Трояны нашего времени: порнобаннеры, блокировщики…

Эволюция троянов вымогателей: порно информер в браузере

Трояны-вымогатели начали свое активное шествие по инету еще в 2008 году. Хотя до этого и встречались случаи распространения троянских программ, вносивших неприятные видимые изменения в операционную систему с требованием вернуть «все как и было ранее» за определенную плату, но массовый характер распространения они не имели. Где-то же с весны-лета 2008 года пользователи активно начали сталкиваться с внезапным появлением в своем браузере (вначале этому был подвержен Internet Explorer, а потом и Mozilla Firefox вместе с Opera) неприятного всплывающего окна поверх любимых сайтов, в котором демонстрировалось порно-картинка с сопровождающим текстом типа: чтобы удалить информер, отправьте смс на номер ….в результате чего в ответ Вы получите код разблокировки. Данный информер не блокировал работу операционной системы и её компонентов, а лишь мешал путешествовать по интернету своим постоянным присутствием в нижней части экрана. Не то, чтобы это доставляло массу проблем, но в случае, когда зараженным компьютером в семье пользовалось несколько человек, это сразу вызывало подозрение у остальных членов семьи, что кто-то из пользователей недавно «походил по порнушке». Функционал данного трояна-вымогателя обычно имел процедуру самостоятельного удаления из системы по прошествии месяца «проживания» на зараженном компьютере. Логика злоумышленников-вымогателей тут была достаточна проста – если информер (по сути троян вымогатель, а по мнению большинства пользователей на тот момент – компьютерный  смс вирус) просит отправить сообщение на платный номер в течение месяца, а пользователь никак не реагирует на эту просьбу, то пользователю на данный информер, скорее всего, начхать, а значит – требовать отправить смс от такого пользователя далее бесполезно. 

порно информер в браузере

рис. 1   Информер

Подхватывали данный «sms вирус» поначалу лишь пользователи Internet Explorer, в который информер устанавливался под видом flash плагина или недостающего кодека для воспроизведения видео. Часто при посещении какого-либо ресурса, на который натыкались пользователи из поисковика google или яндекс, в браузере поверх сайта всплывало навязчивое окно с предложением бесплатно посмотреть видео эротического содержания. Если пользователь кликал на окошко, в силу вступали методы социальной инженерии (а выражаясь жаргонным языком – начинался дальнейший «развод»). Пользователю демонстрировались заведомо интересные кадры из порнографического видео, а при выборе одного из них выводилось сообщение, что в браузере пользователя отсутствует flash plugin, или же система не имеет нужный кодек для воспроизведения видео. При этом «заботливый» сайт тут же предлагал скачать всё необходимое прямо на месте, забыв упомянуть, что скачивается вовсе не кодек или флеш-плагин, а знакомый нам информер. По своему исполнению данный смс-троян был довольно примитивен и представлял из себя зловредный BHO (Browser Helper Object), который при установке в систему регистрировался в расширениях Internet Explorer, а в дальнейшем автоматически запускался при открытии интернет обозревателя. Т.Е. первый массовый «вирус смс» представлял из себя обычную динамическую библиотеку (.dll файл), которая автоматически подгружалась в Internet Explorer при его открытии. Любопытен другой факт -сама библиотека троянца-вымогателя содержала лишь структуру выводимого окна, тогда как содержимое окна, выводимое информером, «подтягивалось» из сети Интернет. Запустив пораженный информером браузер на компьютере без доступа в интернет, пользователь вместо цветастого всплывающего окна информера мог увидеть лишь границы окна «информера» без его непосредственного содержимого, которое, очевидно, хранилось где-то на сервере злоумышленника.

