Новинка! Новое семейство ВинБлокиров! Загрузочный сектор.

Alexandr-IP

Пользователь
Активный участник
Проверенный
Сообщения
160
Реакции
48
Баллы
43
Credits
-5
Решил тему создать. Не знаю кого как, а меня достали блокировщики-вымогатели. В последнее время настораживает что господа-блокирописатели научились, и весьма успешно, обходить ВСЕ советы по снятию этих самых блокировщиков. Предлагаю создать народную энциклопедию борьбы с лохотроном. Внесу первую лепту. Из личного опыта.

- Идет загрузка компа в штатном режиме. До виндовской заставки дело не доходит. И в это момен рисуется стандартный досовский экран с надписью комп заблокирован бла-бла-бла. номер и сумма. 500 рэ.
Вот лог каспера (Антивирус Касперского WS 6.0.3.837)
вылечено: троянская программа Trojan-Ransom.Boot.Mbro.a Сектор диска: \Device\Harddisk1\DR1

После перезагрузки и лечения с помощью команды chkdsk все нормально стало. Вывод - данная зараза ВООБЩЕ не цепляется к файлам WINDOWS, включая реестр. Поэтому все откаты и редактирования реестра, в том числе и с помощью касперовской утилиты WinUnlocker неэффективны. Лечите загрузочный сектор (зону MBR)

- Загрузка винды идет штатно. После прохождения заставки выскакивает синий банер с текстом статьи УК и угрозами передать все в суд. Сумма традиционная - 500 рэ. Та же пляска с LiveCD, ERD Commander, WinUnlocker и т.д. результата не принесли. На форумах прочитал что не в реестре это прописывается, а видоизменяются файлы винды. Как вариант, зараза может сидеть тут.

C:\WINDOWS\system32\dllcache\taskmgr.exe
C:\WINDOWS\system32\dllcache\userinit.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\userinit.exe
Способ борьбы - подживить вместо этих нормальные. Только билд виндовский должен соответствовать. Я подживил другие. Винда криво работать стала. Все-равно перерставлять пришлось...


Пишите, кто и как с эти борется. Просьба не повторятся по поводу редактирования реестра тем или иным способом (LiveCD, AVZ, ERD COMMANDER, и т.д.). Интересны способы борьбы с новыми разновидностями. Не заменяющими собой в реестре explorer.
 
Последнее редактирование:
Где-то, где не помню прочитал интересный способ борьбы-
при нахождении тела вируса не удалять его физически, а менять первые несколько байт делая файл неработоспособным.
Суть в том, что заражая компьютер многие вирусы проверяют наличие присутствия своих копий на атакуемой машине, и если видят что файлы присутствуют, оставляют потенциальную жертву в покое.
Способ очень спорный, я бы сказал "мусорный", однако имеет право на существование!
 
помогало раньше или загоняние времени этак 2500 год или востановление системы из комстроки (%SystemRoot%\system32\restore\rstrui.exe).

Уже непомогает... :(

Спасаюсь Касперлайв и Антивинлокер....
 
Не далее как вчера встретился с очередной такой заразой. В реестре вместо explorer.exe стартовал 22266ec5.exe. После правки реестра и физического убивания данного файла из-под LiveCD он как птица феникс при загрузке оказывался в реестре и на винте. Как будто я его и не стирал. Выяснилось что изменен taskmgr.exe. После замены taskmgr.exe из даже другого билда все заработало. Учатся паршивцы. Молодцы конечно - профессионализм нарабатывают, только вот обычных пользователей жалко...
 
  • Спасибо!
Реакции: Paha
Мда. Видимо кроме меня написать больше никто ничего не может или не хочет. Ну ладно. В продолжении темы...
C:\Documents and Settings\All Users\Application Data\22CC6C32.exe 28,5 кб
MD5 DC6E2CBA58AF835B0FECA463B0A6B4D1
Стартует вместо explorer.exe.

В C:\WINDOWS\system32\dllcache\ и C:\WINDOWS\system32\ лежит taskmgr.exe 28,5 кб MD5 DC6E2CBA58AF835B0FECA463B0A6B4D1

Путем нехитрых умозаключений получаем что это поддельный файл вместо
taskmgr.exe 136 кб MD5 82ECA25FD208B95E34D9E22C205AE59D

Поскольку он под SFC не попадает то он меняется на поддельный, в котором прописана инструкция восстановления ключа реестра отвечающего за замену explorer.exe на 22CC6C32.exe и создание своей копии при каждой загрузке системы по адресу C:\Documents and Settings\All Users\Application Data\
Вот оказывается в чем фишка этого блокера со статьей 242...
 
Мда. Видимо кроме меня написать больше никто ничего не может или не хочет. Ну ладно. В продолжении темы...
C:\Documents and Settings\All Users\Application Data\22CC6C32.exe 28,5 кб
MD5 DC6E2CBA58AF835B0FECA463B0A6B4D1
Стартует вместо explorer.exe.

В C:\WINDOWS\system32\dllcache\ и C:\WINDOWS\system32\ лежит taskmgr.exe 28,5 кб MD5 DC6E2CBA58AF835B0FECA463B0A6B4D1

Путем нехитрых умозаключений получаем что это поддельный файл вместо
taskmgr.exe 136 кб MD5 82ECA25FD208B95E34D9E22C205AE59D

Поскольку он под SFC не попадает то он меняется на поддельный, в котором прописана инструкция восстановления ключа реестра отвечающего за замену explorer.exe на 22CC6C32.exe и создание своей копии при каждой загрузке системы по адресу C:\Documents and Settings\All Users\Application Data\
Вот оказывается в чем фишка этого блокера со статьей 242...

