Comments 41
Спасибо за подборку. Надеюсь не пригодится.
Несколько лет назад приносили несколько ПК с локерами. Спас Norton Bootable Recovery Tool.
Несколько лет назад приносили несколько ПК с локерами. Спас Norton Bootable Recovery Tool.
Декабрь 2008го немало заставил ходить по знакомым для лечения. Тогда они ещё глупые были и удалить можно было руками на работающей системе. Буквально чуть позже появились уже изощрённые модификации. Немало их было отправлено в антивирусные компании.
вставляем CD компакт-дискCD компакт-диск! Вы только послушайте как это звучит гордо: compact disk компакт-диск!
образ на CD-дискА не, всё нормально, compact disk-диск присутствует.
Давно я WinLock не видел у народа…
Я думал что он уже изжил себя.
А вот шифровальщики лютуют…
Я думал что он уже изжил себя.
А вот шифровальщики лютуют…
Да, это есть кончено, они немного сдулись, но продукт качественный и удобный, действительно во многих случаях пока спасает…
Вообще, «обычные» винлокеры не так страшны, как новое поколение винлокеров-шифровальщиков. Одному моему знакомому даже резервные копии не помогли, т.к. при подключении внешнего HDD для очередного еженедельного копирования винлок зашифровал и весь набор бэкапов.
Так что сейчас может быть легче предотвратить заражение, чем потом пытаться от винлока избавиться. Даже самые простейшие действия, вроде отказа от сёрфинга под рутом или запрета запуска приложений и скриптов из папки Users на порядок уменьшают вероятность словить винлок.
Так что сейчас может быть легче предотвратить заражение, чем потом пытаться от винлока избавиться. Даже самые простейшие действия, вроде отказа от сёрфинга под рутом или запрета запуска приложений и скриптов из папки Users на порядок уменьшают вероятность словить винлок.
По классификации Лаб Касперский: Trojan-Ransom.Win32.Onion — securelist.ru/analysis/obzor/21090/novoe-pokolenie-vymogatelej — здесь о новоиспеченной братии по сути — в различных модификациях актуальны и поныне...(
Ещё один «антивирус» неизвестно от кого?
Ещё один «антивирус» неизвестно от кого? — КАС — Лаборатория Касперского
www.antiwinlocker.ru — от Касперского?
Смешно, да. Во-первых, нарисовать такой «диплом» много труда не надо. Во-вторых, даже если такая регистрация и была получена, она ничего не говорит ни о качестве продукта, ни о намерениях её автора. Патентные бюро вон тоже патенты на всякую чушь выдают. И где, кстати, юридический адрес?
Все правильно вы говорите, именно поэтому верим не бумажкам, а результатам, отзывам, опыту? Верно? ) Вы поинтересовались правообладателем — вот данные, все остальные моменты относятся к самой программе. Кстати, в статье описан не антивирус, а лечащая утилита (AntiWinLocker LiveCD — это если вы уже с инфекцией), если вы рассчитываете ее не поймать — тогда вас интересует превентивная защита от блокировочных баннеров, тогда вам сюда: www.antiwinlocker.ru — AntiWinLocker.
Я понял, что вы присоединились к последним постам…
Кстати, народ, вы помните, рекламировали тут на GT якобы «Чистилку» от всего-всего? А теперь та статья убрана — вам не кажется это подозрительным?
Избавлял знакомых от проблемы раз 15-20. Подборки ключей на сайтах антивирусов не помог ни разу. Хорошо справляются AntiWinLockerLiveCD и AntiSMS.
Как-то недавно ни один продукт не справился. Windows загружался, но при открытии любого сайта была переадресация на сайт «мвд», на котором стандарт, что вы смотрели cp и т.д. Прогнал всем, чем только можно. Бесполезно. Почистил host (было много, связанного с этим сайтом «мвд») и тоже бесполезно. Оказалось, что зловред изменил в системе dns-сервер на свой. И на все запросы отдавал свою страницу. Такое я видел впервые.
Как-то недавно ни один продукт не справился. Windows загружался, но при открытии любого сайта была переадресация на сайт «мвд», на котором стандарт, что вы смотрели cp и т.д. Прогнал всем, чем только можно. Бесполезно. Почистил host (было много, связанного с этим сайтом «мвд») и тоже бесполезно. Оказалось, что зловред изменил в системе dns-сервер на свой. И на все запросы отдавал свою страницу. Такое я видел впервые.
