Поиск по этому блогу

вторник, 31 января 2012 г.

Новая модификация Trojan.Winlock.5310

В сети появилась новая модификация винлока Trojan.Winlock.5310
Скрыто текстовое поле для ввода кода и кнопка.
Текстовое поле на самом деле есть и код разблокировки для него есть, но они скрыты.




Для того,чтобы ввести код-необходимо

1)Щелкнуть мышкой в районе скрытого поля,при этом курсор сменит свой с такого

на вот такой


Это текстовое поле примерно находится вот здесь


2)Вводим указаный код и щелкаем немного правее (там скрытая кнопка)




номера для этого винлока и код

79067981365
79091511808
79091614692
79636628464
79670182110
79636614148
79091574574
79091514971
79060970801
79091514971

код: 205985414

код: 9485739234



Ручное удаление.

1)Включить машину, нажать и держать клавишу F8


2)Выбрать Безопасный режим с поддержкой коммандной строки.



для Windows 7






для Windows XP






3)В появившемся черном окне консоли ввести regedit.exe и нажать энтер.



4)В редакторе реестра щелкнуть по папке HKEY_CURRENT_USER
далее по Software
и так весь путь

HKEY_CURRENT_USER==>Software ==> Microsoft ==> Windows NT ==> CurrentVersion ==> Winlogon



5) Щелкнуть правой кнопкой по ключу Shell


6)Выбрать Изменить

7)Выделить в текстовом поле весь путь к файлу, потом щелкнуть правой кнопкой мышки -Копировать.
(запомните весь путь к файлу..или запишите на бумажку вам ведь потом прийдется этот файл найти и удалить)



8)Теперь нажать Отмена

9)Выделить ключ Shell и щелкнуть правой кнопкой мышки -Удалить.



10)Щелкнуть Правка-Найти




11)Вставить, тот путь что у нас скопирован (щелкнуть правой кнопкой мышки-Вставить).



12)Нажать Найти далее.

13)Каждый найденый ключ удаляем


14)Снова щелкаем Правка-Найти далее  (найденое удаляем) пока не появится вот такое окошко


15)Закрываем редактор реестра

16)В консоли вводим shutdown -r





И нажимаем энтер. Ждем пока машина перезагрузится.
Нормально загрузиться.



17)Теперь находим этот файл в проводнике и просто удаляем.
Если не можете найти-пишите на почту mrbelyash@yandex.ru удаленно залезу и найду его

Или скачиваем свежий Dr.Web CureIT или Kaspersky Virus Removal Tool и проверяем машину.

Видео как удалить этот винлок вручную


P.S.

Ключи в реестре

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Shell = "c:\documents and settings\Администратор\Рабочий стол\xxx_porno.exe"

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
Shell= "C:\Documents and Settings\Администратор\Рабочий стол\xxx_porno.exe"

В некоторых случаях создается ключ еще вот здесь

HKEY_USERS\S-1-5-21-1482476501-602609370-839522115-500\Software\Microsoft\Windows\CurrentVersion\Run
"Shell"="C:\\Documents and Settings\\Администратор\\Рабочий стол\\xxx_porno.exe"

 S-1-5-21-1482476501-602609370-839522115-500- на других машинах может быть разным. Так что лучше воспользоваться поиском.  
Автор: на 18 комментариев:

Sandboxie. Будем знакомы.

в процессе редактирования....

      Предлагаю Вам на рассмотрение одну из так называемых программ песочниц , а именно Sandboxie.

Песо́чница (англ. sandbox) — в компьютерной безопасности механизм для безопасного исполнения программ.
Как правило, песочницы используют для запуска непроверенного кода из неизвестных источников, как средство проактивной защиты от вредоносного кода, а также для обнаружения и анализа вредоносных программ. Также, зачастую, песочницы используются в процессе разработки программного обеспечения для запуска «сырого» кода, который может случайно повредить систему или испортить сложную конфигурацию. Такие «тестировочные» песочницы копируют основные элементы среды, для которой пишется код, и позволяют разработчикам быстро и безболезненно экспериментировать с неотлаженным кодом.
http://ru.wikipedia.org/wiki/Песочница_(безопасность)

Установка

1) Скачиваем с сайта  http://www.sandboxie.com/index.php?DownloadSandboxie

2) Устанвливаем . Сразу же указываем язык приложения


И принимаем лицензионное соглашение.