порно информер

рис. 2   Порно информер в браузере

Чуть позже вирусописатели доработали данный информер-блокировщик, после чего он стал способен заражать уже такие популярные браузеры, как Mozilla Firefox или Opera. Причем зачастую информер устанавливался сразу во все имеющиеся в системе браузеры при проникновении в систему! Удаление информера проще всего происходило в браузере Mozilla, поскольку достаточно было лишь открыть меню расширений браузера и отключить там компонент информера. В Mozilla это можно сделать в п. Инструменты — Дополнения – Расширения. В случае с Internet Explorer удалить информер тоже достаточно просто… Для удаления информера в IE 8.0 нужно лишь открыть Свойства обозревателя – Программы – Настроить надстройки – и здесь уже отыскать тот самый зловредный «смс вирус», после чего деактивировать вредоносный BHO через меню. Благо, файлы информера преимущественно имеют название, заканчивающееся на *lib.dll. Описание и копирайты файла информера имеют различные вариации, но по имени файла зловред достаточно легко обнаруживается и удаляется «на глаз». Труднее всего выполнить удаление «смс информера» в браузере Opera. В «Опере» информер прописывается в папку с пользовательскими java scripts, найти его в которой для неопытного пользователя оказывается не очень-то и просто. Не помогает даже переустановка Opera в ту же самую папку или чистка файлов конфигурации оперы в папке documents and settings. Чтобы удалить информер в Opera, нужно пройти в настройках по следующему пути: Инструменты – Настройки – Дополнительно – Содержимое – Настройки Java Script – далее нужно лишь очистить всё лишнее в строке Папка пользовательских файлов Java script, где и прописывает свой автозапуск троянец-вымогатель.

В целом, первые трояны-вымогатели доставляли не так много хлопот при удалении из системы. Если не справлялся штатный антивирус, то без особых проблем ранние «смс вирусы» можно было удалить через меню управления браузером. Удалению «sms вирусов первой волны» также способствовали такие бесплатные лечебные утилиты, как avptool или DRWeb Cureit, которые обладали достаточно хорошим сигнатурным детектом. Их использование было возможно без удаления штатного антивируса из зараженной системы, что в большинстве случаев позволяло пользователю избавиться от вредоносного баннера в браузере. Если же пользователь не мог удалить троян-вымогатель из своей системы подручными средствами, то существовала возможность относительно недорогого откупа от вируса. Стоимость смс редко превышала 600 рублей, хотя вымогатель обычно декларировал цену выкупа — не более 300 р. Правда, тут необходимо заметить, что откуп часто носил кратковременный характер, т.к. после успешной отправки sms сообщения, вирус показывался вновь спустя какое-то время…

Троян-блокировщик: Windows заблокирован, для разблокировки отправьте смс…

Волна этих троянов покатилась по инету весной 2009 года. В апреле месяце пользователи столкнулись с нарастающим потоком «смс вирусов», которые блокировали работу с Windows под самыми разными предлогами – начиная от использования нелицензионнойWindows, заканчивая предупреждением, что операционная система заражена вирусом или, что «Windows заблокирован, отправьте смс». Чтобы убрать навязчивое сообщение при загрузке Windows, вирус все также предлагал пользователю отправить смс на короткий номер, чтобы в ответ получить код разблокировки системы. Усугубило и без того непростую ситуацию попадание в широкий доступ конструктора для создания подобных троянцев-блокировщиков. После чего рунет захлестнула волна всевозможных поделок вирусописателей, а антивирусные компании должны были что-то спешно придумывать для борьбы с этим потенциально новым типом угроз. Ведь вирусописателям не составляет особого труда сделать свой смс вирус недетектируемым антивирусами на момент выпуска его в сеть Интернет. А после установки в систему и перезагрузки антивирус уже ничего не может сделать с sms блокировщиком, поскольку требование выкупа возникает еще до этапа загрузки антивируса. Первой отреагировала на новый тип угроз компания DrWeb, которая открыла у себя на сайте специальный сервис деактивации троянов вымогателей, где начала публиковать типовые коды для удаления вирусов-вымогателей из системы. Между тем, с учетом масштабов распространения новой угрозы, в рунете сформировалась масса конференций и тематических блогов, где оказывалась помощь пострадавшим от смс вирусов. Примечательно, что первые версии данных троянов-вымогателей содержали в себе возможность самоудаления из системы спустя 2 часа после своего первого появления. Видимо, это было средством, которое позволяло затруднить попадание экземпляров данных троянцев в руки антивирусных компаний. 