Винлокер создает вторую папку с названием Windows в корне диска C: и отдыхает в ней в гордом одиночестве, по соседству такая же, но полноценная папка Windows с системными файлами. При этом поиск блокировщика в автоматическом режиме ничего не дает). Вся внешняя разница между папками оказалась в одной русской букве «О» названия WindOws вражеской папки — и такое бывает, оказывается)…
А что скажете насчёт этого?
Винлокеры потихоньку перебираются на Android. На фото телевизор Mystery MTV-3229LTA2 со встроенным Android.
Это было целое приключение со вскрытием пациента, в поисках заветного модуля Android и кнопки «Hard Reset» на нём.
Ваше устройство заблокированно...
Винлокеры потихоньку перебираются на Android. На фото телевизор Mystery MTV-3229LTA2 со встроенным Android.
Это было целое приключение со вскрытием пациента, в поисках заветного модуля Android и кнопки «Hard Reset» на нём.
Телевизор? А не проверяли что произойдет после 36 часов? Или нет данных где могли бы его подцепить? Хочу попробовать на виртуалке поэкспериментировать.
нет, с телевизором пока бог миловал)
Да ничего там не произойдёт, просто берут на испуг. Расследование показало: У деда, который меня вызвал, есть внучек. Он скачал и собственноручно установил файл типа «xxx_porno.apk»
А с телефонами постоянно обращаются, все беды от низкого уровня грамотности населения. Они не способны отличить видеоролик, картинку от исполняемого файла \ приложения.
А чтобы подцепить, надо поставить юзерагент мобильного устройства и поискать порно в яндексе)
А с телефонами постоянно обращаются, все беды от низкого уровня грамотности населения. Они не способны отличить видеоролик, картинку от исполняемого файла \ приложения.
А чтобы подцепить, надо поставить юзерагент мобильного устройства и поискать порно в яндексе)
А эти трояны действительно профессионалы пишут? Стилистика текста слишком уж «школьная»: обилие восклицательных знаков, «что бы» через пробел, явные проблемы с пунктуацией…
Очередной всплеск активности на этом фронте отмечался еще год назад( С тех пор естественно, функционал Android.Locker расширился. Некоторые из них, типа Android.Locker.38.origin, к примеру, представляется пользователю в виде очередного пакета обновления, запрашивает доступ к функциям администратора, имитирует процесс установки обновления. После заражения зловред передает информацию о выполнении миссии на удаленный сервер и ожидает дальнейших указаний.
Блокировка устройства осуществляется с сервера по JOSN-запросу или посредством SMS с дерективой ”set_lock”. В отличие от множества других представителей семейства этот зверь при попытке его удалить огрызается – переводит инфицированное устройство в режим ожидания, активирует защиту паролем при попытке выхода из ждущего режима и пр.
Как вариант – присутствие Android.Locker в виде изощренного SMS-бота). В этой связи предельно внимательно нужно относится к загружаемым приложениям при любом сомнении относительно источника. Хотя,… и Google Play — это всепланетное пастбище, сегодня не исключение)
В июле этого года у специалистов по кибербезопасности появился прекрасный шанс расширить горизонты своей эрудиции в относительно новом для них пространстве — каталоге приложений Google Play). Троянцы, именуемые в соответствии с классификацией лаборатории «Доктор Веб», Android.Spy.134 и Android.Spy.134 были зашиты в простых пользовательских играх с юморным дружелюбным интерфейсом.
При запуске скаченных игр-приложений пользователю демонстрировалась имитация окна входа Facebook. Введенные ничего не подозревающим владельцем смартфона данные учетной записи тут же передавались на удаленный сервер, после чего спустя минимум времени все контакты группы получали сообщение от вполне доверенного лица с предложением пройти по указанной ссылке и скачать игру.
Изощренность метода «доставки» троянских коней позволила злоумышленникам распространить на момент обнаружения и ликвидации приложений из каталога более 500 000 вполне работоспособных единиц вируса!… Ничего кроме бизнеса)
Блокировка устройства осуществляется с сервера по JOSN-запросу или посредством SMS с дерективой ”set_lock”. В отличие от множества других представителей семейства этот зверь при попытке его удалить огрызается – переводит инфицированное устройство в режим ожидания, активирует защиту паролем при попытке выхода из ждущего режима и пр.