3) Устанавливаем драйвер


Внимание. Если у Вас установлен какой-либо антивирус, его необходимо  временно остановить. Как правило это касается различных проактивных плюшек, используемых в антивирусе.
Например если у вас установлена последняя версия антивируса Dr.Web 7.0 то эта галочка должна быть снята.



4) Завершение установки. Желательно сразу же перезагрузиться.

Настройка

При первом запуске программы может появиться вот такое окошко


Просто нажимаем ОК.

Щелкаем Настройка-Интеграция в Проводник.




Зачем это нужно?
    Это очень удобная фишка. В Проводнике правой кнопкой мышки щелкаем по любому исполняемому файлу (или например текстовому документу) и выбираем Запустить в Песочнице.




Если это был вирус или например в вордовском документе был макровирус-они запустятся в песочнице и ничего вашей системе сделать не смогут.

Работа

Есть несколько вариантов запустить приложение в Песочнице.
Например из трея. Там находится значок


 Щелкаем правой кнопкой по значку, далее по DefaulBox (это профиль Песочницы по умолчанию, содержит все настройки именнно для него. Можно создать новый профиль с другим именем и другими настройками).



И выбираем например пункт Запустить Web-браузер. 



У меня по-умолчанию установлен Chrome. Если подвести мышку к краю приложения (Chrome), то мы увидим желтую окантовку окошка-это означает что приложение запущено в Песочнице.

Тестирование

1) Заходим на зараженный сайт, предлагающий нам клубничку
2) Скачиваем от-туда видеоролик и сохраняем его.




Возможно появится вот такое окошко


Нажимаем Закрыть. Зачем это нужно?
А в данном случае файл сохранится сразу в Песочнице и не попадет к нам на диск.  А потом мы его сразу же в Песочнице и запустим.

Щелкаем по значку Sanboxie и выбираем Запустить Windows Explorer


Появляется Проводник и он тоже будет заключен в желтую рамочку, а значит он сейчас в Песочнице.


Находим наш скачаный файлик и запускаем его.
Как видим в проводнике расширение файла avi , то есть это видео файл. Однако на самом деле это не так. У файла двойное расширение


best-ru-porno.avi.exe


Просто Проводник нам его не показывает.
А значит это уже не безобидный видео ролик.

Запускаем его.


 И получаем баннер, блокирующий рабочий стол.

Что же делать?
Просто перезагружаем машину кнопкой на системном блоке.


    После перезагрузки наша система грузится без баннера. Т.е. песочница не дала ему изменить реестр и файлы на Вашей системе

Копирование файлов

Чтобы скопировать файл из Песочницы на Вашу систему- нужно:

1) Щелкаем по значку Sanboxie и выбираем Запустить Windows Explorer
2) Выделяем там нужный файл или группу файлов

3) Щелкаем правой кнопкой мышки-Копировать


4) Выйти за пределы желтой рамки и у себя на Рабочем столе щелкнуть правой кнопкой мышки -Вставить.

Очистка Песочницы

    Щелкаем по значку Sanboxie и выбираем DefaulBox -Удалить содержимое.



После этого все сохраненные файлы в песочнице будут удалены.

Закрыть зависшее приложение

Иногда бывает, что какое-либо приложение зависает. Чтобы закрыть его/их необходимо  щелкнуть по значку Sanboxie и выбрать Закрыть Все программы.



Вот вроде бы и все что я хотел рассказать про это замечательное приложение.
Комментарии и жалобы приветствуются.

P.S.