троян блокировщик windows

рис. 3   Windows заблокирован…

В техническом плане трояны блокировщики Windows этой волны были выполнены в виде .tmp файла, при инсталляции записывающего свое тело во временную папку и прописывающегося в автозапуск через хвост системного файла userinit.exe. Первые экземпляры данных смс блокировщиков содержали в себе техническую уязвимость, позволявшую в конечном итоге добраться до рабочего стола через средство специальных возможностей Windows. Но в более поздних версиях своего детища авторы трояна  устранили возможность вызова окна «специальных возможностей» в момент появления окна с требованием выкупа. Вызов специальных возможностей на этапе приветствия операционной системы позволял в дальнейшем добраться до проводника Windows и провести относительно несложное удаление вымогателя при помощи штатных антивирусов или бесплатных антивирусных утилит. Вот тут-то IT специалистам и системным администраторам впервые пришлось столкнуться с необходимостью лечения зараженной системы с помощью Live CD или путем подключения жесткого диска из зараженного компьютера к другой системе. 

Для неосведомленных пользователей заметим, что Live CD представляет из себя загрузочный диск, с которого грузится операционная система без своей установки на жесткий диск ПК. Достаточно загрузить компьютер непосредственно с «лайв сиди», в процессе чего содержимое диска подгружается в оперативную память компьютера, что в конечном итоге позволяет работать с файлами на диске, с сетью и даже запускать свои программы, не требующие инсталляции. Удалить троян-блокировщик при помощи Live CD обычно не составляло особого труда, поскольку достаточно было лишь почистить временные папки исходной зараженной системы и удалить ключ автозапуска троянца через реестр зараженной системы. Да, да работа с реестром исходной системы через загрузочный диск — LiveCD возможна! Правда, необходимо отметить, что работу с реестром поддерживают не все Live CD, а только те, которые базируются на Windows Bart PE и содержат в своей сборке редактор реестра — regedit.exe. Для этого достаточно в редакторе regedit открыть один из файлов реестра исходной ОС (расположен он в папке WINDOWS\system32\config и имеет название Software) через операцию «Загрузить куст» в меню Файл, а после совершения необходимых изменений «выгрузить куст» обратно. Если же не почистить реестр при удалении самого файла «смс вируса», который прописался в хвост к userinit.exe, то неизбежно придется столкнуться с невозможностью загрузки операционной системы, т.к. вход в учетную запись будет попросту невозможен. Windows после выбора учетной записи будет тут же завершать сеанс текущего пользователя и возвращаться к выбору учетных записей (см. рис 4). Также подойдет для удаления из реестра диск с ERD Commander со входом в родительскую ОС при загрузке.

троян порно информер в реестре

рис. 4 Троян вымогатель в реестре Windows

Данный тип троянов вымогателей был назван компанией DRWeb как trojan.winlock (от англ. lock – замок, win — виндоус), а со времени первого обнаружения на момент написания статьи в антивирусные базы было добавлено уже несколько тысяч разновидностей данного троянца-блокировщика. 

Троян-блокировщик интернета: доступ в интернет заблокирован, отправьте смс…

В ноябре 2009 года произошел очередной концептуальный виток развития троянцев-вымогателей. На этот раз вирусописатели задумали лишить пользователя возможности доступа в Интернет с зараженного компьютера. Непосредственно после включения компьютера и загрузки рабочего стола очередной «вирус sms» вызывал появление всплывающего окна поверх всех остальных окон операционной системы. В этом самом окне троян-вымогатель требовал от пользователя в течение трех минут ввести код активации от некоего программного обеспечения (Get Access или чего-то подобного), лицензия на который у пользователя якобы закончилась. 

