Chatomystik - New portal for dialogue! ЧатоМистика - Новый портал для общения! Архив • Просмотр темы - Один из самых опасных вирусов: Packed.Win32.Krap.w
Текущее время: 29 мар 2024 13:29
Подозревать, хуже чем знать. У реальности есть границы, а воображение - безгранично!

ЧатоМистика



Новая темаКомментировать Страница 1 из 1   [ Сообщений: 7 ]
Автор Сообщение
 Заголовок сообщения: Один из самых опасных вирусов: Packed.Win32.Krap.w
Новое сообщениеДобавлено: 02 июн 2011 01:00 
Проверенный
Проверенный
 
Аватара пользователя


Зарегистрирован: 02 окт 2010 18:24
Points: Закрыт

Сообщения: 309
Откуда: Solar System
Медали: 1
Cпасибо сказано: 27
Спасибо получено:
24 раз в 16 сообщениях
Настоящему мужику (1)
Город: Arlesheim
[justify]На днях наткнулся на интересную тему на сайте Internet-Komi. На первый взгляд речь идёт об обыкновенном баннере с запросом на отправку СМС, однако на деле он гораздо серьёзнее способен повредить ваш компьютер вплоть до вывода из строя всех комплектующих. Подробнее...

Скрытый текст:
В канун Нового 2010 года со мной приключилась такая история. Сначала мой компьютер отказался переключать раскладку клавиатуры с русского языка на английский, а после перезагрузки Windows три четверти экрана монитора скрыла "заставка", утверждающая, что Виндоус заблокирован ввиду того, что было нарушено лицензионное соглашение программы Download Master. На сочетание клавиш Ctrl+Alt+Del компьютер не реагировал. Доступ к системному реестру был заблокирован. Антивирус Касперского не работал. Ни одна программа не запускалась... Зато гигантское окно по-дружески предлагало самоудалиться взамен на отправку СМС на короткий номер ХХХХ. В ответ на SMS'ку. мол, должен придти код, который нужно ввести в специальную форму в этом окне и если код правилен, то можно будет спокойно работать дальше.

Всё ясно. Это очередной вирус-вымогатель! Последний раз с таким я сталкивался в 2006 году. Тогда мой комп подхватил новую версию вируса GPCode. Этот вирус шифровал на компьютере многие файлы, включая файлы, созданные в текстовом редакторе MS Word. Во всех папках на винчестере лежал файл readme.txt, предлагавший отправить N-ную сумму денег на реквизиты анонимного шантажиста, иначе данные будет не вернуть. Тогда вирус обезвредили очень быстро. Значит и сейчас опасаться было нечего, и, тем более, не нужно отправлять SMS этому вымогателю. Но прогресс вирусописателей в уровне исполнения шантажа меня сильно впечатлил.

Итак, иду на другой компьютер, выхожу в Интернет и ищу информацию о противодействии новой заразе. Да-а... Пишут много, но за последние 20 дней у людей никакого прогресса. Предлагается несколько способов лечения системы от нового вируса-вымогателя, но что-то сообщений о том, что какой-то из этих методов работает на 100% нет. К тому же некоторые способы явно не работоспособные. Например, предлагается запустить DOS Navigator или Volkov Comander и удалить некоторые файлы через них. Но как это сделать, если exe'шники не запускаются? Не помогает ни вход в систему в защищённом режиме, ни переключение на другого пользователя... Советуют менять дату в системе на день вперёд или на 10 лет назад - это тоже не помогает. Одна радость, становится ясно, что вирус распространяется через электронную почту и активируется не в момент заражения, а либо через определённый промежуток времени, либо в определённую дату. Но это знание пока ничем помочь не может...

Люди на форумах советуют запуститься с CD-ROM'а и запустить LiveCD от Dr.Web или любую другую вещь под Linux. LiveCD под рукой не оказалось. Тогда появилась идея подключить к компьютеру другой винт и запустившись с него проверить больной винчестер на вирусы. Через 10 минут антивирус уже работал над пациентом. Результат обнадёжил, Касперский выявил и удалил в папке Windows файл sdra64.exe, которого там явно не должно было быть. Больше ничего подозрительного антивирус не нашёл.