     После окончания триального/бесплатного срока использования программа продолжает полнофункционально работать. Но каждый раз при запуске выводит окошко с напоминанием и кнопкой с таймером 5 сек.
После прошествия указанного срока щелкаем на кнопочку и пользуемся дальше.

----------------

Дополнение

Решил протестировать Песочницу и Энкодер (троян шифрующий файлы...и меняющий расширение например на mrbelyash)

Без Песочницы все наши файлы шифруются на ура.



А вот если мы по незнанию запустим троян в Песочнице то ничего не произойдет.
Нас даже предупредят о попытке смены обоев.




Как видим наши файлы в целости и сохранности.
И это радует ;)


Автор: на 12 комментариев:

Trojan.Winlock.5487 на номер U159263256925

https://www.virustotal.com/file/567e12f44778ff1729cbe6f2736a778bbed60d02e37e818afcd68d7f0869061c/analysis/




U378896933868
U626495612813
U284533115072
U259258595601
U159263256925
U858318028574
U293878336397
U385984220340
U753670445291
U343538475462

код: newnew




P.S.

Чтобы ввести буквенный код необходимо:
1. щелкнуть мышью на поле ввода блокера
2. нажать комбинацию CTRL+SHIFT+ESC
После этого в поле ввода блокера можно вводить текст с клавиатуры. Если ввод текста все равно невозможен повторить действия 1 и 2 несколько раз.


Видео как удалить вручную....



Автор: на Комментариев нет:

Trojan.MbrLock.6 на номер 380635723869

Внимание! Ваш ПК заблокирован за просмотр и тиражирование порнографии с
участием несовершеннолетних гомосексуалистов, элементами извращений.
Для разблокировки, Вам необходимо оплатить штраф в размере 320 гривен
в любом терминале оплаты. Выберите на экране терминала категорию
"Электронные деньги"или подобный раздел. Найдите эмблему платежной
системы QIWI . Пополните кошелек QIWI, для этого - введите
номер кошелька(12 цифр) - 380635723869 и пополните его на 320 гривен.
По завершению оплаты, на выданном терминалом чеке оплаты, Вам будет
выдан персональный код, после ввода которого, Ваш ПК будет автоматически
разблокирован. В случае отказа от оплаты, операционная система
будет уничтожена, без возможности восстановления.

380635723869
380635723732
380635723755
380635723740

код: 112221
Автор: на Комментариев нет:

понедельник, 30 января 2012 г.

Trojan.Winlock.5310 на номер 79091576647

https://www.virustotal.com/file/88562ffdfb298a693fef46938f37b50802339d894f33c92f1e257588f11c748d/analysis/




79096504284
79091618106
79091618439
79099360330
79036726322
79067982878
79651597360
79067716100
79091576647
79067716100

код: 459652018
Автор: на Комментариев нет:
Ярлыки:

Trojan.MbrLock.6 на номер 079670699021

https://www.virustotal.com/file/5e0e77d7433f6ddabb87099a892be603defe4e315aae289ab180d81ec5a1e20e/analysis/

Внимание! Ваш ПК заблокирован за просмотр и распространение порнографии с
участием несовершеннолетних, элементами насилия, педофилии. Для дальнейшей
работы Вам необходимо оплатить штраф в размере 500 рублей в любом терминале
оплаты. Выберите на экране терминала категорию "Электронная коммерция",
"Электронные деньги" и т.п. Найдите эмблему платежной системы WebMoney.
Введите номер R кошелька (12 цифр) - 079670699021
Внесите сумму 500 рублей. Внимание: учитывайте комиссию терминала.
По завершении платежа, в случае оплаты суммы равной штрафу, либо ее
превышающей, на фискальном чеке терминала оплаты Вы найдете
персональный код, после ввода которого Ваш ПК будет автоматически
разблокирован. Любые попытки разблокировки без оплаты и ввода персонального
кода, приведут к уничтожению операционной системы и всех хранящихся файлов.

