alan_a_skaz (alan_a_skaz) wrote,
alan_a_skaz
alan_a_skaz

Categories:

Внимание! Новая гадость жизни

Посчастливилось мне в субботу в первых рядах наткнуться на новый вирус. Сейчас еду лечить очередной еще один случай. По виду обычный винлок, но, в отличие от большинства собратьев, представляет действительно угрозу для информации счастливых обладателей "продвинутой" семерки, т.к. пользуется ее возможностями по шифрованию файлов.

Вирус выдает обычное сообщение, что MS Essentials обнаружил на этом компе порно и прочее бла-бла-бла, поэтому компьютер заблокирован. Для разблокировки нужно прилсать 500р на счет телефона самарского МТС (варьируется из списка примерно 80 номеров), разблокировочный код якобы будет выбит на чеке от терминала (ага-ага;) :), конечно-конечно). В общем, кто-то из МТС скорее всего в доле.

UPD - исправления внес, т.к. получил отклик от МТС, который сильно улучшил мое отношение к этой компании, некогда упавшее ниже плинтуса. Известный мне номер отправлен им, и другие узнанные будут отправлены тоже. Прошу всех, столкнувшихся с этим вирусом, сделать то же самое - отправить выявленные номера на 911@mts.ru и/или поместить здесь.

На вечер воскресенья ведущие производители антивирусов еще не имели вакцины от этой штуки, информация о его поведени накапливается. Пока известно, что заражение происходит с разных "мусорных" сайтов, но иногда, например, через форум по садоводству. Всякие мейл-ру-спутники и агенты тоже обожают тащить заразу на свой компьютер. Повбывав бы. Где нынче встретил - уже убил, благо повод достаточный ;)

При заражении создается несколько екзешников с именем из длинных комбинаций цифр в каталоге пользователя (W7 c:\users\%user_name%\, XP c:\documents&settings\%user_name%\) и других местах диска, экзешники вычисляются по времени создания. Из реестра надо еще вычищать ссылки на него через Winlogon.

Для счастливых обладателей продвинутой семерки, обретших себе особо крYтой геморрой, повторяю: в данном случае риск потери данных ДЕЙСТВИТЕЛЬНО существует! Поэтому первым делом спасайте инфу, но ни в коем случае НЕ ВКЛЮЧАЯ зараженную систему, а сняв винчестер или загрузившись с LiveCD/флешки.

Пока все, времени на подробности нет. Продолжение, возможно, следует.
Subscribe

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 3 comments