Я посчитал, что удаление "левого" exe'шника вернёт систему в рабочее состояние. Но после перезагрузки, окно с бредовым текстом появилось вновь. Остаётся всё же перезагрузиться и войти в систему из под Linux. Как-раз под руку попал фирменный пакет UBANTU. И, о чудо, в нём оказался родной диск LiveCD. Сначала установка шла замечательно, но примерно посередине вдруг отключилась поддержка привода оптических дисков... Облом. Осталось одно верное средство - переустановка Windows. Правда терзали смутные сомнения, что и там может отключиться поддержка DVD-RW-привода.

Реальность оказалось ещё хуже. При перезагрузке, из системного блока послышался пронзительный визг. Не писк, как в случае отсутствия или неисправности модулей оперативной памяти, а именно визг. Я отключил компьютер кнопкой на блоке питания. Затем снял боковую крышку с системного блока и приготовился вновь включить компьютер и посмотреть, что может в системнике так противно визжать.

Однако, после включения питания, никаких звуков не слышалось. Но и компьютер не грузился. Правда, светодиод на мониторе горел ровным зелёным светом. Но монитор ничего не показывал. Похоже на неисправность видеокарты. Я выключил компьютер и переключил шнур монитора с видеокарты на видеоинтегратор. После включения компьютера, экран монитора вновь остался чёрным... Стало ясно, что не работает материнская плата. А может и процессор, и всё остальное. Каким-то образом вирус "убил" железо.

Что вирусы могут сломать винчестер или процессор я читал лет 15-17 тому назад и всегда считал, что это враки. Ведь изначально правильна была задумка отделить в компьютере "железо" от "софта". Однако похоже, что убийство железа программой вполне возможно. А если нет, то что тогда с моим компьютером? Железо стоимостью многие тысячи рублей не подавало признаков жизни.

Печально, но надо что-то делать дальше. Я скрутил винчестер и в безопасном режиме, со всеми предосторожностями, подключил его к другому компьютеру. Опасность убить и второй компьютер была велика, но ведь надо было что-то было делать, чтобы понять, что это за "болезнь" и как её лечить. Винчестер запустился, что сильно обрадовало, так как появился шанс спасти много нужной по работе информации. В топку сразу полетели папки Windows и Docunents and Settings, а так же Program Files. Во вторую очередь были уничтожены все архивы программа. В итоге остались почти одни офисные файлы. Но они были очень ценными и их сохранению я сильно обрадовался. Эти файлы перекочевали на второй винчестер, а больной винт был отформатирован.

Теперь вируса на винчестере не должно быть и можно заняться восстановлением своего "упавшего" компьютера. Но он так и не ожил. Было ясно, что винчестер работает, но каков масштаб поломок? Выяснить можно лишь последовательно заменяя в системнике материнскую плату, процессор, модули ОЗУ и видеокарту. Иду на сайт крупнейшего в Республике Коми компьютерного магазина и выписываю цены на точно такие же запчасти, как стоят (стояли?) в моём компьютере. С нужной суммой денег иду за покупками.

Первая неприятность ожидала уже при беглом взгляде на торговый зал. Куча покупателей и стремительно пустеющие полки. Понятно. Новый год скоро и всему трудовому народу дали премии и 13-е зарплаты. К тому же, сам магазин уже неделю крутит рекламу, что покупатели получат от него щедрые подарки. В общем, нужно как можно быстрее всё купить. А здесь подстерегала вторая неприятность. Суммы на ценниках в магазине сильно отличались от тех, что были указаны на сайте. материнская плата ценой в 1500 рублей здесь стоила уже 2000. Вот это наценка! И ведь по Закону "О защите прав потребителей" на них не наедешь! Где-то на сайте читал, что цены на сайте могут отличаться от цен в магазине. Но не на 25 же процентов!!!

