Специалист ЛК учит бороться с вирусом-шантажистом

Специалист Лаборатории Касперского Олег Зайцев опубликовал заметку о том, как можно бороться с вирусом-шантажистом.

Семейство Trojan-Ransom.Win32.Blocker является классическим примером вредоносных программ, предназначенных для шантажа и вымогательства. При установке на компьютер они прописываются в автозагрузку, в ключ реестра [Software\Microsoft\Windows NT\CurrentVersion\Winlogon], параметр "Userinit", в результате чего блокируют запуск ОС. Получив управление на запуске ОС, зловреды отображают окно с требованием отправить SMS с определенным текстом на указанный короткий номер. В ответ пользователю обещают выслать код разблокировки, который отключит вредоносную программу и разблокирует загрузку компьютера.

Сам по себе Trojan-Ransom.Win32.Blocker несложно удалить при помощи AVZ, AVPTool или вручную из редактора реестра, но есть одна проблема — загрузка ПК блокирована, и пользователь не может получить доступ к рабочему столу и запустить какие-либо программы или утилиты. Защищённый режим Windows также заблокирован.

"Мне стало интересно, всё ли так безнадежно и может ли пользователь сделать что-либо без спецсредств, Live CD и особых технических знаний?", - задался вопросом Олег Зайцев. В результате изысканий был обнаружен довольно простой алгоритм. Сначала необходимо нажать комбинацию WIN-U, что вызовет окно специальных возможностей, изображенное на рисунке.

Оно обладает очень высоким приоритетом и не блокируется трояном. В появившемся окне выбираем экранную лупу, а в окошке данного инструмента кликаем на гиперссылку "Веб-узел Майкрософт". Это приведет к запуску IE, из которого можно загружать любые целебные утилиты, типа AVZ или AVPTool, и запускать программы с диска ПК (в строке адреса можно указать любую программу), online-сканер и т.п.

 

http://www.viruslist.com/ru/weblog 

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Вышел Ideco UTM 14 с возможностью блокировки по GeoIP

Компания «Айдеко» выпустила новый релиз межсетевого экрана Ideco UTM 14. Одна из основных возможностей - возможность блокировки по GeoIP и новые механизмы журналирования. Для пользователей сделан новый интерфейс, плюс появилась возможность централизованного управления настройками безопасности.

Новые возможности Ideco UTM 14:

  • обновленная платформа на базе ядра Linux 5.18
  • реализована возможность логирования срабатываний правил файрвола
  • LACP (агрегирование каналов)
  • возможность создания правил по GeoIP в файрволе
  • отчетность по событиям модуля Web Application Firewall
  • объект “Список IP-адресов” и добавления списка IP и сетей из файла
  • улучшенный UI/UX многих модулей

«Мы выпускаем уже третий мажорный релиз в 2022 году, включающий в себя новые функции безопасности, блокирующие огромное число атак на российские сервера. В 2023-ем году мы не собираемся останавливаться и готовим релиз высокопроизводительного NGFW-решения, подходящего для дата-центров и даже широких каналов провайдеров. Увидим его уже в первой половине года. Продолжаем работать более интенсивно, чем раньше.», – рассказал директор компании «Айдеко» Дмитрий Хомутов.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru