Товарищ полинял на $25, подцепив какую-то заразу на компьютер.
Сидел сёрфил (windows xp, последний firefox), внезапно вылезло какое-то Flash установочное окно, после чего на весь экран вылезло какое-то дерьмо, требующее отправить смс с каким-то текстом на номер 5115, чтоб получить в ответ код для разблокировки.
Товарищ спешил, поэтому взял и отправил; со счёта списалось больше 200 гривен. Причём списывалось по частям, как будто он несколько смсок отправил. Списывалось до тех пор, пока он не позвонил в саппорт моб. оператора, чтоб остановить это безобразие. Биллинг у оператора не мгновенный, а с задержкой в несколько часов, поэтому тот факт, что банкет за его счёт всё ещё продолжается, товарищ заметил не сразу.
В ответ пришло сообщение с кодом разблокировки и ссылкой на какой-то невнятный сайт uacontroller.com. Код сработал, на сайте никакой полезной информации не обнаружено. Мне кажется, что или это совсем левый сайт, ссылка на который отправляется жертве чтобы сбить её с толку, или это сайт создан специально для того, чтобы придать легальности получателям выкупа за “разблокировку” зараженных компьютеров.
Мол, мы не вирусами и шантажом занимаемся, а продаём доступ к какой-то системе сайтов (которую никто не видел). Видимо, такое прикрытие нужно для того, чтобы иметь возможность получить в пользование платный короткий номер для SMS.
В саппорте оператора, кстати, не сумели (не захотели?) сказать, кто именно получает деньги за сообщения, отправленные на этот короткий номер. Что, по-моему, является самым слабым местом в борьбе с этими вымогателями. Я думал-думал, но так и не сумел придумать ничего отрицательного в идеи обязательной публичности всех конечных получателей денег клиентов моб.связи, пользующихся платными короткими номерами для сообщений и звонков. Т.е. почему бы не принять закон, который обязывал бы мобильных операторов и их партнёров, перепродающих короткие номера в розницу, вывешивать на своих сайтах всех фирм и предпринимателей, которым капают деньги при использовании коротких номеров? Если кто-то продаёт что-то законное, то ему не за чем прятать свою identity от клиентов; а вот всякие “хакиры” будут вынуждены искать другие способы получения “денег с лоха”, т.к. публичность в виде списка “номер-название юр.лица-контактные данные” делает обращение в милицию гораздо более вероятным; а значит и саму эту деятельность более рискованной.
Ну и что же делать, если вы подцепили такую гадость, которая требует ввести код активации, отправив sms на короткий номер (например 5115)? Не уверен, т.к. сам пострадавших не лечил, но я бы отключил заблокированный компьютер от интернета, сел бы за другой (незараженный) компьютер и начал бы интенсивно гуглить бесплатную разблокировку.
Конечно, для профилактики надо обязательно поставить антивирус, но его наличие не гарантирует безопасности — у товарища стоял dr.web, который благополучно был пробит взломщиками.
А после reboot’а оно не исчезло бы?
Comment by Andrey Nikanorov — 14.12.2009 @ 21:35
Нет, reboot тут бы не помог.
Я сталкивался с одним из первых таких вирусов (там нужно было всего-то отправить код пополнения мобильного телефона по указанному в сообщении email’у). Но вирус был не очень умный, так как все-таки давал логиниться в систему, хоть и жутко искореженную (без панели управления, regedit и прочих инструментов восстановления). Полечилось все очень просто - создал нового пользователя (благо человек сидел не под админом), перенес личные файлы и удалил старого юзера.
На хабре недавно была статья про такую зверушку - с тех пор вирмейкеры-вымогатели сильно поумнели
Comment by techniX — 16.12.2009 @ 15:42
у меня тоже была такая проблемка.
один сайт для просмотра видео попросил меня скачать и установить ADOBE FLASH PLAYER,что я и сделал.через 1 час выскочил почти на весь экран баннер с требованиями отослать смс.
Я решил эту проблему так:посетив сайт http://uacontroller.com я написал им сообщение(в разделе “обратная связь”)о своей проблеме,оставил свой электронный адрес,после чего пытался как-то устранить проблему самостоятельно.но вдруг неожиданно для меня баннер пропал.я сперва думал,что я такой мастер-молодец))))но на электронной почте было письмо от вышеуказанного сайтас таким вот содержанием:
Здравствуйте!