R079670699021
079670699021

код: 00018312
Автор: на Комментариев нет:

Trojan.MbrLock.6 на номер 380635904688

Внимание! Ваш ПК заблокирован за просмотр и тиражирование порнографии с
участием несовершеннолетних гомосексуалистов, элементами извращений.
Для разблокировки, Вам необходимо оплатить штраф в размере 320 гривен
в любом терминале оплаты. Выберите на экране терминала категорию
"Электронные деньги"или подобный раздел. Найдите эмблему платежной
системы QIWI . Пополните кошелек QIWI, для этого - введите
номер кошелька(12 цифр) - 380635904688 и пополните его на 320 гривен.
По завершению оплаты, на выданном терминалом чеке оплаты, Вам будет
выдан персональный код, после ввода которого, Ваш ПК будет автоматически
разблокирован. В случае отказа от оплаты, операционная система
будет уничтожена, без возможности восстановления.

380635904688
380635904697
380635904640
380635904728
380635904731

код: 112221
Автор: на Комментариев нет:

Trojan.WinLock.2741 на номер U100788695649

md5: 55D4F838B36F4173BF8B5A8187250638




U216039400429
U454380125946
U100788695649
U387778251945
U226529881887
U260238455286
U347965245760
U406269072923
U130454088348
U303055133778

код: 9109101313
Автор: на 3 комментария:

Trojan.WinLock.2741 на номер 89613156030

md5: 994F066E3D80C46DF6432C7C5F396C35




89613156030
89061853391
код: 222222
Автор: на Комментариев нет:

Trojan.MbrLock.6 на номер 380635723185

Внимание! Ваш ПК заблокирован за просмотр и тиражирование порнографии с
участием несовершеннолетних гомосексуалистов, элементами извращений.
Для разблокировки, Вам необходимо оплатить штраф в размере 320 гривен
в любом терминале оплаты. Выберите на экране терминала категорию
"Электронные деньги"или подобный раздел. Найдите эмблему платежной
системы QIWI . Пополните кошелек QIWI, для этого - введите
номер кошелька(12 цифр) - 380635723185 и пополните его на 320 гривен.
По завершению оплаты, на выданном терминалом чеке оплаты, Вам будет
выдан персональный код, после ввода которого, Ваш ПК будет автоматически
разблокирован. В случае отказа от оплаты, операционная система
будет уничтожена, без возможности восстановления.



380635723185
код: 115551
Автор: на 7 комментариев:

Trojan.MbrLock.6 на номер 380635904631

Внимание! Ваш ПК заблокирован за просмотр и тиражирование порнографии с
участием несовершеннолетних гомосексуалистов, элементами извращений.
Для разблокировки, Вам необходимо оплатить штраф в размере 320 гривен
в любом терминале оплаты. Выберите на экране терминала категорию
"Электронные деньги"или подобный раздел. Найдите эмблему платежной
системы QIWI . Пополните кошелек QIWI, для этого - введите
номер кошелька(12 цифр) - 380635904631 и пополните его на 320 гривен.
По завершению оплаты, на выданном терминалом чеке оплаты, Вам будет
выдан персональный код, после ввода которого, Ваш ПК будет автоматически
разблокирован. В случае отказа от оплаты, операционная система
будет уничтожена, без возможности восстановления.


380635904702
380635904752
380635904756
380635904587
380635904631

код: 112221


Автор: на 15 комментариев:

Trojan.MbrLock.6 на номер 079670769405

md5:DA75F9171713BDFFDEDA814B4EABE551

Внимание! Ваш ПК заблокирован за просмотр и распространение порнографии с
участием несовершеннолетних, элементами насилия, педофилии. Для дальнейшей
работы Вам необходимо оплатить штраф в размере 500 рублей в любом терминале
оплаты. Выберите на экране терминала категорию "Электронная коммерция",
"Электронные деньги" и т.п. Найдите эмблему платежной системы WebMoney.
Введите номер R кошелька (12 цифр) - 079670769405
Внесите сумму 500 рублей. Внимание: учитывайте комиссию терминала.
По завершении платежа, в случае оплаты суммы равной штрафу, либо ее
превышающей, на фискальном чеке терминала оплаты Вы найдете
персональный код, после ввода которого Ваш ПК будет автоматически
разблокирован. Любые попытки разблокировки без оплаты и ввода персонального
кода, приведут к уничтожению операционной системы и всех хранящихся файлов.