get access virus sms

рис. 5   СМС троян Get Access

Если в течение трех минут пользователь не вводил код, то следовала перезагрузка компьютера. Мерзость ситуации состояла в том, что после инсталляции в систему подобный «смс вирус» загружался даже в безопасном режиме работы и отключал средство восстановления системы (System recovery). Плюс ко всему окно троянца-вымогателя вылезало поверх всех активных окон системы, что затрудняло запуск и управление антивирусами на зараженной системе. Но всё это были еще цветочки, ведь самое интересное поджидало несчастных пользователей в начале 2010 года…

троян блокировщик доступа в интернет

рис. 6   Троян-блокировщик интернета

Трояны-вымогатели в виде ложных антивирусов, а также модернизированные блокировщики

Начало 2010 года породило эпидемию концептуально новых троянов-вымогателей, которые, помимо всего прочего были «обучены» блокировать работу антивирусных программ на зараженной системе. Работали такие блокировщики Windows по сигнатурам и специальным внутренним спискам, в которых заключалось до 90% всего антивирусного программного обеспечения. Заразившись таким трояном, пользователь лишался не только доступа в интернет, но и практически не имел возможности провести удаление «смс вируса» из зараженной системы без использования Live CD. Помимо всего прочего, «sms вирус» загружался даже в безопасном режиме (Safe mode), отключал редактор реестра через политики Windows и удалял точки восстановления системы. C течением времени изменился и способ функционирования блокировщика Windows в зараженной системе. Если раньше троян-вымогатель работал как системный процесс, то теперь блокировщик продвинулся до уровня драйвера ядра или нескольких динамических библиотек, прикрывающих друг-друга из соседних процессов. Вскоре смс вирусы благодаря стараниям своих разработчиков начали записываться в дополнительные потоки NTFS (NTFS streams), где их не было видно даже с Live CD через средства проводника Windows. При запуске специализированных лечебных утилит, например, той же AVZ, которую часто использовали для лечения зараженной системы, «смс вирус» просто запускал процедуру выключения компьютера… Таким образом, в техническом плане у троянцев-вымогателей в январе 2010 года произошел самый настоящий прорыв. Для удаления троянцев январской волны использование загрузочного Live CD стало обычным делом. Также на помощь приходили специальные утилиты для поиска и удаления данных в дополнительных потоках NTFS, запускаемые из под Live CD. В конечном итоге проблема троянов-вымогателей привлекла внимание не только правоохранительных органов и антивирусных компаний, но и сотовых операторов, которые запустили специальные средства для уточнения реальной стоимости коротких sms-сообщений на короткие номера. Все эти меры в итоге привели к сокращению числа заражений вымогателями trojan.winlock до уровня ноября 2009 года.

смс вирус internet security

рис. 7   СМС вымогатель Internet Security

Из тенденций в среде смс-блокеров начала 2010 года также стоит выделить трояны, имитирующие собой антивирусные продукты. Так, например, при заражении «поддельным антивирусом» можно было наблюдать следующую картину: сразу после запуска зараженной системы на экран вылезало неприятное сообщение о том, что персональный компьютер инфицирован одной или несколькими троянскими программами, причем выводился целый список угроз, и выполнялась якобы быстрая проверка компьютера на вирусы для пущей убедительности. После чего троян-вымогатель требовал от пользователя отправить sms-сообщение на платный номер для удаления всего этого «зверья» из системы, введя присланный в ответ код активации. Наглость злоумышленников заключалась в том, что все эти лжеантивирусы прикидывались продуктами известных антивирусных компаний, например, хорошо известной Лаборатории Касперского. Из наиболее нашумевших поделок вирусописателей того времени можно вспомнить EKAV,Internet Security и еще ряд довольно мерзких вымогателей.