Как вариант – присутствие Android.Locker в виде изощренного SMS-бота). В этой связи предельно внимательно нужно относится к загружаемым приложениям при любом сомнении относительно источника. Хотя,… и Google Play — это всепланетное пастбище, сегодня не исключение)
В июле этого года у специалистов по кибербезопасности появился прекрасный шанс расширить горизонты своей эрудиции в относительно новом для них пространстве — каталоге приложений Google Play). Троянцы, именуемые в соответствии с классификацией лаборатории «Доктор Веб», Android.Spy.134 и Android.Spy.134 были зашиты в простых пользовательских играх с юморным дружелюбным интерфейсом.
При запуске скаченных игр-приложений пользователю демонстрировалась имитация окна входа Facebook. Введенные ничего не подозревающим владельцем смартфона данные учетной записи тут же передавались на удаленный сервер, после чего спустя минимум времени все контакты группы получали сообщение от вполне доверенного лица с предложением пройти по указанной ссылке и скачать игру.
Изощренность метода «доставки» троянских коней позволила злоумышленникам распространить на момент обнаружения и ликвидации приложений из каталога более 500 000 вполне работоспособных единиц вируса!… Ничего кроме бизнеса)
Вы года на три опоздали со статьей, винлоков сейчас практически нет.
И да, либо «коды разблокировки на сайтах… далеко не всегда срабатывают», либо использование имен троянов тех самых вендоров, коды от которых далеко не всегда срабатывают.
И да, либо «коды разблокировки на сайтах… далеко не всегда срабатывают», либо использование имен троянов тех самых вендоров, коды от которых далеко не всегда срабатывают.
… вынужден второй раз отвечать на дубль вашего сообщения… места нужно знать) пошляйтесь по всяким сетевым аналогам общественных сортиров при дефолтном браузере и без отключения скриптов и будет вам счастье) Шучу конечно, но, так и есть… С кодами можно согласиться — срабатывают редко…
Я уже не первый год работаю в вирлабе и статистика у меня из первых рук. Винлоков больше, считайте, нет.
Я со зверем пересекся около года, может чуть больше, вот такой скромный был Trojan.Winlock.10644, ну никак не 3 года назад и он был не последний) Да и здесь сейчас всегда свежее мясо) mrbelyash.blogspot.com — страсть к халяве неубиваема) Вспоминаю классическую Пирамиду
stop-winlock.ru/1748-razblokirovat-nomer-79680382383738… Схема лечения и коды, как вы понимаете в данном случае не интересовали — интересовала дата последних локеров.
stop-winlock.ru/1748-razblokirovat-nomer-79680382383738… Схема лечения и коды, как вы понимаете в данном случае не интересовали — интересовала дата последних локеров.
Во время первого бума винлокеров, когда они просили отправить смс, был простой способ решить проблему:
1)на сайте сотового оператора ищем инфу о партнёрах с нужным коротким номером.
Обычно их 2-10, и уже их клиентами являются сотни и тысячи мелких компаний, в том числе и наши воришки.
2) Звоним этому партнёру, описываем ситуацию, говоришь текст, который требует отправить винлокер.
3)партнёр симулирует пришедшую смс-ку (не списывая ни с кого денег) и говорит ответный код, полученный от API злоумышленника.
Вводим полученный код — винлокер уходит.
Метод многократно проверенный (я тоже работал в аутсорсе).
Что интересно:
1) В большинстве случаев винлокер и правда уходил.
2) но уходил не на совсем — какие-то его модули оставались в автозагрузке. Но основная часть, которая вырубала антивири и завершала процесс эксплорер или cmd сразу после открытия -и правда отрубалась.
1)на сайте сотового оператора ищем инфу о партнёрах с нужным коротким номером.
Обычно их 2-10, и уже их клиентами являются сотни и тысячи мелких компаний, в том числе и наши воришки.
2) Звоним этому партнёру, описываем ситуацию, говоришь текст, который требует отправить винлокер.
3)партнёр симулирует пришедшую смс-ку (не списывая ни с кого денег) и говорит ответный код, полученный от API злоумышленника.
Вводим полученный код — винлокер уходит.
Метод многократно проверенный (я тоже работал в аутсорсе).
Что интересно:
1) В большинстве случаев винлокер и правда уходил.
2) но уходил не на совсем — какие-то его модули оставались в автозагрузке. Но основная часть, которая вырубала антивири и завершала процесс эксплорер или cmd сразу после открытия -и правда отрубалась.
А насчёт статьи — чё-то мелковато.
Вот исследование, что и как чистят эти antiwinlocker или antisms я бы почитал
Вот исследование, что и как чистят эти antiwinlocker или antisms я бы почитал
Sign up to leave a comment.
Баннер-вымогатель — казнить, нельзя помиловать