Эта хня "кушает" также файлы
winlogon.exe
userinit.exe
и как уже было сказано
taskmgr.exe
мало того еще присутствует в файле гибернации!
hiberfil.sys
и оттуда вполне себе успешно восстанавливается
сваливая систему в первоначально инфецированное состояние ;)
потому лечение состоит из
- загрузки с liveCD
- замены вышеупомянутых файлов аналогами с рабочей системы.
- удалением hiberfil.sys
- естественно удалением тела вируса
C:\Documents and Settings\All Users\Application Data\22CC6C32.exe

"Application Data" папка скрытая!

- очисткой реестра от всех упоминаний 22CC6C32.exe

гораздо хуже сетевой червяк sality (kasper) он же sector xxx (drweb)
или печально известный killfiles (drweb) (kaspersky не видит)
если интересно пишите - дам пошаговую инструкцию...
 
Учатся паршивцы. Молодцы конечно - профессионализм нарабатывают, только вот обычных пользователей жалко...
В моей практике встречалось, что был заменен файл AGP440.SYS,, соответственно порнолокер выстакивал непонятно откуда.
Антивир (Каспер) его благополучно пропустил.
Обнаружилось только после того, как запустил загрузку в пошаговом режиме через F8 и увидел на каком месте произошел затык.
 
.....известный killfiles (drweb) (kaspersky не видит)
если интересно пишите - дам пошаговую инструкцию...

Да. Хотелось бы если не трудно. Пользуюсь каспером. WKS 6.0.387. killfiles интересует. Мало ли чего...
 
Вчера племянница поймала эту гадость. Что делать, не понятно. Комп не хочет видеть CD, хотя в БИОСе выставляли даже все четыре позиции CDROM, когда ставишь на 2, 3 или 4 позицию жёсткий диск, начинает грузится винда, но в итоге банер, просящий 1000р на МТС телефон. Может кто сталкивался с такой болячкой, а то не получается даже переставить винду
 
Вчера племянница поймала эту гадость. Что делать, не понятно. Комп не хочет видеть CD, хотя в БИОСе выставляли даже все четыре позиции CDROM, когда ставишь на 2, 3 или 4 позицию жёсткий диск, начинает грузится винда, но в итоге банер, просящий 1000р на МТС телефон. Может кто сталкивался с такой болячкой, а то не получается даже переставить винду

В биосе привод видется? Если нет, то либо перемычки переключить на приводе (в случае с IDE), либо привод выбросить (если это SATA). А если видется то диск. Такое бывает если диск не очень читабельный. Привод не хочет этот диск видеть и все. Попробовать другой диск/привод.
 
Вчера племянница поймала эту гадость. Что делать, не понятно. Комп не хочет видеть CD, хотя в БИОСе выставляли даже все четыре позиции CDROM, когда ставишь на 2, 3 или 4 позицию жёсткий диск, начинает грузится винда, но в итоге банер, просящий 1000р на МТС телефон. Может кто сталкивался с такой болячкой, а то не получается даже переставить винду

Если комп не загружается с CD-ROMа, то это не winlocker. Это что-то другое, и скорее всего связанное с "железом". Банер срабатывает, когда винда грузится, а если вы загружаетесь с другого носителя, он никак повлиять не может.

Пока сообщение написала, уже ответили :)
 
Вот здесь: http://forum.kaspersky.com/index.php?showtopic=232632 описывается такой блокер. Диски и дисководы нормальные, диски на своём запускал и у племянницы после временной разблокировки в винде ини открываются. Разблокируется временно так: Для разблокировки выполнить:
Кликнуть по заголовку 'Windows заблокирован'
Два раза кликнуть по ПЕРВОЙ строке текста
Один раз кликнуть по ВТОРОЙ строке текста
Один раз по ПЕРВОЙ строке текста
Наконец один раз по фразе 'Ваш КОД'
Этот метод взял здесь: https://www.drweb.com/xperf/unlocker/gallery/ Почему временно: после перезагрузки блокер появляется вновь. При попытке загрузится с CD пишет неопознаная файловая система
 
  • Спасибо!
Реакции: fast
Ну тогда он в проводах прячется :):shok:
Могу только предположить что своими грязными байтами исполняемого кода он касается биоса. Но в этом случае он должен поражать только определенные модели определенной марки матплат!
Что сильно сужает его "ареал" обитания и делает коммерчески нерентабельным.
Да и лечить в таком случае его надо только перепрошивкой биоса!!!
манипуляции с файлами и реестром будут бессмысленны.
В общем проще предположить кривой DVD-диск-привод!
Очень бы хотел посмотреть!, Сам пока к сожалению не сталкивался...
 
Всем спасибо! Вопрос закрыт. Глюк был в приводе, поставили другой привод и антилокером убили эту гадину.
 
Попалась одна машина с локером. explorer.exe значился в реестре по адресу HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell , других тел не нашлось. При разборе ситуации выяснилось что данная гадость собой заменяет explorer.exe на винте а не в реестре. Поэтому пока другой explorer.exe не переписать откуда-нибудь с рабочей машины - ничего не получится. Правда я так и не понял как они всетаки SFP обходят? Если еще раз такая гадость попадется - точно отпишусь что и как с контрольными суммами и т.д.
 
Последнее редактирование:
Пользуйтесь AntiWinLockerLiveCD 3.3, видел очень много модификаций винлокера, все они лечатся максимум минут за 10. Это касается и загрузочного сектора.
 
Сверху