ложный антивирус EKAV

рис. 8   «СМС вирус» EKAV

Порно баннер на рабочем столе (или, как его еще называют порно банер, порнобаннер, порнобанер)

Где-то с февраля 2010 года небезызвестный информер на фоне других смс вирусов эволюционировал уже до формы в виде порно-банера на рабочем столе. Способ автозапуска у данного трояна-вымогателя в зараженной системе оригинальностью не отличался. Тело трояна добавлялось при инсталляции в запланированные задачи планировщика Windows. В результате этих действий, после загрузки системы, спустя минуту-другую, на рабочем столе появлялся порно баннер, который начинал рассказывать пользователю, что доступ к некоему порносайту прекращен. «Смс вирус» принуждал пользователя для продления этого самого доступа отправить смс на короткий номер. При этом гадкий порнобаннер на рабочем столе все также вылезал поверх всех окон операционной системы, заслоняя собой приложения пользователя. При попытке вызвать диспетчер задач последний также оказывался заблокированным трояном — вылезало сообщение, что «диспетчер задач отключен администратором». Порно-банер на рабочем столе при этом блокировал запуск антивирусных продуктов, занесенных в его черный список, препятствовал доступу в интернет, а также отключал восстановление системы (службу System Recovery). Чтобы удалить порно баннер на рабочем столе, достаточно было понять, что за файл содержится в задании планировщика, после чего удалить его, например, с LiveCD (Bart PE). Но всё это справедливо для случая ранних версий порнобаннера на рабочем столе, последние разновидности этого трояна-вымогателя использовали куда более хитрый способ автозапуска. Тут Вам и запись в хвост к userinit.exe, и работа в виде нескольких динамических библиотек, одна из которых подгружает другую с перехватом системных функций в user mode. Т.Е. алгоритм работы трояна в виде порнобанера на рабочем столе постоянно менялся, подкидывая головную боль не только антивирусным компаниям, но и системным администраторам, а также специалистам техподдержки, которые вынуждены бороться со всеми этими напастями. Благо, способов удалить порно-банер с рабочего стола на сегодняшний день не так уж и мало. Актуальные способы того, как удалить порно-баннеры из своей системы, мы рассмотрим ниже.

порно банер на рабочем столе просит смс

рис. 9   Порно баннер на рабочем столе

Блокировщики Windows, заражающие boot сектор жесткого диска 

В конце 2010 года появились новые блокировщики Виндовс, которые при инсталляции в систему заражали загрузочный сектор жесткого диска. Это позволило запускать тело трояна еще до загрузки Windows, доставив пользователям немало головной боли. Дело в том, что просто удалить загрузочный блокер при помощи команд восстановления загрузочной записи (fixboot, fixmbr) не представлялось возможным — в этом случае слетала таблица разделов жесткого диска, что приводило к потере данных. Конечно, данные можно было попробовать потом восстановить, но всё равно это вызывало немало проблем. Вылечить зараженный mbr можно при помощи DrWeb Cure it из под Live CD или же при помощи Kaspersky Rescue Disk 10, который имеет возможность обновления своих антивирусных баз после загрузки. Главное, чтобы нашлась нужная сигнатура конкретно к вашей разновидности загрузочного блокировщика. Еще как вариант — подключить зараженный жесткий диск к другому компьютеру и осуществить лечение загрузочного сектора уже с него. По классификации DrWeb такие троянцы получили название Trojan.MBRlock. На момент начала июня 2011 года уже встречалось 6 разновидностей этих блокираторов. 

Последние тендеции развития троянцев-блокировщиков в 2011 году

На момент середины лета 2011 года эпизодически встречаются случаи заражения троянцами-вымогателями, которые записывают свое тело в загрузочный сектор жесткого диска, в результате чего лечение такой системы несколько затруднительно. Для лечения блокиратора в boot секторе можно попробовать загрузиться с установочного диска Windows и выполнить следующие команды в консоли восстановления:

fixmbr
fixboot c:
exit

При условии, что загрузочный сектор был расположен на диске C (именно на нем обычно устанавливается операционная система).

Начали появляться троянцы-блокировщики для зарубежного сегмента интернета. Один из них имитирует ложное сообщение о необходимости активировать Windows и просит ввести данные по банковской карточке в окошко «активации».

