Программы блокеры Троянцы ( часть 3)
Очень любопытные находки: что и зачем
Очень любопытные находки: что и зачем
Новый способ деактивации?
В середине июля месяца был обнаружен здесь блокер Trojan-Ransom.Win32.Pihun, который обладал самым необычным способом самой разблокировки.
На этом скриншоте хорошо видно, что у этой самой троянской программы есть здесь поле для самого ввода кода разблокировки. Чтобы получить такой код, сам пользователь должен будет положить сами деньги на сам счет кошелька WebMoney. Разумеется, на самой такой квитанции, которой будет получена после самого перевода денег, кода там и не будет, и разблокировать саму эту систему сам пользователь здесь не сможет. Более всего того, что это само поле для самого ввода кода, даже и не проверяется этой вредоносной программой.
На самом же деле, для всего того чтобы здесь разблокировать саму систему, которая заражена этим семейством Pihun, надо будет всего кликнуть на определенную саму точку в окне самого блокера:
На самом же деле, для всего того чтобы здесь разблокировать саму систему, которая заражена этим семейством Pihun, надо будет всего кликнуть на определенную саму точку в окне самого блокера:
Зачем же все таки оставлена такая возможность разблокировки по клику, если все таки о ней и не сообщается самому пользователю? Скорее всего, сам автор такого вот зловреда тестировал эту вредоносную программу на своем компьютере и таким вот образом оставил саму возможность разблокировки для самого себя. Возможно, эта же причина и привела здесь к появлению упомянутого выше самого единого «пароля администратора» в Trojan-Ransom.Win32.Gimemo.
Mbro-конструктор
Еще самой одной интересной находкой здесь стал конструктор для самого быстрого создания самых новых сборок программ троянцев-вымогателей этого семейства Trojan-Ransom.Win32.Mbro. Данное такое семейство здесь примечательно тем, что она заражает самую главную загрузочную запись MBR (Master Boot Record) и здесь блокирует саму систему еще до самой загрузки операционной системы.
Вот как здесь выглядит само окно конструктора этого блокера Mbro:
На самом скриншоте хорошо видно, что для самого создания самой вредоносной программы-блокера при помощи самого конструктора здесь требуется всего лишь отредактировать сам текст сообщения, которое где пользователь зараженного компьютера и увидит на самом экране, ввести сам код разблокировки — и нажать на одну кнопку.
Поскольку сам конструктор был выложен здесь в общий доступ в конце июля, и в начале августа здесь появилось большое множество версий такого блокера, созданных для самого тестирования. Например, очень часто здесь попадались образцы и с телефоном XXXXXXXXXX и самим кодом самой разблокировки PaSsWoRd, которые уже были установлены в конструкторе по умолчанию.
Встречались и самые креативные модификации самого данного блокера, которые были здесь созданы, видимо и для «личного пользования». Вот какое само сообщение появляется на мониторе данного компьютера, который был зараженного такой одной из модификаций Mbro:
Поскольку сам конструктор был выложен здесь в общий доступ в конце июля, и в начале августа здесь появилось большое множество версий такого блокера, созданных для самого тестирования. Например, очень часто здесь попадались образцы и с телефоном XXXXXXXXXX и самим кодом самой разблокировки PaSsWoRd, которые уже были установлены в конструкторе по умолчанию.
Встречались и самые креативные модификации самого данного блокера, которые были здесь созданы, видимо и для «личного пользования». Вот какое само сообщение появляется на мониторе данного компьютера, который был зараженного такой одной из модификаций Mbro:
Скорее здесь всего, этот сам файл и не распространялся очень массово, а был только сделан специально здесь для самой блокировки конкретного компьютера.
Flash-блокер
Во втором полугодии конца 2011 появился самый первый блокер, где само окно которого здесь было создано при помощи программы Adobe Flash, — Trojan-Ransom.Win32.FullScreen. Вот как здесь выглядит само окно такого блокера (скриншот здесь не воспроизводит саму флеш-анимацию самих порно-картинок):
Поскольку у этой самой вредоносной программы и была найдена лишь только одна модификация, где можно будет предположить, что этот данный сам блокер представляет собой концепт. Вероятно, сами вирусописатели стараются проверять все возможности самого использования flash даже и при создании таких блокеров. В пользу всего этого предположения и говорит сама незавершенность этой программы, где обычно сами программы-вымогатели и имеют самый обширный функционал самой блокировки и самозащиты, и однако в самом данном случае сам весь защитный функционал такого зловреда ограничивается здесь отключением самого диспетчера задач Windows, что и дает здесь возможность завершить саму работу блокера при помощи самой обычной комбинации самих клавиш закрытия окна – Alt + F4.
Лечение
Если Вы все таки стали здесь жертвой этих вирусописателей, и ваша сама система оказалась здесь заблокирована, есть одно действие, которое Вам однозначно не стоит делать : не надо отправлять сами деньги злоумышленникам в соответствии с самой инструкцией вредоносной программы. Как Я писал ранее и Выше уже говорилось , в большинстве самих случаев это Вам не поможет разблокировать свой компьютер.
Антивирусные компании которые предлагают самим пользователям сервисы по разблокировке самого компьютеров, которые заражены программами-вымогателями. Вы сможете воспользоваться и самим сервисом Kaspersky Deblocker (http://sms.kaspersky.ru/). Введя здесь номер телефона или самого счета, на который вирусописатели и просят Вас перевести деньги, где Вы получите сам код разблокировки.
Если сама вредоносная программа, которая заразила Ваш компьютер, еще не была внесена в саму базу сервиса Kaspersky Deblocker, либо в ней и отсутствует сам код разблокировки, то для самой разблокирования Вашего компьютера вам будут предложены специальные инструкции и сами утилиты.
Антивирусные компании которые предлагают самим пользователям сервисы по разблокировке самого компьютеров, которые заражены программами-вымогателями. Вы сможете воспользоваться и самим сервисом Kaspersky Deblocker (http://sms.kaspersky.ru/). Введя здесь номер телефона или самого счета, на который вирусописатели и просят Вас перевести деньги, где Вы получите сам код разблокировки.
Если сама вредоносная программа, которая заразила Ваш компьютер, еще не была внесена в саму базу сервиса Kaspersky Deblocker, либо в ней и отсутствует сам код разблокировки, то для самой разблокирования Вашего компьютера вам будут предложены специальные инструкции и сами утилиты.
( источник Лаборатория Касперского)
