|
|
·ВКонтакте |
|
|
|
|
| Твиты пользователя @oldnetler |
|
|
·Find us on Facebook
| English version | Распечатать |
***
С начала ноября 2013 г. автор статьи на многих флешках и ПК обнаруживает новый блокировщик Windows – qw2jd.exe (6267180.exe).
***
Симптомы заражения
После запуска Windows в центре Рабочего стола появляется «непотопляемое» окно информера с сообщением:
«Windows заблокирован!
Microsoft Security Essentials был зафиксирован неправомерный доступ к материалам порнографического содержания, а также, копирование и тиражирование материалов, содержащих элементы педофилии, насилия и гей-порно…».
Для разблокировки Windows предлагается перечислить 1000 рублей на номер абонента Билайн +79063402878 (закреплён за ОАО «Вымпел-Коммуникации»/Билайн, Самарская область).
Так как окно информера – непотопляемое (его нельзя ни закрыть, ни свернуть, ни переместить) и находится в центре экрана, то работать на ПК невозможно.
При этом не удается запустить ни Диспетчер задач, ни Интерпретатор команд, ни Реестр Windows.
***
Что представляет собой вирус информера
Исполняемый (Portable Executable) файл вируса имеет имя qw2jd.exe (или 6267180.exe; размер – 179 001 байт). Предназначен для 32-битной платформы ОС Windows с процессором x86. Осуществляет импорт системных библиотек: MFC42u.DLL, MSVCRT.dll, KERNEL32.dll, USER32.dll, GDI32.dll, ADVAPI32.dll.
Вирус – резидентный, на зараженном ПК он грузится вместе с операционной системой и постоянно присутствует в оперативной памяти.
Для маскировки вируса и обмана пользователей мошенники используют широко известный brand-name: название антивируса Microsoft Security Essentials.
Родина вируса – Россия.
Этот информер является типичным трояном – блокировщиком Windows.
На момент написания статьи ни один антивирус не идентифицировал зловреда.
***
Как происходит заражение
Распространяется вирус с помощью Глобальной (варезные, «халявные», порно-ресурсы…), локальных, p2p-сетей, а также съемных носителей.
Самостоятельно информер не устанавливается, – установку осуществляет пользователь, кликнувший по ссылке информера и санкционировавший установку (при этом предлагается установить обновленную версию флеш-плеера, или скачать кодеки, или скачать бесплатно порно, видео и т.д.).
***
Деструктивные действия
– для обеспечения автоматического запуска в разделе Реестра
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder] создается подраздел
\C:^Documents and Settings^Имя_пользователя^Главное меню^Программы^Автозагрузка^qw2jd.exe, содержащий строковые (REG_SZ) параметры:
backup (имеющий значение C:\WINDOWS\pss\qw2jd.exeStartup),
command (значение – C:\Documents and Settings\Имя_пользователя\Главное меню\Программы\Автозагрузка\qw2jd.exe),
item (значение – qw2jd),
location (значение – Startup),
path (значение – C:\Documents and Settings\Имя_пользователя\Главное меню\Программы\Автозагрузка\qw2jd.exe);
– после загрузки ПК вирус блокирует запуск Диспетчера задач, Редактора реестра, Интерпретатора команд, утилиты msconfig;
– вирус полностью блокирует работу пользователя ПК;
– на экран монитора выводится окно информера, который своей раздражающей назойливостью провоцирует пользователя отправить деньги на указанный номер;
– …
***
Как уничтожить вирус и устранить деструктивные последствия
Пытаться лечить систему, когда вирус активен, – бессмысленное занятие: вы не сможете ни выгрузить его из памяти, ни удалить его ключи из Реестра.
