Версия для печати
Нажмите сюда для просмотра этой темы в оригинальном формате
Форум на Исходниках.RU > Компьютерная безопасность > Разблокировка троянов семейства WinLock (sms - вымогатели)


Автор: akok 02.01.10, 15:20
OnLine - форма для разблокировки трояна WinLock(sms-вымогателя). Переходите на сайт и выполняете инструкции.

У OnLine и Офлайн формы для разблокировки трояна WinLock(sms-вымогателя) возможности одинаковые.

Офлайн - форма(калькуляторы) для разблокировки трояна WinLock(sms-вымогателя).
Цитата
Idea & technical support Ispolin
Desing Elisy
Online form drweb.com
Big thanks company Dr.Web®
Special thanks Igor Daniloff

Если вы не знаете точное имя троянской программы, попробуйте найти похожий скриншот.
Внимание! Некоторые варианты вируса проявляются одинаково, так что, если указанный код разблокировки вам не подошел, попробуйте поискать похожие изображения.

некоторые примеры:

user posted image user posted image user posted image

P.S. офлайн форма обновляется ежемесячно в первых числах
-------------------------------------------------------------


"Лаборатория Касперского" представляет бесплатный сервис для борьбы с программами, блокирующими компьютер и предлагающими отправить платную СМС на определенный номер, взамен на номер отправителя будет выслан код, позволяющий разблокировать компьютер.

http://support.kaspersky.ru/viruses/deblocker


Для продвинутых пользователей :
Подробнее о способах борьбы с программами-вымогателями. :)

http://support.kaspersky.ru/viruses/solutions?qid=208637133
-------------------------------------------------------------


Или воспользоваться утилитой Symantec Trojan.Ransomlock Key Generator Tool

1. Скачайте и запустите утилиту (если утилиту невозможно запустить попробуйте переименовать ее во что-то нейтральное, например: game.pif)
2. Введите код, который необходимо отправить при помощи SMS на короткий номер, учитывая следующий алгоритм:
  • Если код имеет следующий формат "41NN1234567" (где N.N. два случайных числа) например, "41671234567", введите код без изменений.
  • Если код начинается с комбинации "411", например "4111234567", введите код без изменений.
  • Если код начинается с "K2", это значение необходимо заменить на "4110" и оставить третий, четвертый, шестой, седьмой, девятый и десятый разряды кода. Например, если код "k2670620000", вы должны ввести "4110676200".
user posted image
3. Полученный код разблокировки введите в окно с запросом и разблокируйте систему.
-------------------------------------------------------------

Автор: akok 27.01.10, 12:33
eKAV Antivirus

Как Вы понимаете из названия , никаким антивирусом там и не пахнет. Представляет из себя очередной клон модного нынче вымогателя денег.

user posted image

Блокирует открытие окон, диспетчер задач и запись в реестр. По сети ходят страшилки о том, что автор его - никто иной, как г-н Касперский :).
Как и вся их братия, излечим. Но как показала практика, подбор кода для данного зверя - дело совсем не сложное. Алгоритм был описан разными словами на просторах сети, ессно вслед за этим появились генераторы кода, благо дело написать их по известному алгоритму - дело не хитрое. Одним из них воспользовался и я, первый же сгенерированный вариант оказался верным.
Автор данного генератора - некто Денис Кравченко, за что ему большое спасибо :)


Скачать


Источник.
-------------------------------------------------------------


Компания ESET предлагает пользователям бесплатный он-лайн сервис, который позволяет вернуть работоспособность компьютера, если он был заблокирован вредоносной программой.

OnLine - форма для разблокировки


После разблокировки необходимо полностью удалить вредоносное ПО.

Автор: Mr.Delphist 04.04.11, 21:19
Остается добавить, что если при поытке открыть любым браузером любые известные сайты происходит возврат на страницу вымогателя, то надо удалить файл "hosts", расположенный в папке "C:\Windows\System32\drivers\etc\". Именно там происходит переопределение доступа.

Автор: antonn 04.04.11, 21:41
а он обратно потом вернется?
кроме hosts еще хорошо прокатывает прокси

Автор: Akina 05.04.11, 04:40
Цитата Mr.Delphist @
надо удалить файл "hosts",

Ни в коем случае!
Из него надо удалить лишние строки.
Для тех, кто не знает, какие строки лишние - удалить все строки, что начинаются не с диеза/точки с запятой, за исключением строки "127.0.0.1 localhost".

Автор: Mr.Delphist 05.04.11, 06:57
Цитата Akina @
Ни в коем случае!
Из него надо удалить лишние строки.
Для тех, кто не знает, какие строки лишние - удалить все строки, что начинаются не с точки с запятой, за исключением строки "127.0.0.1 localhost".


