|
*** С начала ноября 2013 г. автор статьи на многих флешках и ПК обнаруживает новый блокировщик Windows – qw2jd.exe (6267180.exe).
*** Симптомы заражения После запуска Windows в центре Рабочего стола появляется «непотопляемое» окно информера с сообщением: «Windows заблокирован! Microsoft Security Essentials был зафиксирован неправомерный доступ к материалам порнографического содержания, а также, копирование и тиражирование материалов, содержащих элементы педофилии, насилия и гей-порно…».
Для разблокировки Windows предлагается перечислить 1000 рублей на номер абонента Билайн +79063402878 (закреплён за ОАО «Вымпел-Коммуникации»/Билайн, Самарская область).
Так как окно информера – непотопляемое (его нельзя ни закрыть, ни свернуть, ни переместить) и находится в центре экрана, то работать на ПК невозможно. При этом не удается запустить ни Диспетчер задач, ни Интерпретатор команд, ни Реестр Windows.
*** Что представляет собой вирус информера Исполняемый (Portable Executable) файл вируса имеет имя qw2jd.exe (или 6267180.exe; размер – 179 001 байт). Предназначен для 32-битной платформы ОС Windows с процессором x86. Осуществляет импорт системных библиотек: MFC42u.DLL, MSVCRT.dll, KERNEL32.dll, USER32.dll, GDI32.dll, ADVAPI32.dll. Вирус – резидентный, на зараженном ПК он грузится вместе с операционной системой и постоянно присутствует в оперативной памяти. Для маскировки вируса и обмана пользователей мошенники используют широко известный brand-name: название антивируса Microsoft Security Essentials.
Родина вируса – Россия. Этот информер является типичным трояном – блокировщиком Windows. На момент написания статьи ни один антивирус не идентифицировал зловреда.
*** Как происходит заражение Распространяется вирус с помощью Глобальной (варезные, «халявные», порно-ресурсы…), локальных, p2p-сетей, а также съемных носителей. Самостоятельно информер не устанавливается, – установку осуществляет пользователь, кликнувший по ссылке информера и санкционировавший установку (при этом предлагается установить обновленную версию флеш-плеера, или скачать кодеки, или скачать бесплатно порно, видео и т.д.).
*** Деструктивные действия – для обеспечения автоматического запуска в разделе Реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder] создается подраздел \C:^Documents and Settings^Имя_пользователя^Главное меню^Программы^Автозагрузка^qw2jd.exe, содержащий строковые (REG_SZ) параметры: backup (имеющий значение C:\WINDOWS\pss\qw2jd.exeStartup), command (значение – C:\Documents and Settings\Имя_пользователя\Главное меню\Программы\Автозагрузка\qw2jd.exe), item (значение – qw2jd), location (значение – Startup), path (значение – C:\Documents and Settings\Имя_пользователя\Главное меню\Программы\Автозагрузка\qw2jd.exe);
– после загрузки ПК вирус блокирует запуск Диспетчера задач, Редактора реестра, Интерпретатора команд, утилиты msconfig; – вирус полностью блокирует работу пользователя ПК; – на экран монитора выводится окно информера, который своей раздражающей назойливостью провоцирует пользователя отправить деньги на указанный номер; – …
*** Как уничтожить вирус и устранить деструктивные последствия Пытаться лечить систему, когда вирус активен, – бессмысленное занятие: вы не сможете ни выгрузить его из памяти, ни удалить его ключи из Реестра. Отключитесь от Интернета и от локальной сети; – загрузите Windows в Безопасном режиме (Safe Mode) (если не удается загрузить Безопасный режим, для удаления исполняемого файла вируса воспользуйтесь загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander); – в каталоге \Documents and Settings\Имя_пользователя\Главное меню\Программы\Автозагрузка\ (WindowsXP, в Windows Vista и Windows 7 – в каталоге \Users\Имя_пользователя\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\) удалите исполняемый файл вируса qw2jd.exe (6267180.exe);
– в каталоге \Windows\pss\ удалите файл qw2jd.exeStartup (6267180.exeStartup);