Что касается более привычных разновидностей блокеров, то они тоже никуда не исчезли. Встречаются троянцы, которые все также блокируют работу на компьютере сразу после загрузки рабочего стола и все также прописывают свой автозапуск в ключ реестра, ответственный за работу userinit.exe или за его shell в лице explorer.exe. Разве что в целях сохранения своего присутствия в системе они могут сохранять свою копию в зараженных системных файлах taskmgr.exe (диспетчер задач) и userinit.exe, откуда и извлекаются вновь при удалении тела троянца по его основному адресу. Поэтому важно не только удалить тело трояна, которым он прописался в хвосте к userinit.exe, но и заменить зараженные taskmgr.exe и userinit.exe с дистрибутива установки Windows. Также необходимо заменить их резервные копии в папке dllcache, что расположена системной папке в windows/system32.

Еще одна популярная разновидность трояна-блокера пытается мешать нормальной работе в Интернете, при запуске браузера требуя от пользователя денег за разблокировку. Принципиальных технологических отличий она не имеет и выполнена обычно в виде процесса или dll-библиотеки.

Ну и отдельного внимания заслуживают троянцы, которые блокируют доступ пользователя к определенным сайтам в Интернете. Работают они обычно, внося изменения в файл hosts, где хранятся соответствия операционной системы в отношении IP адресов и доменов. Иногда такой троянец подменяет DNS записи в настройках, но может и установить в настройках свойств обозревателя использование «вражеского» прокси сервера. Часто с помощью таких троянцев блокируется доступ к социальным сетям, поисковым системам и сайтам антивирусных компаний. Для их удаления достаточно вычислить тело трояна, после чего убрать лишние записи в файле hosts (лежит он обычно по адресу windows/system32/drivers/etc/). Содержимое файла можно изменить при помощи блокнота (notepad.exe).

Как убрать баннер с рабочего стола и как удалить троян-вымогатель?

1.  Прежде всего, чтобы избавиться от порно баннера или вымогателя на рабочем столе Вам необходимо сохранять спокойствие :) Ни в коем случае не следует отправлять смс вымогателям, заразившим Ваш компьютер троянской программой! В случае отправки sms на короткий номер никто не даст гарантии, что стоимость платной смс на короткий номер не окажется завышенной по сравнению с той суммой, которую заявляют злоумышленники в сообщении троянца. Кроме того, никто не даст гарантии, что в ответ на Ваше сообщение злоумышленники всё же пришлют код разблокировки «смс вымогателя». А если даже и пришлют, то после ввода кода разблокировки, «смс вирус» может лишь исчезнуть с рабочего стола на какое-то время, а вовсе не удалиться из системы. Ну и наконец, идя на уступки требованиям злоумышленников, Вы поощряете их на дальнейшую противозаконную деятельность!

Сегодня работает два сервиса деактивации троянов-вымогателей от Антивирусных компаний, бесплатно предоставляющих коды разблокировки:

Воспользоваться одним из этих сервисов разблокировки своего компьютера следует в первую очередь! Попасть на данные сайты антивирусных компаний с зараженного компьютера у Вас, скорее всего, не получится, поэтому потребуется помощь друга или знакомого, который может продиктовать код разблокировки по телефону… Дело в том, что троянцы-блокировщики часто вносят довольно внушительные изменения в файл hosts, которые препятствуют доступу к некоторым интернет ресурсам. С помощью одного из предложенных сервисов Вы, если и не удалите троян-вымогатель полностью, то хотя бы избавитесь от ненавистного окна и сможете работать на компьютере. После разблокировки настоятельно рекомендуем провести полную проверку всей системы на вирусы при помощи бесплатных лечебных утилит наподобие DRWeb Cureit или AVP tool! Разблокировать диспетчер задач и редактор реестра (если они оказались заблокированы трояном вымогателем), можно при помощи программы AVZ (avz  файл — восстановление системы — удаление всех ограничений текущего пользователя).