R079670769405
079670769405
код: 89876561
Автор: на Комментариев нет:

Trojan.MulDrop3.31434 на номер U350275071540

http://anubis.iseclab.org/?action=result&task_id=149f3954fe9a94e94c9cd50f5dad9b582&format=html

https://www.virustotal.com/file/3ece4b22d74529fc3cf1219f160be0b150a0a4c77770103017461932c1e5964a/analysis/


1)Создает ключи
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"antolka"="C:\\antolka.bat"

Возможно создаст ключ ( S-.....может быть другим)
[HKEY_USERS\S-1-5-21-1482476501-602609370-839522115-500\Software\Microsoft\Windows\CurrentVersion\Run]
"antolka"="C:\\antolka.bat"

2)Содержимое  antolka.bat

@echo off
Title antolka
start antolka.exe
3)Файл  antolka.exe находится в корне диска с атрибутом скрытый, системный.


Видео как удалить в Безопасном режиме


Автор: на Комментариев нет:

Trojan.MbrLock.6 на номер 380635904740

Внимание! Ваш ПК заблокирован за просмотр и тиражирование порнографии с
участием несовершеннолетних гомосексуалистов, элементами извращений.
Для разблокировки, Вам необходимо оплатить штраф в размере 320 гривен
в любом терминале оплаты. Выберите на экране терминала категорию
"Электронные деньги"или подобный раздел. Найдите эмблему платежной
системы QIWI . Пополните кошелек QIWI, для этого - введите
номер кошелька(12 цифр) - 380635904740 и пополните его на 320 гривен.
По завершению оплаты, на выданном терминалом чеке оплаты, Вам будет
выдан персональный код, после ввода которого, Ваш ПК будет автоматически
разблокирован. В случае отказа от оплаты, операционная система
будет уничтожена, без возможности восстановления.

380635904712
380635904735
380635904719
380635904738
380635904740

код: 113331
Автор: на Комментариев нет:

воскресенье, 29 января 2012 г.

Trojan.Winlock.5487 на номер U196688363771

md5: 7F49B68BC25E49550B86F3C9CF86922E





U103549809876
U196688363771
U729334739136
U352099928444
U160851763061
U171065093354

код: samp2


P.S.


Чтобы ввести буквенный код необходимо:
1. щелкнуть мышью на поле ввода блокера
2. нажать комбинацию CTRL+SHIFT+ESC
После этого в поле ввода блокера можно вводить текст с клавиатуры. Если ввод текста все равно невозможен повторить действия 1 и 2 несколько раз.


Видео как удалить вручную....


Автор: на 4 комментария:

Trojan.WinLock.2741 на номер 89613154020







89613154020
код: 222222

Автор: на Комментариев нет:

Trojan.WinLock с текстом 59583 9795297

md5:FC1E39FCFD2BBBD4A060D0A20C9E0657


h**p://crossfirehacks.ru
номера: 9395
               8916
               1017

текст: 59583 9795297


1)Включить машину
2)Нажать и держать клавишу F8
   Выбрать Безопасный режим
3)Когда загрузиться операционная система-щелкнуть по кнопке Пуск.
4)Щелкнуть по Выполнить.


5)Ввести msconfig
6)Перейти на вкладку Автозагрузка
7)Снять галку с ключа keygen



8)Нажать Применить. Потом ОК.
9)Перезагрузиться.
10)Скачать свеий Dr.Web CureIT! и проверить систему.

Автор: на Комментариев нет:
Подписаться на: Сообщения (Atom)