Вирусы, трояны.Способы борьбы.

2012-06-12T16:56:02+04:00 2014-02-14T20:18:37+04:00
0
Группа: Друг сайта
Сообщений: 3069
15:04, 04.09.2012 №76
+ 1
 
Блокеры всех времен и народов. Экскурс в историю.

Статья не новая, но всё же вспомним, как это было.Осенью 2007 года на просторах рунета появился новый вид вредоносного ПО – программы-вымогатели. Данный вид мошенничества ходил в сети и раньше, но только в России он получил огромную популярность. Плодотворной почвой стала простота получения денег от своих жертв.

Далее наиболее интересные из них по следующим номинациям:

Самый труднодоступный

Данный блокер уникален тем, что заражал MBR. Большую популярность он не приобрел. Можно сказать, что он был скорее концептом.В мае 2011 года появился второй MBR-блокер, приобретающий все большую и большую популярность.
Вердикт: Trojan-Ransom.Boot.Seftad. Дата появления: ноябрь 2010. Дата затухания эпидемии: эпидемии не вызвал.

Самый популярный

Самый массовый, самый прибыльный блокер всех времен и народов. В июне 2010 года новые блокеры данного семейства выходили буквально раз в час. Эпидемия прекратилась лишь после того, как правоохранительными органами были задержаны члены данной преступной группировки.
Вердикт:Trojan-Ransom.Win32.PinkBlocker. Дата появления:ноябрь 2009. Дата затухания эпидемии:август 2010.

Самый первый

Первые блокеры на просторах рунета использовали экзотические формы оплаты, мало знакомые домохозяйкам и непритязательный дизайн (никакого обнаженного женского и мужского тела). Но именно с них все начиналось.
Вердикт:Trojan-Ransom.Win32.BlueScreen. Дата появления:осень 2007. Дата затухания эпидемии:осень 2008.

Самый красивый

Вердикт:Trojan-Ransom.Win32.Gimemo. Дата появления:март 2011. Дата затухания эпидемии:эпидемии не вызвал.

Анимационный

Блокер, использующий в качестве картинки анимированный gif c mamma (лат.), совершающей колебательные движения. В качестве оплаты блокер просил отправить SMS на один из коротких номеров, среди которых присутствовали как российские, так и украинские, казахстанские, литовские и германские.
Вердикт:Trojan-Ransom.Win32.XBlocker. Дата появления:декабрь 2009. Дата затухания эпидемии:февраль 2010.

Первый нероссийский

Данный блокер, вызвавший первую крупную эпидемию блокеров в рунете, пришел с Украины. Изначально в качестве оплаты принимались SMS-ки на украинский номер.
Характерной особенностью блокеров из данного семейства была демонстрация лицензионного соглашения (!!!) при первом запуске блокера, в котором сообщалось о том, что компьютер пользователя будет заблокирован. Но кто читает эти соглашения?
В последующих версиях блокера лицензионное соглашение хотя и демонстрировалось, но довольно быстро закрывалось, и блокер начинал установку вне зависимости от действий пользователя, соглашался он с условиями или нет.
Вердикт:Trojan-Ransom.Win32.Digitala. Дата появления:октябрь 2009. Дата затухания эпидемии:декабрь 2010.

Самый безобидный

Данный «блокер» блокером как таковым не является. Мошенники специально создают сайты, выдающие себя за сайты для взрослых, и размещают в них javascript код, выводящий в браузере приведенную ниже картинку. После того как сайт создан, он распространяется через банерную систему. Для борьбы с данным видом мошенничества достаточно просто закрыть браузер и не заходить в будущем на данный сайт, но многие пользователи пугаются, считают, что произошло заражение их машины, и спешат заплатить деньги вымогателям.
Вердикт:Trojan-Ransom.JS.Smser. Дата появления:лето 2010. Дата затухания эпидемии:по текущее время.

Самый креативный

Первые годы развития блокеров авторы подходили к их созданию с душой. Попадались очень веселые, забавные и трогательные блокеры. И лишь спустя несколько лет блокеры стали клепать как пирожки – побыстрее и побыстрее, чтобы успевать сбивать детекты антивирусных продуктов.
Вердикт:Trojan-Ransom.Win32.ImBlocker. Дата появления:лето 2008. Дата затухания эпидемии:эпидемии не вызвал.

Самый жадный

Поскольку на стоимость SMS существовало верхнее ограничение по цене (500-600р.), некоторые блокеры стали просить отправить по 2, а очень жадные – по 3 SMS-ки.
Вердикт:Trojan-Ransom.Win32.PinkBlocker. Дата появления:весна 2010. Дата затухания эпидемии:август 2010.