Хммм... А у Вас там что-то полезное есть? Вот пример типового hosts - там одни документирующие комментарии:
Цитата

# Copyright © 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost

Автор: Akina 05.04.11, 07:07
Цитата Mr.Delphist @
А у Вас там что-то полезное есть?

Да, есть.
Цитата Mr.Delphist @
# ::1 localhost

А этот ошмёток откуда?

Автор: Qraizer 05.04.11, 09:38
127.0.0.1 по IPv6-ски

Автор: Mr.Delphist 05.04.11, 10:18
Цитата Akina @
Да, есть.

Но это вписывалось руками, как я понимаю? Или есть какой-то полезный софт, обновляющий хосты? (мне просто никогда не попадалось, кроме Denver).
Суть в том, что обычному юзеру этот конфиг интереса никак не представляет, а если какой диковинный софт отвалится - можно переустановить.

Цитата Akina @
А этот ошмёток откуда?

Дефолтное для Win7

Автор: Akina 05.04.11, 10:24
Цитата Mr.Delphist @
это вписывалось руками, как я понимаю?

Несмоненно.
Цитата Mr.Delphist @
Или есть какой-то полезный софт, обновляющий хосты?

Ну вообще-то софт есть. Хотя его полезность мне сомнительна.
Полезной была бы софтина, которая автоматически убирала бы из файла ссылки, нормально разрешаемые через DNS - но такой не встречал.

Автор: Pavia 16.04.11, 14:56
Да уж, как грустно. Видимо профессионалов тут мало.
Вот ещё способ нейтрализовать вирус при помощи смены даты в биосе на 2 дня в перед.

http://forum.kaspersky.com/lofiversion/index.php/t196313.html

Автор: Mr.Delphist 17.04.11, 22:31
Pavia, что вызывает грусть? Работающие рецепты? :D

Автор: MRX 09.09.11, 18:15
В общем как-то раз я столкнулся кажется с "VirusRemover 2008" было давно это, тоже типа вымогателя. Есть такая бесплатная прога от компании Malwarebytes Anti-malware.
http://shop.malwarebytes.org/lpa/342/3/7268/index_b.html

качается бесплатно и по крайней мере мне с тем ВирусРемувером помогло. НО!!! дело в том, что прога может не установиться или не запуститься. для этого можно попытаться переименовать установшик. А также чтобы она эффективно работала. Надо базы в ней обновить через неё. Но обычно вирус может блокировать если запросы идут по инету на антивирусные сайты и так далее. Что тоже может не дать возможности обновить базы. Поэтому, один из вариантов это использовать безопасный режим. С поддержкой сети, и проверить файл hosts тоже на лишнее там. Так как ничего лишнего по сути в безопасном режиме не грузиться скорее всего удастся возможно и установить и базы обновить у проги. И как только вы просканируете прога с обновленными базами может вполне справиться с трояном без всяких там разблокировок :popcorn:

Автор: ValterG 10.09.11, 15:47
Цитата MRX @
Так как ничего лишнего по сути в безопасном режиме не грузиться

Увы последние варианты прописывают себя так, что в безопасном режиме они грузятся. Либо блокируют его. Базы вам тоже особо не помогут. Опасен не столько блокиратор, а то что его забрасывает. А вот как раз образец этой проги трудно получить. Я пока решил эту проблему так: перед заходом на подозрительные сайты запускаю IE в безопасном режиме(опция Касперского). В основном хожу на проверенные сайты и попался на сайте для хранения картинок :o

Автор: alexsey999 18.05.13, 11:44
Цитата ValterG @
Цитата MRX @
Так как ничего лишнего по сути в безопасном режиме не грузиться

Увы последние варианты прописывают себя так, что в безопасном режиме они грузятся. Либо блокируют его. Базы вам тоже особо не помогут. Опасен не столько блокиратор, а то что его забрасывает. А вот как раз образец этой проги трудно получить. Я пока решил эту проблему так: перед заходом на подозрительные сайты запускаю IE в безопасном режиме(опция Касперского). В основном хожу на проверенные сайты и попался на сайте для хранения картинок :o

Это же что за такой хостинг картинок...

Автор: Mr.Delphist 20.05.13, 12:15
Классический хостинг картинок - дырявое решето, обвешаное баннерами по самое не балуйся. В погоне за монетизацией владельцы забивают на всё, в том числе и на безопасность своих посетителей.
Радикал, думаю, все видели - ряд форумов даже внёс их в стоп-лист.

Powered by Invision Power Board (https://www.invisionboard.com)
© Invision Power Services (https://www.invisionpower.com)