И снова в деле интернет-вымогатели!
Прошли те времена, когда вирусы писали шутки ради. Вы помните те чудесные вирусы, когда на компе просто-напросто осыпались буквы в нортон коммандере или поселялся какой-нибудь кот на рабочем столе?
Сейчас другая ситуация- вирусы пишут алчные граждане, которые хотят разбогатеть преступным путём.
И вот сегодня на одном компе на работе поселился очередной вирус вымогатель.
При запуске ПК появляется окно.
Система не реагирует на нажатия кнопок, загрузиться в безопасном режиме тоже не получается.
Вирус просит милостыню в размере 200 грн. на счет WebMoney U290470409323.
Понятно, платить нельзя ни в коем случае. Террористов нужно мочить в сортире, а не мотивировать для новой подлости.
Восстановить работоспособность ПК через восстановление системных файлов как в похожем вирусе не получается- все равно 3 пидара висят на экране.
Придется восстановить Windows из заранее созданного образа, ничего не поделаешь.
Кстати, всем всегда советую создавать образы операционной системы программой Acronis.
У всех подобных вирусов есть одна особенность- преступники вынуждены пользоваться сервисами типа веб-мани и единый кошелек и заводить там счета. А в случае обращения с жалобой на мразей в эти сервисы, их счета будут заблокированы. И вымогатели останутся без денег. Мелочь, а приятно обломать засранцев.
Поэтому в этот раз, как и в прошлый, я сфотографировал текст с вымогательством(для доказательства) и отправил фотографию с письмом на Веб-мани:
Адрес:
all@wmtransfer.com
finance@ukrgarant.com
Тема:
Прошу Вас принять меры относительно противоправных действий
вашего
клиента, пользователя системы WebMoney, имеющего счет U290470409323
который занимается мошенничеством и вымогательством в
web.
Только что на мой компьютер попал вирус,
который блокирует все окна ПК и
выдает баннер с требованием перевести на счет в системе WebMoney 200 грн.
Считаю, что Вы должны принять незамедлительные действия к пресечению преступных действий с использованием вашей системы.
Надеюсь, преступники не смогут воспользоваться деньгами, поступившими на их счет U290470409323 от пострадавших граждан.
В прикрепленных файлах - фото баннера в качестве доказательства.
Будем ждать, что ответят.
Всем в подобной ситуации советую поступать так же- чем больше людей пожалуется, тем быстрее и радикальнее примут меры.
В прошлый раз в аналогичной ситуации "Единый кошелёк" среагировал молниеносно, меры были приняты
По теме в блоге:
Прошли те времена, когда вирусы писали шутки ради. Вы помните те чудесные вирусы, когда на компе просто-напросто осыпались буквы в нортон коммандере или поселялся какой-нибудь кот на рабочем столе?
Сейчас другая ситуация- вирусы пишут алчные граждане, которые хотят разбогатеть преступным путём.
И вот сегодня на одном компе на работе поселился очередной вирус вымогатель.
При запуске ПК появляется окно.
Система не реагирует на нажатия кнопок, загрузиться в безопасном режиме тоже не получается.
Вирус просит милостыню в размере 200 грн. на счет WebMoney U290470409323.
Понятно, платить нельзя ни в коем случае. Террористов нужно мочить в сортире, а не мотивировать для новой подлости.
Восстановить работоспособность ПК через восстановление системных файлов как в похожем вирусе не получается- все равно 3 пидара висят на экране.
Придется восстановить Windows из заранее созданного образа, ничего не поделаешь.
Кстати, всем всегда советую создавать образы операционной системы программой Acronis.
У всех подобных вирусов есть одна особенность- преступники вынуждены пользоваться сервисами типа веб-мани и единый кошелек и заводить там счета. А в случае обращения с жалобой на мразей в эти сервисы, их счета будут заблокированы. И вымогатели останутся без денег. Мелочь, а приятно обломать засранцев.
Поэтому в этот раз, как и в прошлый, я сфотографировал текст с вымогательством(для доказательства) и отправил фотографию с письмом на Веб-мани:
Адрес:
all@wmtransfer.com
finance@ukrgarant.com
Тема:
Добрый день!
Прошу Вас принять меры относительно противоправных действий
вашего
клиента, пользователя системы WebMoney, имеющего счет U290470409323
который занимается мошенничеством и вымогательством в
web.
Только что на мой компьютер попал вирус,
который блокирует все окна ПК и
выдает баннер с требованием перевести на счет в системе WebMoney 200 грн.
Считаю, что Вы должны принять незамедлительные действия к пресечению преступных действий с использованием вашей системы.
Надеюсь, преступники не смогут воспользоваться деньгами, поступившими на их счет U290470409323 от пострадавших граждан.
В прикрепленных файлах - фото баннера в качестве доказательства.
Будем ждать, что ответят.
Всем в подобной ситуации советую поступать так же- чем больше людей пожалуется, тем быстрее и радикальнее примут меры.
В прошлый раз в аналогичной ситуации "Единый кошелёк" среагировал молниеносно, меры были приняты
По теме в блоге:
маладец парень!!!!я то напишу!!!так а ты как то убрал ету хрень?
