пятница, 22 июля 2011 г.

Снова вирус- вымогатель. На сей раз вирус наивно требует заплатить 200 грн. на вебмани, на счет U290470409323.

И снова в деле интернет-вымогатели!
Прошли те времена, когда вирусы писали шутки ради. Вы помните те чудесные вирусы, когда на компе просто-напросто осыпались буквы в нортон коммандере или поселялся какой-нибудь кот на рабочем столе?
Сейчас другая ситуация- вирусы пишут алчные граждане, которые хотят разбогатеть преступным путём.
И вот сегодня на одном компе на работе поселился очередной вирус вымогатель.
При запуске ПК появляется окно.




Система не реагирует на нажатия кнопок, загрузиться в безопасном режиме тоже не получается.
Вирус просит милостыню в размере 200 грн. на счет WebMoney U290470409323.

Понятно, платить нельзя ни в коем случае. Террористов нужно мочить в сортире, а не мотивировать для новой подлости.

Восстановить работоспособность ПК через восстановление системных файлов как в похожем вирусе не получается- все равно 3 пидара висят на экране.

Придется восстановить Windows из заранее созданного образа, ничего не поделаешь.
Кстати, всем всегда советую создавать образы операционной системы программой Acronis.

У всех подобных вирусов есть одна особенность- преступники вынуждены пользоваться сервисами типа веб-мани и единый кошелек и заводить там счета. А в случае обращения с жалобой  на мразей в эти сервисы, их счета будут заблокированы. И вымогатели останутся без денег. Мелочь, а приятно обломать засранцев.

Поэтому в этот раз, как и в прошлый, я сфотографировал текст с вымогательством(для доказательства) и отправил фотографию с письмом на Веб-мани:

Адрес:
all@wmtransfer.com
finance@ukrgarant.com

Тема:

Систему WebMoney используют мошенники, имеющие счет U290470409323


Сообщение:
Добрый день!
Прошу Вас принять меры относительно противоправных действий
вашего
клиента, пользователя системы WebMoney, имеющего счет U290470409323
который занимается мошенничеством и вымогательством в
web.
Только что на мой компьютер попал вирус,
который блокирует все окна ПК и
выдает баннер с требованием перевести на счет в системе WebMoney 200 грн.

Считаю, что Вы должны принять незамедлительные действия к пресечению преступных действий с использованием вашей системы.

Надеюсь, преступники не смогут воспользоваться деньгами, поступившими на их счет U290470409323 от пострадавших граждан. 

В прикрепленных файлах - фото баннера в качестве доказательства.


Будем ждать, что ответят.
Всем в подобной ситуации советую поступать так же- чем больше людей пожалуется, тем быстрее и радикальнее примут меры.
В прошлый раз в аналогичной ситуации "Единый кошелёк" среагировал молниеносно, меры были приняты


По теме в блоге:

Вебмани очень оперативен! Счёт U290470409323 заблокирован.

Windows заблокирован! Пополнить счёт "Единый кошелек" №161298312965.


"Единый кошелек" №161298312965. Меры приняты.

.

16 комментариев:

  1. маладец парень!!!!я то напишу!!!так а ты как то убрал ету хрень?

    ОтветитьУдалить
  2. Пока нет- просто восстановить систему из образа дело 20 минут, но хочу разобраться как еще можно вылечить вирус- ведь и другие рабочие компы могут подхватить эту гадость.
    на данный момент получается, что убрать вирус не получается восстановлением системных файлов, лечением Cureit LiveCD; на кнопки комп не реагирует; интернет не знает, как лечить.
    Потому не спешу восстанавливать комп, он у меня для опытов.

    ОтветитьУдалить
  3. Клиент подхватил именно эту модификацию вируса, та же нетрадиционная заставка, тот же кошелек ВМ.
    Лечил с помощью загрузочного Kaspersky WindowsUnlocker. Судя по логу, вирь меняет путь к userinit.

    ОтветитьУдалить
  4. Не могу вылечить. Просить на № 89897227077 МТС отправить 500 руб Помогите найти код . Каспер и док веб не помогли
    Лариса

    ОтветитьУдалить
  5. Проблема с файлом userinit.exe в папке windows. скачайте файл с интернета и замените у себя на компе(если не помогло, замените также в папке windows\system32). Я загружался с dr.web livecd
    http://www.freedrweb.com/livecd/

    ОтветитьУдалить
  6. лечится просто.зайдите в безопасный режим с пожжержкой командной строки.
    запустите реестр regedit.exe
    HKEY_Local_Machine\Software\Microsoft\Windows NT\Current version\Winlogon\Shell
    в параметре shell заменить всю ту хрень на explorer.exe
    в свою очередь путь который там записан скопируйте или запишите.
    Запестите explorer с командной строки после того как изменили путь в реесте. и грохнете тот файл на который был указан путь.