Самый наглый

Особенность данного блокера в громких именах, которыми он прикрывается.
Вердикт:Trojan-Ransom.Win32.ZoBlocker. Дата появления:N/A. Дата затухания эпидемии:N/A.

Самый честный

Данный блокер интересен тем, что в отличие от своих коллег честно заявляет, что он блокер.
Вердикт:Trojan-Ransom.Win32.Honest. Дата появления:N/A. Дата затухания эпидемии:эпидемии не вызвал.

Самый долгоиграющий

Данный блокер уникален тем, что использует систему подписок для обогащения своих авторов. Вместо того чтобы требовать отправки SMS или перевода денег на счет, данный блокер требует отправить свой номер телефона. На телефон приходит SMS-ка с кодом деактивации.
Все эти безобидные действия преследуют одну цель – зарегистрировать пользователя на так называемой подписке. Вводя в блокер код деактивации, пользователь тем самым соглашается с условиями подписки (которые ему, естественно, никто не показывал). После подписки с телефона пользователя начинают регулярно снимать деньги (например, каждые 3 дня по 150р.). Данный способ работает до тех пор, пока пользователь не откажется от подписки или в течение определенного времени (например, недели) на телефоне не будет средств.
Вердикт:Trojan-Ransom.Win32.Holotron. Дата появления:февраль 2011. Дата затухания эпидемии:эпидемии не вызвал.

Самый брутальный

Данный блокер характеризуется отображением гомосексуалистов.
Второй его «замечательной» особенностью являются коды деактивации – это не бессмысленный набор символов, а коды из игры (например, IDDQD), персонажи игр (KERRIGAN IS SO SEXY), авторы любимых произведений (FRANK HERBERT) и т.п.
Вердикт:Trojan-Ransom.Win32.HmBlocker. Дата появления:ноябрь 2010. Дата затухания эпидемии:март 2011.

Самый подробный («блондиночный»)

Данный блокер можно назвать самым подробным в области инструкции по своей деактивации. Поскольку данная программа в качестве формы оплаты использует не SMS, а более экзотическую схему «В контакте», с которой знакомо относительно малое количествово пользователей, то она предоставила зараженным пользователям очень подробную пошаговую инструкцию как все-таки перевести деньги мошенникам.
Вердикт:Trojan-Ransom.Win32.GiviBlocker. Дата появления:ноябрь 2010. Дата затухания эпидемии:эпидемии не вызвал.

В любом случае, надежнее предотвращать блокирование, нежели лечить уже зараженный компьютер, ведь техническая мысль не стоит на месте.
Группа: Живущий здесь
Сообщений: 884
15:30, 04.09.2012 №77
0
 
Жень, спасибо! Интересно было почитать.
Кризис дополз и до меня. Сыр ем с плесенью, вино пью старое, езжу на машине без крыши.
Группа: Легенда
Сообщений: 1610
00:37, 29.05.2013 №78
0
 
Самый забавный и самый распространенный-это пожалуй Webalta
Влезает без смазки и круто.
Мы богаты не тем что имеем а тем что умеем
FBI предупреждает!
ЕЖ-Сволочь-очень колючая! Долбодятлам лучше не связыватьса-отчешуитьса можно по самые нихачу.
Группа: Downloader
Сообщений: 57
01:55, 29.05.2013 №79
0
 
Virus.Win32.Neshta. В прошлом году столкнулся два раза. Полностью и без последствий излечился прогой Dr. Web Cure It. Зараженные ехе-шники после лечения остались рабочими.
Группа: Друг сайта
Сообщений: 3069
13:37, 13.02.2014 №80
0
 
Virus.Win32.Neshta

Вчера поймал эту чудную вещицу, которая изрядно потрепала мои, и без того, расшатанные нервы. Поймал на сайте, которому доверял и заходил неоднократно. Там же обратил внимание на периодически всплывающее "неубиваемое" окошко, но не придал значения. Оказывается - зря! После того, как снова включил ноутбук, началось светопредставление. Истошно завопил антивирус, который определял запущенные приложения как злостные вирусы. Неприятность состоит ещё и в том, что заражаются и те exe файлы, которые не запущены. Почуяв неладное, запустил полное сканирование. И вот он негодник, прорвавшийся тайно, проникший в систему и козни творящий. Отловил тело вируса, отправил на проверку.
Virustotal
Википедия
К несчастью, именно в тот момент к компьютеру был ещё подключен и винчестер с программами на 1ТБ. За своё недолгое существование вирус успел прилично нагадить в системе. Вдогонку запустил Dr.Web CureIt! и Касперского впридачу. Данные продукты хороши тем, что умеют не только удалять, но и лечить.
Уведомления антивируса NOD32

После сканирования в системе:

После сканирования на винчестере:

Сканировал, лечил, снова сканировал. В общем, всё закончилось благополучно, не считая выпитой сгоряча полбутылки водки и разбитой в сердцах пепельницы. Будьте бдительны!
Группа: Гости
Сообщений: 1944
13:53, 13.02.2014 №81
0
 
evgen69, во у тебя "квест" вышел, сочуствую...
и поздравляю, что удалось справиться с этой "нечистью"
сайту тому теперь доверять не будешь, надеюсь (можно его и в студию, для примера, куда ходить нежелательно)
Группа: Активист
Сообщений: 1643
13:54, 13.02.2014 №82
0
 
evgen69, Так а что за сайт то? чтоб не лезли туда.
Делаю всё по научному: методом (В)тыка.
Группа: Активист
Сообщений: 1801
14:03, 13.02.2014 №83
0
 
Cossack
14:05, 13.02.2014
evgen69, Как ты вменяемый парень мог поставить себе нод
Аккаунт удален
14:05, 13.02.2014 №84
0
 
evgen69 (13.02.2014, 13:37) писал:Virus.Win32.Neshta
evgen69 (13.02.2014, 13:37) писал: Неприятность состоит ещё и в том, что заражаются и те exe файлы, которые не запущены.

evgen69 сочувствую...
Мне так сын повысил компьютерную грамотность))) Не все файлы удалось вылечить, психанул - переустановил Винду: у жены было много по работе. Ребёнка не ругал, просто показал, к чему приводит невнимательность и не ответственность - чтоб дошло через наблюдение...
Причина заражения - отключал Norton 360, чтобы скачать кряки к игрухам)))
Группа: Друг сайта
Сообщений: 3069
14:14, 13.02.2014 №85
0
 
evgen69
14:15, 13.02.2014
CoolZoid, DustMan, o16rus, спасибо за поддержку. Адрес сайта не имеет смыла сообщать, чтобы его не дискредитировать. Возможно, админы этого сайта не виноваты, что у них прописался вирус и сами пытаются с ним бороться. Я просто удалил этот сайт из закладок и вычеркнул из памяти.
Cossack (13.02.2014, 14:03) писал:Как ты вменяемый парень мог поставить себе нод

Cossack, вот поскольку я вменяемый, то NOD32 у меня стоит уже несколько лет, а от подобного заражения панацеи ещё нет и вряд ли здесь спасёт любой антивирус на стадии заражения. Тем более, от этого никто не застрахован. А тебе не надоел вечный холивар о том, какой антивирус лучше?

Всё-таки решил переустановить систему, не люблю остаточных явлений.
Группа: Активист
Сообщений: 1801
14:16, 13.02.2014 №86
0
 
Cossack
14:17, 13.02.2014
evgen69, панацея есть это G DATA поставь и никогда на нод не вернешся
или
BullGuard Internet Security
Industry-leading protection

Shop, bank and socialise online with confidence. Learn more

Free 60-day trial.
http://www.bullguard.com/
Аккаунт удален
14:18, 13.02.2014 №87
0
 
o16rus
14:28, 13.02.2014
evgen69 (13.02.2014, 14:14) писал:Всё-таки решил переустановить систему, не люблю остаточных явлений.


Так надёжней - переустановка. Причем, у меня, от Virus.Win32.Neshta пострадали все приложения, которые пытались жена с сыном запустить. Короче наделали делов - под "снос"...
В Qihoo 360 можно запускать браузер в "песочнице". Какая-ни-есть, а всё-ж гарантия от "зловредов". ИМХО
Хотя сам сейчас просто пользую встроенные элементы защиты на Вин 8.1 + Shadow Defender. Поэкспериментирую)))
Группа: Друг сайта
Сообщений: 3069
14:19, 13.02.2014 №88
0
 
evgen69
14:19, 13.02.2014
Cossack (13.02.2014, 14:16) писал:evgen69, панацея есть это

Cossack, мне приятно, что ты печёшься о безопасности моей системы, но всё-таки не стоит. Я свой выбор сделал давно, а выбирал и тестировал не один продукт. Ты же знаешь прописную истину - каждый выбирает для себя и под себя.
Группа: Активист
Сообщений: 1643
14:20, 13.02.2014 №89
0
 
В кряках иногда специально подкидывают вирусню, особенно в новинки.
NOD-32 и у меня стоит+Комод-фаер и нормально,насчёт вирусни.Другой вапрос если эту старую картошину кто то в другую скорлупу зарядил.......
Делаю всё по научному: методом (В)тыка.
Группа: Активист
Сообщений: 1801
14:23, 13.02.2014 №90
0
 
evgen69, самый авторитетный ресурс по антивирусам рекомендует G DATA https://www.virusbtn.com/vb100/latest_comparative/index
 
Доступ закрыт.
  • Вам запрещено отвечать в темах данного форума.