ОтветитьУдалитьПока нет- просто восстановить систему из образа дело 20 минут, но хочу разобраться как еще можно вылечить вирус- ведь и другие рабочие компы могут подхватить эту гадость.
ОтветитьУдалитьна данный момент получается, что убрать вирус не получается восстановлением системных файлов, лечением Cureit LiveCD; на кнопки комп не реагирует; интернет не знает, как лечить.
Потому не спешу восстанавливать комп, он у меня для опытов.
Клиент подхватил именно эту модификацию вируса, та же нетрадиционная заставка, тот же кошелек ВМ.
ОтветитьУдалитьЛечил с помощью загрузочного Kaspersky WindowsUnlocker. Судя по логу, вирь меняет путь к userinit.
Не могу вылечить. Просить на № 89897227077 МТС отправить 500 руб Помогите найти код . Каспер и док веб не помогли
ОтветитьУдалитьЛариса
Проблема с файлом userinit.exe в папке windows. скачайте файл с интернета и замените у себя на компе(если не помогло, замените также в папке windows\system32). Я загружался с dr.web livecd
ОтветитьУдалитьhttp://www.freedrweb.com/livecd/
лечится просто.зайдите в безопасный режим с пожжержкой командной строки.
ОтветитьУдалитьзапустите реестр regedit.exe
HKEY_Local_Machine\Software\Microsoft\Windows NT\Current version\Winlogon\Shell
в параметре shell заменить всю ту хрень на explorer.exe
в свою очередь путь который там записан скопируйте или запишите.
Запестите explorer с командной строки после того как изменили путь в реесте. и грохнете тот файл на который был указан путь.
А как просто зайти в безопасном режиме если автор статьи написал: "Система не реагирует на нажатия кнопок, загрузиться в безопасном режиме тоже не получается."?
ОтветитьУдалитьПри загрузке виндовс нужно нажимать с периодичностью 1 сек. кнопку F8. Появится меню загрузки, среди прочих пунктов есть пункт "безопасный режим с поддержкой командной строки".
ОтветитьУдалитьВозможно, в этом режиме ПК загружается, я не проверял т.к. все равно не знаю команды для запуска в этом режиме.
Да, ты похоже сам наивен. Так тебе и закроют счёт, который приносит деньги, про которые никто не спросит. Ты не подумал кто получит деньги после того, как ты про такой счёт "проинформируешь"? Так подумай! :)
ОтветитьУдалитьСталкивался с этим не раз. Платить конечно - себя не уважать. Лечение тут одно... найти этот файл, остановить процесс и удалить его. Каким конкретно способом это будет делаться не имеет особого значения. Думаю любой нормальный ИТ специалист разберётся. Судя по тому что эти штуковины не удаляют реально файлы, хотя можно было такое организовать, то "умельцы", которые это делают, делают это не сами по себе... их "крышуют" сверху.
ОтветитьУдалить"найти этот файл, остановить процесс и удалить его. Каким конкретно способом это будет делаться не имеет особого значения."
ОтветитьУдалить---
Вспоминается анекдот-загадка:
-Как засунуть слона в холодильник?
-Открываешь дверцу холодильника, заталкиваешь слона в холодильник, закрываешь дверцу холодильника. Всего-то делов.
Имею ту же фигню (сынишка подхватил). Только сумма 1000 грн и кошелек другой.
ОтветитьУдалитьНашла рекомендацию в гугле:
Загрузитесь до старта Windows с загрузочного диска Kaspersky Rescue Disk.
Образ можно взять здесь: http://rescuedisk.kaspersky-labs.com/rescuedisk/updatable
Запишите этот образ на флешку с помощью программы: http://rescuedisk.kaspersky-labs.com/rescuedisk/updatable/rescue2usb.exe
Чтобы загрузиться, зайдите в настройки BIOS и на вкладке Boot поставьте загрузку с флешки.
Когда загрузитесь, запустите Kaspersky WindowsUnlocker. Она автоматически начнёт лечение.
Попробую...
Жаль, имя сайта откуда он свою игрушку качал не запомнил...
Мочить!!!!
Хвала Касперскому - за 5 минут этой друни не стало! Был Trojan-Ransom.Boot.Mbro.d
ОтветитьУдалитьТеперь еще сайт-распространитель надо отдрючить...
Улыбнуло... Переустановить винду- это основной и единственный метод "компьютерщика-АСУТПшника". Поржал, спасибо!
ОтветитьУдалитьЗаходите почаще. Думаю, такому Мастеру, как вы, есть что сказать асутепешникам. Ваши слова выдают настоящего профессионала:))
ОтветитьУдалить=)) загружаете винду с любого загрузочного диска. предварительно скачиваете CureIT. Сканируете с помощью CureIT папку пользователя. обычно имя зараженного файла цифры (25692569215.exe). CureIT его находит. копируете имя файла. заходите в редактор реестра. загружаете куст реестра. (лень долго описывать нашёл в инете пример) всё как написано тут:(http://virus-free.ru/ydalenie-sms-virusa-vymogatela-s-livecd/), и + проводим поиск по реестру по имени файла-вируса. Последнее время не использую даже CureIT. просто поиском в папки пользователя ищу файлы *.exe их обычно не много и с лёгкостью нахожу этот вирус. удаляю + чищу в реестре. это занимает 3-5 минут.
ОтветитьУдалить