    ОтветитьУдалить
  7. А как просто зайти в безопасном режиме если автор статьи написал: "Система не реагирует на нажатия кнопок, загрузиться в безопасном режиме тоже не получается."?

    ОтветитьУдалить
  8. При загрузке виндовс нужно нажимать с периодичностью 1 сек. кнопку F8. Появится меню загрузки, среди прочих пунктов есть пункт "безопасный режим с поддержкой командной строки".
    Возможно, в этом режиме ПК загружается, я не проверял т.к. все равно не знаю команды для запуска в этом режиме.

    ОтветитьУдалить
  9. Да, ты похоже сам наивен. Так тебе и закроют счёт, который приносит деньги, про которые никто не спросит. Ты не подумал кто получит деньги после того, как ты про такой счёт "проинформируешь"? Так подумай! :)

    ОтветитьУдалить
  10. Сталкивался с этим не раз. Платить конечно - себя не уважать. Лечение тут одно... найти этот файл, остановить процесс и удалить его. Каким конкретно способом это будет делаться не имеет особого значения. Думаю любой нормальный ИТ специалист разберётся. Судя по тому что эти штуковины не удаляют реально файлы, хотя можно было такое организовать, то "умельцы", которые это делают, делают это не сами по себе... их "крышуют" сверху.

    ОтветитьУдалить
  11. "найти этот файл, остановить процесс и удалить его. Каким конкретно способом это будет делаться не имеет особого значения."
    ---
    Вспоминается анекдот-загадка:
    -Как засунуть слона в холодильник?
    -Открываешь дверцу холодильника, заталкиваешь слона в холодильник, закрываешь дверцу холодильника. Всего-то делов.

    ОтветитьУдалить
  12. Имею ту же фигню (сынишка подхватил). Только сумма 1000 грн и кошелек другой.

    Нашла рекомендацию в гугле:
    Загрузитесь до старта Windows с загрузочного диска Kaspersky Rescue Disk.
    Образ можно взять здесь: http://rescuedisk.kaspersky-labs.com/rescuedisk/updatable
    Запишите этот образ на флешку с помощью программы: http://rescuedisk.kaspersky-labs.com/rescuedisk/updatable/rescue2usb.exe
    Чтобы загрузиться, зайдите в настройки BIOS и на вкладке Boot поставьте загрузку с флешки.
    Когда загрузитесь, запустите Kaspersky WindowsUnlocker. Она автоматически начнёт лечение.

    Попробую...

    Жаль, имя сайта откуда он свою игрушку качал не запомнил...
    Мочить!!!!

    ОтветитьУдалить
  13. Хвала Касперскому - за 5 минут этой друни не стало! Был Trojan-Ransom.Boot.Mbro.d

    Теперь еще сайт-распространитель надо отдрючить...

    ОтветитьУдалить
  14. Улыбнуло... Переустановить винду- это основной и единственный метод "компьютерщика-АСУТПшника". Поржал, спасибо!

    ОтветитьУдалить
  15. Заходите почаще. Думаю, такому Мастеру, как вы, есть что сказать асутепешникам. Ваши слова выдают настоящего профессионала:))

    ОтветитьУдалить
  16. =)) загружаете винду с любого загрузочного диска. предварительно скачиваете CureIT. Сканируете с помощью CureIT папку пользователя. обычно имя зараженного файла цифры (25692569215.exe). CureIT его находит. копируете имя файла. заходите в редактор реестра. загружаете куст реестра. (лень долго описывать нашёл в инете пример) всё как написано тут:(http://virus-free.ru/ydalenie-sms-virusa-vymogatela-s-livecd/), и + проводим поиск по реестру по имени файла-вируса. Последнее время не использую даже CureIT. просто поиском в папки пользователя ищу файлы *.exe их обычно не много и с лёгкостью нахожу этот вирус. удаляю + чищу в реестре. это занимает 3-5 минут.

    ОтветитьУдалить