– запустите Редактор реестра Windows: • Windows XP: нажмите Пуск –> Выполнить… –> regedit –> OK; • Windows Vista: нажмите Пуск, в текстовое поле Начать поиск (в Windows 7 – Найти программы и файлы) введите regedit; – в появившемся перечне нажмите правой кнопкой мыши regedit.exe; – из контекстного меню выберите Запуск от имени администратора; – введите пароль, если появится соответствующий запрос; – в открывшемся окне Редактор реестра откройте раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder]; – удалите подраздел \C:^Documents and Settings^Имя_пользователя^Главное меню^Программы^Автозагрузка^qw2jd.exe; – закройте Редактор реестра;
– для предотвращения повторного самозаражения системы отключите восстановление системы (или вручную очистите папку System Volume Information); – при необходимости, с помощью соответствующего reg-файла (Windows XP, Windows Vista, Windows 7) восстановите загрузку в Безопасном режиме;
– нажмите Пуск –> Выполнить… –> в поле Открыть введите regsvr32 /i shell32.dll –> OK; – появится окно RegSvr32 с сообщением «DllRegisterServer and DllInstall в shell32.dll завершено успешно», нажмите OK;
– в автономном режиме (не подключаясь к Интернету!) запустите веб-браузер; – очистите кэш интернет-файлов; – при необходимости измените стартовую страницу веб-браузера на первоначальную; – при необходимости восстановите оригинальный hosts-файл;
– перезагрузите ПК; – включите восстановление системы; – просканируйте систему антивирусом со свежими базами.
Примечания 1. Не следует отправлять деньги по указанному номеру, – ответа вы, скорее всего, не получите, просто подарите деньги вымогателям, создавшим информер. 2. Информер самостоятельно не устанавливается, – для его установки пользователю нужно кликнуть по ссылкам, предлагающим скачать или флеш-плеер, или «халяву», или порно, и санкционировать установку… 3. Антивирус и брандмауэр зачастую в таких случаях помочь не могут, здесь одна надежда – на здравый рассудок пользователя (не ищи халявы – ее нет, не кликай по сомнительным и неизвестным ссылкам, и т.д.)! 4. Внимание! Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы! 5. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами с регулярно (не менее одного раза в неделю!) обновляемыми базами. 6. Почаще делайте резервное копирование важной информации (см. Как избежать утраты информации?). 7. Отключите автозапуск компакт-дисков, съемных дисков и флешек (см. Windows: как отключить автозапуск компакт-дисков, съемных дисков и флешек?). 8. Кстати, вычислить (и – при желании! – покарать!) автора и распространителей этого блокировщика для достославного Управления «К» МВД РФ не составит труда: достаточно выяснить, на кого зарегистрирован телефонный номер +79063402878… 9. Вопреки заверениям разработчиков антивирусов, ни один антивирус не устранит последствия вирусной атаки, – это нужно сделать вручную!..
Валерий Сидоров
*** • Что делать, если появляется сообщение «Диспетчер задач отключен администратором»? • Что делать, если недоступен пункт меню «Свойства папки»? • Что делать, если появляется сообщение «Редактирование реестра запрещено администратором системы»? • Что делать, если после лечения от вирусов не открывается флешка? • Как устранить последствия вирусной атаки? • Windows: что делать, если не запускается Утилита настройки системы msconfig? • Windows: как отобразить скрытые файлы и папки? • Знакомьтесь: CMedia и FieryAds – очередные порно-sms-вымогатели • Как избавиться от порно-информера? • Очередной порно-информер – блокировщик Windows • Apple = iСтив + iPod + iPhone + iPad + iTunes + iMac + … • Apps for iPad, iPhone, iPod touch…
|
|
© 2013. All rights reserved.
При использовании материалов сайта «Слово» прошу указывать источник информации!