Решил купить одну материнскую карту. Надеялся, что это поможет. А если нет, то выдавался замечательный шанс провести все новогодние каникулы с семьёй без отвлечений на работу и общение в виртуальном пространстве. А то я уже совсем забыл, как жилось всего каких-то лет 10-15 назад. Так и сделал. Купил материнку и поехал менять её в пострадавшем компьютере. Замена не привела к оживлению компьютера. Ну и ладно, зато можно справить Новый год как в молодости.

Замени после праздников комплектующих на сумму более 15 тысяч рублей, я наконец-то вновь смог наслаждаться работой на компьютере. А в качестве бонуса у меня появилась возможность впечатлять в беседах своих родных, друзей, партнёров и клиентов историей про то, как перед Новым годом злобный вирус вымогал у меня пару рублей, а я, пожадничав, лишился компьютера стоимостью несколько десятков тысяч рублей.

Но поймите меня правильно - это был единственный выход в той ситуации. Если бы я отправил эсэмэску, то вирус бы не самоуничтожился, а лишь на время отключил бы окно, закрывающее две трети экрана монитора. А через пару дней или недель он вновь стал бы вымогать деньги. Я потерял один компьютер, но приобрёл опыт, который позволил мне лечить компьютеры от вируса-вымогателя, избавляя других людей от многотысячных расходов.

С момента восстановления компьютера (точнее, покупки нового) прошла неделя и за это время я изучил много информации об этом "вирусе". Как оказалось не зря.

Моя жена, работая на своём компьютере, вдруг обратила внимание, что не переключается раскладка клавиатуры. Она знала. что так же начались неприятности с моим компьютером и поэтому сразу позвала меня. Я попросил её ни в коем случае не перегружать компьютер и запустить полную проверку компьютера антивирусом. Было очевидно, что это ничего не даст, но стоило посмотреть, что вообще покажет Касперский, пока вирус ещё не взял всё управление компьютером на себя (это должно было произойти после перезагрузки компьютера).

Когда антивирус нашёл, но не смог вылечить файл sdra64.exe я понял, что Лена не ошиблась и в её компьютере тот же вирус, который сломал мой компьютер. Значит, дело серьёзное и нужно обдумывать каждое своё действие. Касперский нашёл ещё одну подозрительную папку, которая была "защищена от пользователя". Я записал её название и местоположение (Lowsec по адресу WINDOWS/System32). Больше ничего интересного проверка не дала.

Все программы запускались, но доступ к системному реестру был заблокирован. Это плохо. так как на форумах говорили, что нужно удалить некоторые вещи из реестра. Но нет, так нет. Буду лечить как смогу. DOS Navigator запускался, но не видел файл sdra64.exe и папку Lowsec. А FAR Manager их увидел. но не смог удалить. Не удаляли эти программы и найденные мной exe'шники во временно сохраненных файлах Интернета... Причём, после попытки удалить их, файлы размножались, создавая возле себя новые exe'шники, dll'ки и файлы с другими расширениями. Помогло удаление внутренностей этих файлов через редактирование их содержания и последующее удаление самих пустых файлов. Но это очень долго - стирать содержимое файла, состоящего из 1600 строк длинной по 50-400 символов.

Короче, это мучение, а не лечение. Да и в прошлый раз лечение стоило мне всего компьютера. и я решил действовать радикально. К тому же, компьютер Лены стоил в несколько раз дороже моего. Его терять было нельзя.

На приведение его в чувство у меня ушло трое суток, между которыми я спал один раз 3 часа, второй - 2,5. Зато, в итоге компьютер был жив. а вся рабочая информация на винчестере сохранена. Так что, мои знания помогли спасти и данные, и "железо".