Отключитесь от Интернета и от локальной сети;
– загрузите Windows в Безопасном режиме (Safe Mode) (если не удается загрузить Безопасный режим, для удаления исполняемого файла вируса воспользуйтесь загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander);
– в каталоге \Documents and Settings\Имя_пользователя\Главное меню\Программы\Автозагрузка\ (WindowsXP, в Windows Vista и Windows 7 – в каталоге \Users\Имя_пользователя\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\) удалите исполняемый файл вируса qw2jd.exe (6267180.exe);
– в каталоге \Windows\pss\ удалите файл qw2jd.exeStartup (6267180.exeStartup);
– запустите Редактор реестра Windows:
• Windows XP: нажмите Пуск –> Выполнить… –> regedit –> OK;
• Windows Vista: нажмите Пуск, в текстовое поле Начать поиск (в Windows 7 – Найти программы и файлы) введите regedit;
– в появившемся перечне нажмите правой кнопкой мыши regedit.exe;
– из контекстного меню выберите Запуск от имени администратора;
– введите пароль, если появится соответствующий запрос;
– в открывшемся окне Редактор реестра откройте раздел
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder];
– удалите подраздел
\C:^Documents and Settings^Имя_пользователя^Главное меню^Программы^Автозагрузка^qw2jd.exe;
– закройте Редактор реестра;
– для предотвращения повторного самозаражения системы отключите восстановление системы (или вручную очистите папку System Volume Information);
– при необходимости, с помощью соответствующего reg-файла (Windows XP, Windows Vista, Windows 7) восстановите загрузку в Безопасном режиме;
– нажмите Пуск –> Выполнить… –> в поле Открыть введите regsvr32 /i shell32.dll –> OK;
– появится окно RegSvr32 с сообщением «DllRegisterServer and DllInstall в shell32.dll завершено успешно», нажмите OK;
– в автономном режиме (не подключаясь к Интернету!) запустите веб-браузер;
– очистите кэш интернет-файлов;
– при необходимости измените стартовую страницу веб-браузера на первоначальную;
– при необходимости восстановите оригинальный hosts-файл;
– перезагрузите ПК;
– включите восстановление системы;
– просканируйте систему антивирусом со свежими базами.
Примечания
1. Не следует отправлять деньги по указанному номеру, – ответа вы, скорее всего, не получите, просто подарите деньги вымогателям, создавшим информер.
2. Информер самостоятельно не устанавливается, – для его установки пользователю нужно кликнуть по ссылкам, предлагающим скачать или флеш-плеер, или «халяву», или порно, и санкционировать установку…
3. Антивирус и брандмауэр зачастую в таких случаях помочь не могут, здесь одна надежда – на здравый рассудок пользователя (не ищи халявы – ее нет, не кликай по сомнительным и неизвестным ссылкам, и т.д.)!
4. Внимание! Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы!
5. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами с регулярно (не менее одного раза в неделю!) обновляемыми базами.
6. Почаще делайте резервное копирование важной информации (см. Как избежать утраты информации?).
7. Отключите автозапуск компакт-дисков, съемных дисков и флешек (см. Windows: как отключить автозапуск компакт-дисков, съемных дисков и флешек?).
8. Кстати, вычислить (и – при желании! – покарать!) автора и распространителей этого блокировщика для достославного Управления «К» МВД РФ не составит труда: достаточно выяснить, на кого зарегистрирован телефонный номер +79063402878…
9. Вопреки заверениям разработчиков антивирусов, ни один антивирус не устранит последствия вирусной атаки, – это нужно сделать вручную!..
Валерий Сидоров
***
• Что делать, если появляется сообщение «Диспетчер задач отключен администратором»?
• Что делать, если недоступен пункт меню «Свойства папки»?
• Что делать, если появляется сообщение «Редактирование реестра запрещено администратором системы»?
• Что делать, если после лечения от вирусов не открывается флешка?
• Как устранить последствия вирусной атаки?
• Windows: что делать, если не запускается Утилита настройки системы msconfig?
• Windows: как отобразить скрытые файлы и папки?
• Знакомьтесь: CMedia и FieryAds – очередные порно-sms-вымогатели
• Как избавиться от порно-информера?
• Очередной порно-информер – блокировщик Windows
• Apple = iСтив + iPod + iPhone + iPad + iTunes + iMac + …
• Apps for iPad, iPhone, iPod touch…
|
• Аксессуары для сотовых телефонов |
|
|
|
• SAPE.RU – покупка и продажа ссылок
|
|
|