемых на указанные вредоносной программой электронные кошельки. Так, например, за период активации указанных электронных кошельков (два дня) от пользователей различных регионов республики на данные кошельки были перечислены денежные суммы – 2,5 миллиона рублей и 4,5 миллиона рублей соответственно.

С большой долей вероятности данный вирус «можно подцепить» при скачивании различного контента (фильмы, музыка, программное обеспечение) с популярных российских торрент-трекеров.

Как обезопасить себя от получения подобных вредоносных программ и что делать, если все же ваш компьютер был ими заражен?

Конечно, чтобы обезопасить себя от подобных и других неприятностей, на своем компьютере необходимо иметь установленное и постоянно обновляемое антивирусное программное обеспечение.

В случае если все же ваш компьютер был заражен, не паниковать. Естественно, никаких денег никуда не перечислять, так никакого кода разблокировки вы не получите хотя бы по той причине, что получатель ваших денег даже не знает, куда этот код разблокировки высылать. Данный код в некоторых случаях можно найти в Интернете в советах различных пользователей сети. Если не получается, следует обратиться к специалистам. Как правило, при полной блокировке можно загрузиться в систему с отдельного загрузочного диска.

По одному из заявлений граждан по фактам заражения их компьютеров данной вредоносной программой возбуждено уголовное дело по ст.354 ч.1 УК РБ «Разработка, использование либо распространение вредоносных программ». По другим случаям проводится проверка. Правда, затрудняет проведение необходимых оперативно-розыскных мероприятий и следственных действий то, что практически все следы противоправной деятельности ведут на территорию другого государства – в Российскую Федерацию.

Андрей ГОЛОДКО, начальник отдела по раскрытию преступлений в сфере высоких технологий

Источник публикации 

Подробнее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Celsus

У АЗС Брестского района нет людей, разбирающихся в винлоках?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

нужно по пятибальной шкале оценить дизайн порно-блокера? потому нужен ценитель...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen
У АЗС Брестского района нет людей, разбирающихся в винлоках?

Не поверите, но на этой планетке хватает и куда более значимых и серьезных организаций, где НИКТО не разбирается в винлоках. И куда уж там какой-то АЗС в Брестском районе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C

Немного сверну от темы. Интересует информация от представителя данного вендора.

Кто, и на чём основываясь, даёт такой детект (Trojan-Ransom.Win32.PornoBlocker.sd)?

Файл не имеет никакого отношения к Ransom'у.

http://www.virustotal.com/file-scan/report...d0dc-1319049436

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Rustock.C, предполагаю, что такой детект был у ЛК, но потом когда мы фолсу убрали, то убрали ее не все.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C

Danilka, у меня тоже были подобные мысли.

P.S. Вот, что значит "воровать" детект. :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Oleg Kupreev

Лучше было в новую тему запостить, их и так у нас не много.

Ложняк закрыл, в следующем обновлении детектировать перестанем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      1) По поводу команды: Сбросить атрибуты для все файлов/каталогов в... Это не работает, если не заданы: Группы или пользователи. т.е. нужно проверить не пуст ли список... Если пуст:  прописать пользователя. И только после этого можно сбросить атрибуты... 2) При проверке ЭЦП по F6 ... Если неполадки с сетевым оборудованием, или службами отвечающими за доступ к сети... uvS видит: Сеть есть... и начинает проверять файлы. А по сути сети нет. т.е. здесь нужен таймер.: Если в течении определённого времени нет результата - то проверять ЭЦП локально ( с соответствующей записью в Лог )   Не ждать, как сейчас 100 500 часов. 3)  Проверка занимает излишне много времени в ситуации: Ошибка  [Не удается построить цепочку сертификатов для доверенного корневого центра. ]
      Ошибка  [Цепочка сертификатов обработана, но обработка прервана на корневом сертификате, у которого отсутствует отношение доверия с поставщиком доверия. ] uVS натыкается на такой файл и думает... думает...
    • PR55.RP55
      1) Если оператор применил фильтр  [V]  Известные. То при применении команды: F6   проверять только оставшиеся в списке файлы. Это на порядок ускорит проверку.  Нужно проверить всё ? Сними чек-бокс.  
    • PR55.RP55
      В Инфо. указывать не только время создания\изменения файла но и время создания... Пример:  Система Установлена 2018  > Каталог создан в 2020, а файл в каталоге  2021  
    • santy
      как только заработает функция "выполнить запрос по критерию" - все отфильтрованные объекты будут на виду у оператора, и скорее всего, помещены в отдельную категорию. Кстати, всех участников данного форума (помимо проходящих мимо спамеров) поздравляю с Новым 2021 годом!
    • PR55.RP55
      1) Добавить в settings.ini  настройку: "Выделять все неизвестные ЭЦП" Таким образом все ЭЦП которых нет в базе:  wdsl будут на виду. Это  позволит пополнять базу wdsl и сразу акцентировать внимание оператора. 2) Добавить в settings.ini  настройку: Все файлы с неизвестной ЭЦП  помечать, как подозрительные. Или создать отдельную категорию: "Неизвестные ЭЦП" 3) В Инфо. файла помещать информацию типа: Действительна, подписано CAVANAGH NETS LIMITED Найдено файлов: 1 wdsl   [ - ] --------------- Действительна, подписано Mozilla Corporation Найдено файлов: 80 wdsl   [ + ]  
×