Как мне это удалось? А вот не расскажу! Во-первых, неопытный человек всё равно вылечить свой компьютер не сможет. Во-вторых - лечение компьютерных вирусов - это одно из направлений моей работы. Я же не прошу вас рассказывать мне свои профессиональные секреты. Если нужна помощь, то обращайтесь (типа, реклама). Реквизиты есть на странице "Об агентстве". Пока лечу этот вирус только в Сыктывкаре!

Ну а тем, кто считает себя специалистом и тем, кому жалко 3 тысячи рублей за избавление от заразы, которая может лишить и важных файлов. и самого компьютера, дам пару намёков и полную информацию о вирусе. Это будет интересно всем, кто уже достал поисковые системы запросами "вирус смс".

Собственно вирусом эту программу можно назвать с большой натяжкой. Скорее это, как трактует Уголовный кодекс Российской Федерации, "вредоносная программа для ЭВМ". Пофиг, что ЭВМ у нас уже лет 20 как нет, но вирус вымогатель - это именно такая программа. "Добрые" люди даже размещают на форумах и в комментариях в блогах рекламу. предлагающую купить этот "чудо-вирус". Вот описание возможностей программы:

[+] Защита от повторного запуска софта. createMutex.
[+] Изменяет аттрибуты на скрытый и системный у explorer.exe, regedit.exe, cmd.exe, taskmgr.exe.
[+] Помещение окна блокиратора поверх всех окон (блокирует Alt+Tab).
[+] Имеет достаточно простой и понятный интерфейс.
[+] Возможно вписать любой текст на ваше усмотрение. (Опционально).
[+] Не изменяет ключей в реестре. (работает по !другому принципу. Исключение, прописывается в автозагрузку и блокирует безопасный режим).
[+] Автозагрузка вместе с explorer.exe, далее его принудительное завершение.
[+] Возможность отслеживания и завершения любых процессов в памяти. (Опционально).
[+] Блокировка безопасного режима\Disable Safe Mode.
[+] Блокировка Alt+Ctrl+Del, Alt+Tab, Alt+F4, Ctrl+Esc, Win+D, Win+R, Win.
[+] Добавляет себя в исключения виндового фаервола (доверенный источник).
[+] Маскируется под файл Microsoft Office - ctfmon.exe (Иконка и versioninfo) (Опционально. Возможно изменить на любой другой).
[+] Создает файл носитель и устанавливает ему атрибуты: скрытый, системный, только чтение.
[+] Проверка на существование файла (защита от повторного запуска).
[+] Полное самоудаление из системы при правильно введенном ключе.
[+] Шифрование ключа(ей) алгоритмом ROTx.
[+] Установка одного или нескольких ключей разблокировки. (Опционально).
[+] Оригинальный размер файла 20 кб, криптованный Upack0.39f - 7.4 кб
[+] Отслеживает и блокирует процессы: TASKMGR.exe, MSCONFIG.exe, regedit.exe, regedt32.exe, CMD.exe. (Опционально).

Эта программа попадает на ваш компьютер с электронной почтой. Открыв письмо со спамом, вы удаляете его в корзину, а программа уже начинает жить в вашем компьютере. Она активируется не сразу, а через пару дней или недель. Примечательно, что часто таким образом выводятся из строя компьютеры руководителей преуспевающих организаций (лидеров рынка), бухгалтеров и прочих ответственных работников.

Так же, программа может попасть на компьютер вместе со скачанным с нелегальных (неофициальных) ресурсов таких программ. как Adobe FlashPlayer и Adobe Reader. Инфицированные таким образом файлы нельзя удалить с винчестера ничем. кроме форматирования.

