Снятие блокировки Windows без отправки SMS на номер +4 495-338-85-85

Перед новым годом позвонили знакомые из организации и обозначили проблему: компьютер с базой данных перестал запускаться по причине установленной не лицензионной версии операционной системы Windows XP. Были выданы рекомендации купить пакет легализации ОС, антивирусное программное обеспечение  и привести системный блок к нам для его установки.

При первоначальном осмотре во время загрузки Windows появилось окно:

 

Стало понятно, что это троян - вымогатель, маскирующийся под Microsoft и требующий отправить SMS на номер +4 495-338-85-85 для разблокировки ПК, вполне понятно, что номер поддельный, так как телефон поддержки Майкрософт +7 (495) 9678585, в данном случае мошенники заменили первую цифру с +7 на +4. Естественно, что компьютер не загружался по появления рабочего стола, на комбинацию клавиш Ctrl+Alt+Del не реагировал. При загрузке машины в безопасном режиме путем нажатия клавиши F8 в папке Windows был найден скрытый файл mfo.exe, после удаления которого операционная система загрузилась без проблем. Данный файл был отправлен Malware Protection Center Майкрософта и сегодня мне пришло письмо с подтверждением детектирования вируса и его включении в антивирусную базу Microsoft Security Essentials, о котором я писал в предыдущей статье.
Итак, что же делает данный червь Trojan:Win32/Ransom.Q, попав на компьютер жертвы ? Он может быть установлен другим трояном и присутствует как файл с именем mfo.exe в папке Windows, с маскируясь изображением, напоминающим файл Microsoft Power Point.


Добавляет ветвь в реестр по адресу HKLM\Software\Microsoft\Windows\CurrentVersion\Run
значение: «mfo.exe»
с данными: «%windir%\mfo.exe»
что обеспечивает ему запуск при старте операционной системы, при запуске он останавливает следующие процессы:
anvir.exe – какой-то антивирус
chrome.exe - Web браузер
explorer.exe – оболочка Windows
iexplorer.exe Интернет-Эксплорер
icq.exe - Аська
msnmsgr.exe – Интернет чат клиент
mirc.exe – IRC клиент
msconfig.exe – Утилита конфигурации Windows
opera.exe - Браузер
regedit.exe – Редактор реестра
regedt32.exe – Редактор реестра
texpl.exe – не знаю что :)
Заблокировав компьютер, он выводит окно с требованием отправить SMS и ввести в поле полученный код. Причем код разблокировки всегда один и тот же и жестко закодирован в теле вируса. Вот он – введите число 13616 и будет Вам счастье. :)
Общие рекомендации таковы: включите файервол, включите автоматическое обновление Windows, используйте антивирусное программное обеспечение, тот же Microsoft Security Essentials можно установить совершенно бесплатно, при условии прохождения Вашей операционной системой проверки на легальность.

 

Комментарии  

 
-1 #11 29.01.2011 21:25
Цитирую povierennyy:
У него на то время был антивирус, но наверное не все он выавливал.

Антивирус сам по себе еще не панацея, 100% гарантии зашиты от Malware не даст ни один производитель ПО.
Сам неоднократно сталкивался с ситуацией, когда комп заблокирован, а Касперский с последними одновлениями в упор не видит угрозы в зараженном файле.
Приходтся отсылать вновь выловленный вирус с лабораторию с описанием проблемы.
Одно радует - скорость реакции на новую угрозу составляет в среднем 4-5 часов. ;)
Цитировать
 
 
-1 #10 21.01.2011 23:05
Продолжаю... У моего знакомого вдруг тоже что-то вычкочило: Что то типа какой-то хакер Адам что-то взламал. Он (знакомый) с утра до обеда что-то там пытался сделать, потом привез говорит сделай что-нибудь, а то я был у *** - предлагает переустановить винду. Ну я за минут 40 все решил. От загрузки в безопасном режиме до установки ПРАВИЛЬНОГО антивирия :). 40 минут это потомучто я ноута нигде не видел и "не сразу понял к0кие кнопочки нажимать" - ну не удобно мне было.
---
У него на то время был антивирус, но наверное не все он выавливал.
Цитировать
 
 
-1 #9 21.01.2011 22:57
Я уже где-то писал (не на вашем сайте) ща поищу...
---
Нашел:

Ставил я винду (ХР), непомню какая точно зборка. Во время установки запиликал системный динамик - пикало какую0то мелодию... И ВЫСКОЧИЛО СООБЩЕНИЕ "Ваша копия винды пиратская бла-бла-бла, ИДЕТ ОЧИСТКА ДИСКА". Но на диске не было даже следов винды!!! Сети тоже у меня вообще небыло на то время (не было дом.Телефона - я только недавно подлючился).
---
Еще раз, через день, попробовал установить эту самую винду - все получилось.
---
Но после установки SP2 и SP3(для разработчиков или как-то оно там называется...) стало все работать медленее.
---
Ссылка http://admin.dp.ua/windows/2.html#comments
---
Уж0сныэ праблемы %), или я везучий?
---
После смены платы АшРок на Ассуз ;) - я только нашел и выкачал драйвера для музыкалки. В Линуксе тож пришлось ш0зь сделать. :)
---
И почему ото такие сообщения выскакивают? Это в процессе установки или работы винды?
Цитировать
 
 
0 #8 21.01.2011 19:46
Заблокирован комп. Выскочил баннер, что я залез на секс сайт и должен перевести на номер сот телефона 450 руб Потом внести номер операции с чека в код. баннера. Понятно, что это разводка. Помогите снять блокировку компа. Заранее благодарю
Цитировать
 
 
-1 #7 10.01.2011 15:14
Цитирую Макс:
На ноуте вылезла хрень:
microsoft security обнаружил нарушение использования сети интернет. Причина (юморок у них, бля...): вы смотрели фильмы, содержащие гей-порно.
Для разблокировки пополните номер абонента билайна 89650126192 на 300 рублей (совсем оборели). Код разблокировки - на выданом чеке.

13616 - не помогло. Безопасный режим винды предъявляет ту же лажу.
Что делать? Помогите пожалуйста.

Грузись с Live-CD и "шерсти" DrWeb CureIT или снимай диск с ноута, вставляй в контейнер и проверяй Касперским на другом компе, ну или просто Windows переустанови.
И поставь хотя бы Microsoft Security Essentials, сейчас вышла версия 2.0, она неплохо защищает, в том числе и при работе в интернете. ;)
Цитировать
 
 
0 #6 06.01.2011 19:40
На ноуте вылезла хрень:
microsoft security обнаружил нарушение использования сети интернет. Причина (юморок у них, бля...): вы смотрели фильмы, содержащие гей-порно.
Для разблокировки пополните номер абонента билайна 89650126192 на 300 рублей (совсем оборели). Код разблокировки - на выданом чеке.

13616 - не помогло. Безопасный режим винды предъявляет ту же лажу.
Что делать? Помогите пожалуйста.
Цитировать
 
 
-1 #5 14.04.2010 14:04
Спасибо за 13616 все работает на ура
Цитировать
 
 
0 #4 27.03.2010 16:59
Цитирую root_x povierennyy:
У нас, в Украине, стали показывать рекламу микрософта: Лозунги такие: купи лицензионную копию винды и скачай бесплатный антивирус от микрософт.
---
Что Вы думатет обо всем этом?
---

Ну реклама их и в России тоже "крутится".
А смысл в том, что за счет интеграци продуктов происходит снижение затрат конечных пользователей на владение программным обеспечением, при всей "корявости" MSSE он все-же приемлимо защищает тех-же домохозяек, которые не хотят или не могут купить нормальных антивирусный пакет.
Цитировать
 
 
-1 #3 27.03.2010 16:25
У нас, в Украине, стали показывать рекламу микрософта: Лозунги такие: купи лицензионную копию винды и скачай бесплатный антивирус от микрософт.
---
Что Вы думатет обо всем этом?
Я думаю что слово "бесплатно" и "микрософт" аж никак не сочетаются, также само как и "безопасность" и "микрософт".
---
И сейчас я СТАЛ НЕПОНИМАТЬ тех, кто использует виндовс. Ведь есть намного лучшие* системы.
---
Но если подумать о себе, то... до какого-то времени я даже таких слов не знал, как Linux allBSD, qnx и т. д.
---
две важные вещи, противоречащие друг другу:
1 - скоро микрософт здохнет и ввесь мир перейдет на opensource
2 - пока будут дураки (пользователи с низкой компьютерной грамотносью), до тех пор и будут существовать ВИРУСЫ И МИКРОСОФТ.
---
* - вообщем и конкретно лучше со всех, разных и внутренних сторон и взглядов.
Цитировать
 
 
-1 #2 27.03.2010 10:01
Суровая правда жизни.
Цитировать
 

Добавить комментарий


Защитный код
Обновить