  1. Если ни в одном из сервисов Вы не нашли код разблокировки для своего варианта вымогателя, то можно попробовать удалить блокировщик Windows  с Live CD. При помощи загрузочного диска с операционной системой — Live CD Вы можете загрузить поверх старой Windows новую прямо с диска. Windows с «лайв сиди» загрузится прямо в оперативную память компьютера, после чего Вы сможете работать с содержимым жесткого диска старой ОС. Тут Вам и придут на помощь такие лечебные утилиты, как AVZ или уже упомянутая — Cure it, с помощью которых можно поискать на диске файлы троянца-вымогателя. Эти утилиты не требуют установки и запускаются даже из под Live CD. Их нужно только скачать, причем крайне желательно самой последней версии (avz имеет собственный встроенный модуль обновления антивирусных баз), записать на флешку и подключить её к системе, загруженной с Live CD. Также можно попробовать воспользоваться Live CD от DRWeb, который выполнен на базе Linux и имеет на борту антивирусный сканер от DRWeb. А вот с Live CD на базе Windows можно работать с реестром ранее установленной операционной системы (см. выше), что может оказаться весьма полезным для поиска в реестре места «прописки» трояна-вымогателя, если ни один антивирус не обнаруживает блокировщика. Скачать Live CD можно при помощи поисковой машины yandex или google, после чего образ «лайв сиди» нужно будет записать на диск. 

  2. Вы можете извлечь жесткий диск с информацией из своего компьютера и подключить его к другому компьютеру. Далее на этом компьютере можно по очереди устанавливать всевозможные антивирусы от различных производителей, обновлять их антивирусные базы и сканировать информацию на диске. Для проверки в первую очередь рекомендуем антивирус  Avira Antivir, у которого есть бесплатная версия. Avira Antivir обладает достаточно продвинутым сканером на вирусы по сигнатурам и имеет весьма неплохой эвристик, особенно чувствительный к нестандартным упаковщикам. Если и эта мера не помогла, то обычному пользователю придется либо подождать, пока на сервисах разблокировки не добавится информация конкретно по вашем экземпляру блокировщика Windows, либо обратиться за компьютерной помощью к IT специалистам.

Немного о способах оплаты «услуг» смс вымогателей…

В данный момент злоумышленники используют несколько схем для получения денег с бедных пользователей посредством порно баннеров и «смс вирусов». Если ранее преобладал способ перевода денег через отправку смс сообщений на короткие платные мобильные номера, а также встречались требования оплаты через Webmoney или Яндекс.деньги, то сейчас стало чаще встречаться требование перевести деньги на обычный мобильный номер. При этом злоумышленники уверяют, что после оплаты в любом платежном терминале, Вы найдете код разблокировки на чеке (!!!), который выдаст терминал после оплаты :) Естественно, это чистой воды обман и ни в коем случае не стоит попадаться на данную уловку! Также заметим, что чаще всего «смс вирусы» просят пользователя отправить платное sms сообщение на следующие короткие номера: 8353, 9691, 5121, 3649, 5373, 7122, 4125, 4460, 9800. 

Мы не рекомендуем поощрять действия злоумышленников монетой, какой бы способ оплаты «услуг» не был предложен! Кибер-преступники продолжают свою деятельность только благодаря подпитке от тех, кто идет на их требования и переводит нужную сумму.

Как не заразиться трояном вымогателем

В целом каких-то особенных рекомендаций тут нет. Озвучим здесь лишь самое главное правило безопасности в отношении «смс вирусов» — не поддавайтесь на уловки злоумышленников при посещении сомнительных ресурсов в интернете. Если на каком-то из сайтов Вам чуть ли не насильно впихивают какой-нибудь супер антивирус или кодек для видео, то в 95% случаев это будет обман. Всевозможные плагины для браузера или flash player лучше всего устанавливать только на сайтах разработчика, по крайней мере там есть хоть какая-то гарантия, что Вы устанавливаете именно то, что Вам предлагают. Flash плагин можно установить на сайте adobe.com, а плагины к Opera или Mozilla на сайтах opera.com и mozilla.org соответственно. Ну и пользуйтесь надежным антивирусом!

Запись опубликована в рубрике Новости с метками . Добавьте в закладки постоянную ссылку.

Добавить комментарий