Смысл работы "вируса" всегда одинаков. Он заставляет вас перегрузить компьютер, чем окончательно берёт управление им на себя. Как результат, вы видите, что рабочий стол закрыт окном размером с 2/3 экрана монитора. Тексты в этом окне могут быть разными, но вам укажут, что вы нарушили лицензионное соглашение той или иной программы (Download Master, File Downloader, Imax Download Manager, eKAV Anrivirus, Internet Security, Get Accelerator, sNet SpeedBest Lite, Ubest Netspeed Pro или ещё какой). А затем предложат отправить СМС на номер (типа, 4460, 7373, 4171, 3649, 5155, 1350, 7122, 8353 или ещё какой). СМС стоит денег, но взамен вы получите код, который нужно ввести в специальное поле в окне вируса-вымогателя. Предполагается, что это приведёт к исцелению компьютера от вируса, на самом деле, вирус останется в системе и где-то через неделю вновь занавесит ваш рабочий стол своим окном и попросит очередную дозу СМС. Может появиться порно-баннер и перестанут запускаться программы (все или только некоторые). Иногда вирус сам маскируется под антивирусник, рисуя вам картинку. будто он проверяет вашу систему и находит в ней вирусы, которые можно удалить лишь отправив СМС на короткий номер.

В общем, "вирус СМС" - это серьёзная напасть и если у вас сразу не получилось от него избавиться, то лучше как можно скорее обратиться к профессионалам. И не удивляйтесь, что лечение будет стоить дороже, чем лечение других вирусов. Да и сам процесс лечения будет долгим. Вместо обычных 2-4 часов ваш компьютер будут лечить несколько суток.

Хотя, может для вас всё закончится благополучно. По последним данным, антивирус Касперского научился выявлять и лечить вирус-вымогатель. Зараза, создающая файл sdra64.exe называется Packed.Win32.Krap.w

Текст © Спицын Владимир, 2010, специально для сайта "Интернет Коми": http://www.internet-komi.ru[/justify]


Изображение

Ты властен над временем, просто не веришь в это. Поверь в свои возможности и ты уже летишь, ты на высоте и для тебя нет никаких ограничений!


Вернуться к началу
 Профиль Отправить email  
Cпасибо сказано 
За это сообщение пользователю RamzesX27 "Спасибо" сказали:
Googlik
 Заголовок сообщения: Re: Один из самых опасных вирусов: Packed.Win32.Krap.w
Новое сообщениеДобавлено: 02 июн 2011 07:45 
Главный администратор
Главный администратор
 
Аватара пользователя


Зарегистрирован: 01 окт 2010 16:16
Points: 99999997.37

Сообщения: 2014
Откуда: Москва
Медали: 20
Cпасибо сказано: 95
Спасибо получено:
136 раз в 116 сообщениях
Помада. (1) Червь (1)
Город: Москва
У меня это было) Вроде переустановка помогла))


Ты дорого, мой друг, заплатишь за ошибку, Оскал клыков у льва принявши за улыбку.


Вернуться к началу
 Профиль  
Cпасибо сказано 
 Заголовок сообщения: Re: Один из самых опасных вирусов: Packed.Win32.Krap.w
Новое сообщениеДобавлено: 02 июн 2011 16:34 
Администратор
Администратор
 
Аватара пользователя


Зарегистрирован: 01 окт 2010 17:39
Points: 1581107.00

Сообщения: 1245
Медали: 5
Cпасибо сказано: 69
Спасибо получено:
70 раз в 56 сообщениях
Мистиканцу (1) Пистолет. (1)
Город: город
Всё прочитал. Интересно. Спасибо за тему.
Примерно такая же напасть была у меня(только вирус не такой убойный).
Было давненько... Я не помню, то ли я винду переустановил, то ли файл(вирусный) нашел.


Audire quod dicere.


Вернуться к началу
 Профиль Отправить email  
Cпасибо сказано 
 Заголовок сообщения: Re: Один из самых опасных вирусов: Packed.Win32.Krap.w
Новое сообщениеДобавлено: 03 июн 2011 04:48 
Постоянный
Постоянный
 
Аватара пользователя


Зарегистрирован: 02 дек 2010 10:28
Points: Закрыт

Сообщения: 916
Откуда: Урал Связь Информ
Медали: 1
Cпасибо сказано: 7
Спасибо получено:
62 раз в 54 сообщениях
Туфли (1)
Город: Южный Парк
Вирусок этот похож на Чернобыль, который проникнув на комп мирно спал до 26 апреля и запустившись убивал BIOS.
Афтар статьи мудаг и ламер :fuck: не вздумайте обращаться к нему за помощью.