Изучив Вашу проблему, мы пришли к выводу, что Вы могли установить УКСД
случайно.
Ваш активационный код 6523.
–
С уважением,
Служба поддержки УСКД.
Так что попробуйте им написать,в случае проблемы,вдруг передумают они вас мучать)))
Comment by adm1ral — 20.12.2009 @ 23:50
у меня тоже была такая проблемка.
один сайт для просмотра видео попросил меня скачать и установить ADOBE FLASH PLAYER,что я и сделал.через 1 час выскочил почти на весь экран баннер с требованиями отослать смс.
Я решил эту проблему так:посетив сайт http://uacontroller.com я написал им сообщение(в разделе “обратная связь”)о своей проблеме,оставил свой электронный адрес,после чего пытался как-то устранить проблему самостоятельно.но вдруг неожиданно для меня баннер пропал.я сперва думал,что я такой мастер-молодец))))но на электронной почте было письмо от вышеуказанного сайта с таким вот содержанием:
Здравствуйте!
Изучив Вашу проблему, мы пришли к выводу, что Вы могли установить УКСД
случайно.
Ваш активационный код 6523.
–
С уважением,
Служба поддержки УСКД.
Так что попробуйте им написать,в случае проблемы,вдруг передумают они вас мучать)))
Comment by adm1ral — 20.12.2009 @ 23:51
Наскільки пам’ятаю, цю дрянь маскують під 10 версію плеєра. Теж стикався - перезавантаження не допомогло. Перегляд Диспетчеру завдань (навіть переліку процесів, де світиться багато системних компонентів!) нічого не дав. Нічого підозрілого не було. Звідки я зробив висновок, що ця зараза або поставила себе як якись дуже втаємничений системний компонент, або підмінила щось. Проблему вирішив банальним відкатом системи до попередньої точки збереження. ОС Віндоус Віста.
Comment by Sameone — 26.12.2009 @ 18:38
Тоже схлопотал данную проблему, думал снести все, но потом немного поковырявшись устранил.
Детали ниже.
1. Во первых необходимо узнать имя паразитного процесса, поскольку диспетчер задач недоступен, то можно воспользоваться утилиткой (если есть) Process XP (показывает все процессы),находим “левый” процесс (в моем случае это был kui66.tmp которыя самовосстанавливался при завершении).
2. Подключаем винт к другому компу (или загружаем систему которая видит НТФС).
3. Находим на системном диске файлы связанные с этим процессом:
папки: С:\Documents and Settings\Имя_Пользователя\Local Settings\Temp, C:\Windows\System\….и т.д.
файлы: kui66.tmp, kui88.tmp,kui*.cpl, kui*.dll, *kui.*……. - все удаляем.
4. Перегружаемся в нормальном режиме - окошка уже не будет, остается только подчистить реестр:
В разделе [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] в параметре:
“Userinit”=”F:\\WINDOWS\\system32\\userinit.exe,F:\\DOCUME~1\\VJACHE~1\\LOCALS~1\\Temp\\kui66.tmp”
удаляем “лишнее”, а именно:F:\\DOCUME~1\\VJACHE~1\\LOCALS~1\\Temp\\kui66.tmp - эта строчка запускает это самое долбанное окно.
Вроде все.
Comment by Slav4enko — 04.01.2010 @ 12:36
И еще маленькая деталь - для востановления диспетчера задач нужно воспользоваться политикой групп (выполнить:gpedit.msc).
Политика “Локальный компьютер”
- Конфигурация пользователя
- Административные шаблоны
- Система
- Возможности Ctrl+Alt+Del.
“Удалить диспетчер задач” - выключить.
Comment by Slav4enko — 13.01.2010 @ 15:28
если это обычная УСКД не вирус то она создает файл userprefs в системе вин систем или систем32 находим его перед етим с помощью утилы я использовал встроеную в тоталкомандер отключаем процес с таким именем убиваем файл и убираем из автозагрузки фишечку похожую на флеш плеер.
на самом деле с правовой точки зрения все легально чела прежде всего предупреждают обо всем и о потере контроля до момента оплаты и тд и тп но человек машинально кликает ДА. расчитано на невнимательных и неопытных)) будьте внимательны и будет вам счастье
Comment by urbans — 26.01.2010 @ 00:50
http://forum.drweb.com/index.php?showtopic=289484
Comment by putin — 23.02.2010 @ 05:21