Новый год принес нам новые вирусы. На смену eKav antivirus пришел новый вымогатель по имени Internet Security. Вот он красавец:
Это вирус который просит отправить СМС, чтобы якобы активировать копию некого Internet Security. По всей видимости ситуация начинает принимать характер эпидемии. НЕ ОТПРАВЛЯЙТЕ SMS... Сразу говорю — ВИРУС ПО ПРЕЖНЕМУ ОСТАЕТСЯ В КОМПЬЮТЕРЕ!!!!!
Внимание! Internet Security обнаружил вредоносное ПО на вашем компьютере Вы не зарегистрировали вашу копию Internet Security далее следует всякая чушь о лицензионном соглашении и ради чего всё задумывалось — отправка SMS. СМС с кодом K204114200 на номер 7373 СМС с кодом K207824300 на номер 4460 СМС с кодом K206414000 на номер 4460
Что-же делает этот вирус? На экран зараженного компьютера поверх всех окон вывешивается баннер, напоминающий по стилю дизайн антивируса Касперского, и настоятельно требует выслать платную СМС на четырехзначный номер. Никакие другие программы не запускаются. Соответственно заблокирована вся работа, нет возможности запустить ни диспетчер задач, ни редактор реестра, да вобще никакюю программу. Антивирусы заблокированы и попытки запуска могут приводить к перезагрузке копьютера. Одно радует, что к документам он не лезет.
Для справки: троянский вымогатель (Trojan-Ransom) - вредоносная программа, нарушающая целостность пользовательских файлов, работоспособность отдельного программного обеспечения или операционной системы в целом, и требующая от пользователя заплатить за восстановление нарушенного функционала или поврежденных файлов.
Врага надо уничтожать в корне и все его действия тоже.
Алгоритм лечения Internet Security
1. Загружаемся с LiveCD или USB с тем же WinPE например
2. Удаляем ВСЁ из следующих папок (тем более там один мусор): C:\WINDOWS\Temp\ C:\Documents and Settings\учетная_запись_пользователя\Local Settings\Temp\ C:\Documents and Settings\учетная_запись_пользователя\Local Settings\Temporary Internet Files\
3. Запускаем C:\Windows\regedit.exe В [HKEY_LOCAL_MACHINE\Software\] подключаем соответствующую ветку реестра больной ОС из файла C:\Windows\System32\config\software
4. Удаляем всё подозрительное из следующих веток [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
5. Смотрим, что приписано в [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] В первую очередь нас интерсуют ключи Shell, UIHost и Userinit. Вот что должно быть в них (все остальные добавки длолжны быть удалены): Shell — Explorer.exe UIHost — logonui.exe Userinit — C:\WINDOWS\system32\userinit.exe,
6. удалаяем значение параметра AppInit_DLLs или вообще весь параметр [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
7. Проверяем диск свежим антивирусом, например Dr.Web CureIt!
8. Грузим больную ОС с отключеной сетью (просто шнурок вытащите) и восстанавливаем работоспособность утилитой AVZ
Сервис деактивации вымогателей-блокеров от «Лаборатории Касперского» и портала VirusInfo: http://virusinfo.info/deblocker/
А вообще как-то настораживает немного такой факт — как только интернет захлестнула волна «вымогателей» у Касперского сразу и веб-интерфейс готов, и работает всё хорошо, и под большинство вирусов, а интерфейс таких вымогалок в стиле «каспер» явно отводит глаза от самой компании. Типа вот ещё нас и подставляют...
| 
Главная 