-- 21 минуту 54 секунды --

[justify]При серьезных глюках системы, сразу форматирую диск С, т.к. на нем не держу ценных данных, а потом восстанавливаю за 5 минут с помощью имиджа диска С созданного программой Acronis. Чтоб лечить чужие компы, скачиваю раз в неделю LiveCD от Касперского. Самолечением с помощью всяких умников из интернета - смертельно опасно! Вот доказательство: Мать убила свою дочку с помощью интернета[/justify]


Вернуться к началу
 Профиль  
Cпасибо сказано 
 Заголовок сообщения: Re: Один из самых опасных вирусов: Packed.Win32.Krap.w
Новое сообщениеДобавлено: 05 июн 2011 19:29 
Проверенный
Проверенный
 
Аватара пользователя


Зарегистрирован: 02 окт 2010 18:24
Points: Закрыт

Сообщения: 309
Откуда: Solar System
Медали: 1
Cпасибо сказано: 27
Спасибо получено:
24 раз в 16 сообщениях
Настоящему мужику (1)
Город: Arlesheim
ЭрикКартман
[justify]Чел комп сломал, но считай стал первооткрывателем, теперь естественно нужно деньги отрабатывать... Попав в такую ситуацию, я бы сам наверняка так сделал, но брал бы за "ремонт" по несколько сотен – клиентов было бы больше. Статью твою прочитал – честно говоря, не удивился. У нас в Шаре тоже на каждом углу такие "умные" советчики встречаются, которые выдают себя чуть ли не за учёных... Мать тоже неизвестно почему не обратилась к врачам – наверное, перестала доверять медицине...[/justify]


Изображение

Ты властен над временем, просто не веришь в это. Поверь в свои возможности и ты уже летишь, ты на высоте и для тебя нет никаких ограничений!


Вернуться к началу
 Профиль Отправить email  
Cпасибо сказано 
 Заголовок сообщения: Re: Один из самых опасных вирусов: Packed.Win32.Krap.w
Новое сообщениеДобавлено: 06 июн 2011 06:27 
Постоянный
Постоянный
 
Аватара пользователя


Зарегистрирован: 02 дек 2010 10:28
Points: Закрыт

Сообщения: 916
Откуда: Урал Связь Информ
Медали: 1
Cпасибо сказано: 7
Спасибо получено:
62 раз в 54 сообщениях
Туфли (1)
Город: Южный Парк
★SkyThorn759★
Сломал свой комп... и решил с лохов бабла срубить :hyhyhy:


Вернуться к началу
 Профиль  
Cпасибо сказано 
 Заголовок сообщения: Re: Один из самых опасных вирусов: Packed.Win32.Krap.w
Новое сообщениеДобавлено: 06 июн 2011 13:27 
Модератор
Модератор
 
Аватара пользователя


Зарегистрирован: 11 янв 2011 23:42
Points: Закрыт

Сообщения: 1254
Медали: 1
Cпасибо сказано: 47
Спасибо получено:
55 раз в 44 сообщениях
Королева сайта (1)
Город: Аркхем
Харяшо что он мне не попадался))
..
а то первый комп угробился иза какогото вируса :dntknw:
половина памяти на жёстком прост испорилась :gore:


Настоящий aRtист никогда не замечает публики.
:scenic:


Вернуться к началу
 Профиль Отправить email  
Cпасибо сказано 
Показать сообщения за:  Поле сортировки  
Новая темаКомментировать Страница 1 из 1   [ Сообщений: 7 ]


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron


Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
twilightBB Style by Daniel St. Jules of Gamexe.net


Рекомендую создать свой форум бесплатно на http://4admins.ru

Русская поддержка phpBB