Посчастливилось мне в субботу в первых рядах наткнуться на новый вирус. Сейчас еду лечить очередной еще один случай. По виду обычный винлок, но, в отличие от большинства собратьев, представляет действительно угрозу для информации счастливых обладателей "продвинутой" семерки, т.к. пользуется ее возможностями по шифрованию файлов.
Вирус выдает обычное сообщение, что MS Essentials обнаружил на этом компе порно и прочее бла-бла-бла, поэтому компьютер заблокирован. Для разблокировки нужно прилсать 500р на счет телефона самарского МТС (варьируется из списка примерно 80 номеров), разблокировочный код якобы будет выбит на чеке от терминала (ага-ага
, конечно-конечно). В общем, кто-то из МТС уроды, и явно скорее всего в доле.
исправления внес, т.к. отклик от МТС сильно повысил мое отношение к этой компании, некогда уапавшее ниже плинтуса.
На вечер воскресенья ведущие производители антивирусов еще не имели вакцины от этой штуки, информация о его поведени накапливается. Пока известно, что заражение происходит с разных "мусорных" сайтов, но иногда, например, через форум по садоводству. Всякие мейл-ру-спутники и агенты тоже обожают тащить заразу на свой компьютер. Повбывав бы. Где нынче встретил - уже убил, благо повод достаточный
При заражении создается несколько екзешников с именем из длинных комбинаций цифр в каталоге пользователя (W7 c:\users\%user_name%\, XP c:\documents&settings\%user_name%\) и других местах диска, экзешники вычисляются по времени создания. Из реестра надо еще вычищать ссылки на него через Winlogon.
Для счастливых обладателей продвинутой семерки, обретших себе особо крYтой геморрой, повторяю: в данном случае риск потери данных ДЕЙСТВИТЕЛЬНО существует! Поэтому первым делом спасайте инфу, но ни в коем случае НЕ ВКЛЮЧАЯ зараженную систему, а сняв винчестер или загрузившись с LiveCD/флешки.
Пока все, времени на подробности нет. Продолжение, возможно, следует.
Вирус выдает обычное сообщение, что MS Essentials обнаружил на этом компе порно и прочее бла-бла-бла, поэтому компьютер заблокирован. Для разблокировки нужно прилсать 500р на счет телефона самарского МТС (варьируется из списка примерно 80 номеров), разблокировочный код якобы будет выбит на чеке от терминала (ага-ага
, конечно-конечно). В общем, кто-то из МТС исправления внес, т.к. отклик от МТС сильно повысил мое отношение к этой компании, некогда уапавшее ниже плинтуса.
На вечер воскресенья ведущие производители антивирусов еще не имели вакцины от этой штуки, информация о его поведени накапливается. Пока известно, что заражение происходит с разных "мусорных" сайтов, но иногда, например, через форум по садоводству. Всякие мейл-ру-спутники и агенты тоже обожают тащить заразу на свой компьютер. Повбывав бы. Где нынче встретил - уже убил, благо повод достаточный
При заражении создается несколько екзешников с именем из длинных комбинаций цифр в каталоге пользователя (W7 c:\users\%user_name%\, XP c:\documents&settings\%user_name%\) и других местах диска, экзешники вычисляются по времени создания. Из реестра надо еще вычищать ссылки на него через Winlogon.
Для счастливых обладателей продвинутой семерки, обретших себе особо крYтой геморрой, повторяю: в данном случае риск потери данных ДЕЙСТВИТЕЛЬНО существует! Поэтому первым делом спасайте инфу, но ни в коем случае НЕ ВКЛЮЧАЯ зараженную систему, а сняв винчестер или загрузившись с LiveCD/флешки.
Пока все, времени на подробности нет. Продолжение, возможно, следует.
-
-
04.06.2012 в 13:21Будем искренне признательны, если напишете подробности на [email protected], указав номера, на которые просят совершить платеж. Примем соответствующие меры.
С уважением,
ОАО "МТС"
-----------------------------------------------------------
e-mail: [email protected]
Twitter: twitter.com/ru_mts
Facebook: www.facebook.com/MTS
VK: vk.com/ru_mts
LJ: mts-mts.livejournal.com/
ICQ: 609413801
-
-
04.06.2012 в 14:37Благодарю за предупреждение. На мейл-почту ближайшие дни лазить не буду.
-
-
04.06.2012 в 16:01дублируется почтой:
Записан у меня пока один из этих номеров: +79879401267
Информацию о других буду собирать и с удовольствием вышлю по первой возможности. Надеюсь, принятые меры возымеют действие, и мне тоже будет приятно об этом узнать
Должен также сказать, что это письмо мое уважение к МТС значительно подняло. Желаю им успеха в очистке рядов
-
-
04.06.2012 в 20:17Здравствуйте!
Подскажите, пожалуйста, как лечили? У меня такая же гадость поймалась в прошлую среду на XP Professional SP3. Зайти в безопасный режим и эвакуировать свои файлы удалось, а вот разблокировать систему и убрать их баннер - пока нет. Я не очень продвинутый пользователь, пробовала алгоритмы, которые приводятся у Dr. Web тут - не помогает.
-
-
04.06.2012 в 22:15Со второго пользователя прошелся с cureIT, после чего перегрузился с флэшки и удалил пользователя. Далее на ночь полная проверка доктор вебом и Ccleaner. Реестр чистый, комп работает.
-
-
04.06.2012 в 23:11который пока что ничего не находит, свежескачанный. Но в режиме полной защиты он об этом и не сообщает
далил пользователяудалил пользователя
И это было совершенно гениальным решением - т.к. основной исполняемый файл этой гадости живет в каталоге пользователя
Подскажите, пожалуйста, как лечили?
Сйчас уже можно с уверенностью рекомендовать методику, сегодня в очередной раз сработавшую:
1. Загрузиться с LiveCD или флешки.
2. На Вин7 первым делом сохранить ценную информацию. Что, правда, для любой системы невредно
3. В любом случае, запустить поиск *.exe файлов с датой возникновения от суток до момента обнаруженного заражения (обычно обнаруживается сразу, ну мало ли).
4. Скорее всего, в каталоге пользователя (W7 c:\users\%user_name%\, XP c:\documents&settings\%user_name%\) найдется нечто с длинным именем из набора цифр начиная с нуля. Удалить. В случае обнаружения других подозрительных екзешников - удалить тоже.
5. Если есть возможность запустить редактор реестра, проверить, что там в разделе Winlogon/Shell Должно быть explorer.exe, но иногда вместо этого оказывается ссылка на удаленный файл. Исправить.
5а. Если нет такой возможности - рискнуть запустить. При правильном выполнении все хорошо, в крайнем случае вернуться к редактированию реестра и таки вписать Прооводник на его законное место.
Проверено за эти дни многократно, с последней успешной операции только что вернулся. Рекомендую
-
-
04.06.2012 в 23:45А на счет пользователя, то тут банальная логика
-
-
04.06.2012 в 23:59И у меняу был
со второго всё спокойно работает и блочится система именно при заходе на конкретного пользователя, то место проблемы детектед
Ну да. Но обычно у людей ОДИН пользователь, и хвала Святому Катодию, если это не единственный администратор
А вообще вирус оказался весьма наглым и вредным, но тупым и примитивным на удивление. Руками лечится безо всякого антивиря. Вот защититься от него, да, антивирь надобен специально обученный.
-
-
05.06.2012 в 00:13-
-
05.06.2012 в 00:18Это дает возможность, если что, использовать незагаженную админскую запись как спасательный круг. Иногда спасает.
Две (или более) админские записи, если используются как пользовательские обе, имеют все шансы обе и накрыться.
-
-
05.06.2012 в 00:19Спасибо! Попытаюсь.
-
-
05.06.2012 в 00:22Ясно...Ладно, будем выёживать.
-
-
05.06.2012 в 00:25Удачи! Если что, пишите. Если совсем все плохо, зовите на помощь.
-
-
05.06.2012 в 00:45-
-
05.06.2012 в 08:492. Важно еще и то, как ведет себя антивирус в мирное время. Касперский, к примеру, сильно тормозит, в сочетании с Вистой это было вообще летально. Может быть, вирус мог прорвать ту защиту только с большим трудом, но пользователь испытывал проблемы не меньше, чем вирус. Или даже больше.
3. При использовании платных антивирусов самая большая подстава: люди ЗАБЫВАЮТ, что лицензию НАДО продлевать! Как правило, единожды купивши антивирь, люди расслабляются навсегда.
В результате, словив вирус, люди заодно ловят когнитивный диссонанс: как же так, у меня ж ТАКАЯ защита! Была...полгода-год назад, как оказывается при вскрытии.
Из платных продуктов последнее время в целом неплохо выглядят НОД32 и ДрВеб. Из бесплатных кроме AVG просто говорить не о чем, по моему.
-
-
05.06.2012 в 10:21-
-
05.06.2012 в 22:35Огромное спасибо, получилось!
С реестром я, правда, не разобралась, но запустилось и так.
-
-
06.06.2012 в 00:41-
-
06.06.2012 в 02:38И еще раз спасибо.
Если нужно для статистики, номер, на который требовали положить денег у меня: +79171076916.
-
-
10.06.2012 в 12:06+79874319467
-
-
11.06.2012 в 09:52-
-
12.06.2012 в 22:18-
-
13.06.2012 в 09:34-
-
15.06.2012 в 08:34-
-
28.06.2012 в 19:35файлик 42.exe
-
-
28.06.2012 в 23:04-
-
29.06.2012 в 11:42-
-
04.07.2012 в 13:51+79134677453
В пользовательской директории лежало 2 экземпляра - ms.exe и 0.9960137174400437.exe
-
-
04.07.2012 в 14:09Главное, алгоритм лечения продолжает действовать. Во многих случаях он должен помогать при появлении новых вирусей, еще незнакомых разработчикам защиты.
А служба поддержки МТС продолжает исправно благодарить за присланные номера, но упорно не замечает просьбы рассказать о проделанной по ним работе.