Записи с меткой «jpeg»

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — первой разработала утилиту, успешно справляющуюся с последствиями вредоносных действий троянца-шифровальщика Trojan.Encoder.252. Новая версия представителя известного семейства троянцев-энкодеров опасна тем, что шифрует данные пользователей и вымогает у них деньги за расшифровку пострадавших файлов. Этот троянец попадает на компьютеры жертв через спам-рассылку якобы от арбитражного суда.

Один из выявленных способов распространения этой вредоносной программы — почтовая рассылка с вложением, отправляемая якобы от арбитражного суда. Запустившись на компьютере жертвы, троянец сохраняет свою копию в одной из системных папок под именем svhost.exe, модифицирует отвечающую за автоматическую загрузку приложений ветвь системного реестра и запускается.

Троянец Trojan.Encoder.252 шифрует файлы только в том случае, если инфицированный компьютер подключен к Интернету. При этом вредоносная программа последовательно обходит дисковые накопители от С: до N: и получает список файлов с заданными расширениями (.jpg, .jpeg, .doc, .rtf, .xls, .zip, .rar, .7z, .docx, .pps, .pot, .dot, .pdf, .iso, .ppsx, .cdr, .php, .psd, .sql, .pgp, .csv, .kwm, .key, .dwg, .cad, .crt, .pptx, .xlsx, .1cd, .txt, .dbf), который сохраняет в текстовый файл. Затем Trojan.Encoder.252 проверяет доступность своих серверов, на которые впоследствии отсылается ключ шифрования. Если данные серверы недоступны, троянец выводит на экран сообщение якобы от арбитражного суда с предложением проверить настройки подключения к Интернету. В случае успешного завершения шифрования к именам файлов дописывается строка Crypted, а в качестве обоев Рабочего стола Windows устанавливается следующее изображение:

screenshot

Также на компьютере жертвы появляется текстовый файл ПРОЧТИЭТО.txt, содержащий ID для расшифровки файлов, уникальный для каждого компьютера.

Несмотря на то, что на нескольких тематических ресурсах в Интернете сообщалось о невозможности расшифровки файлов в силу особенностей используемых троянцем Trojan.Encoder.252 алгоритмов шифрования, специалисты компании «Доктор Веб» разработали специальную утилиту, успешно справляющуюся с этой задачей. Правда, для подбора ключей потребуется компьютер с мощной аппаратной конфигурацией: на обычных домашних ПК этот процесс может занять около месяца, однако на сервере, оснащенном 24 процессорными ядрами, был поставлен своеобразный рекорд: ключ удалось подобрать за 20 часов. Данная утилита стала своего рода испытательным полигоном для множества инновационных идей, рожденных вирусными аналитиками «Доктор Веб» — все эти идеи будут применяться и в будущем для расшифровки файлов, пострадавших от действия троянцев-энкодеров файлов. Исследования в области разработки новых методов борьбы с шифровальщиками тем временем продолжаются.

Если вы стали жертвой вредоносной программы Trojan.Encoder.252, придерживайтесь простых правил, которые помогут вам вернуть зашифрованные файлы:

  • не меняйте расширение зашифрованных файлов;
  • не переустанавливайте операционную систему — в этом случае вернуть данные будет уже невозможно;
  • не пытайтесь «чистить» или лечить операционную систему с использованием различных утилит и специальных приложений;
  • не запускайте утилиты Dr.Web самостоятельно, без консультации с вирусным аналитиком;
  • напишите заявление о совершенном преступлении в правоохранительные органы;
  • обратитесь в антивирусную лабораторию компании «Доктор Веб», прислав зашифрованный троянцем DOC-файл и дождитесь ответа вирусного аналитика.

Помните, что в связи с большим количеством запросов персональная помощь в расшифровке файлов оказывается только лицензионным пользователям продукции Dr.Web. Специалисты компании призывают пользователей не пренебрегать необходимостью регулярного резервного копирования хранящейся на дисках вашего компьютера информации.

Источник

Реклама

Вирус Win32.HLLW.AntiDurov

Настоящая эпидемия разразилась в мае.

Инфицированные этой новой чумой машины начинают рассылать другим пользователям “Вконтакте” ссылку на безобидную с виду jpeg-картинку, лежащую на интернет-ресурсе злоумышленника (http://*.misecure.com/deti.jpg). На самом же деле сервер передает по этой ссылке исполняемый файл “deti.scr”, который, собственно, и является непосредственно сетевым вирусом.
После запуска на компьютере жертвы, червь сохраняет на диске саму картинку, на которую повелся неосторожный юзер, и запускает штатное приложение, используемое в системе для просмотра файлов .jpeg. Скопировав себя в папку на жестком диске компьютера жертвы под именем svc.exe, пришелец устанавливается в системе в качестве сервиса “Durov VKontakte Service” и бесцеремонно роется в ящиках в поисках пароля к доступу на сайт “Вконтакте“, а обнаружив, рассылает по всему списку контактов бедняги вышеупомянутую ссылку. Червь несет в себе опасную деструктивную функцию. 25 числа каждого месяца в 10 часов утра на экране компьютера будет выводиться следующее сообщение (орфография сохранена):

Павел Дуров Работая с “ВКонтакте.РУ” Вы ни разу не повышали свой рейтинг и поэтому мы не получили от Вас прибыли. За это Ваш компьютер будет уничтожен!
Если обратитесь в милицию, то сильно пожалеете об этом!


Одновременно с этим начнется удаление с диска C: всех файлов. Если пользователь будет достаточно долго вчитываться в данный текст и предастся размышлениям относительно его содержания, он рискует потерять не только все системные файлы, но и свои файлы данных — документы, фотографии, электронные письма и многое другое.

Что делать
Оригинальный рецепт расположен на самом сайте вконтакте http://vkontakte.ru/note10_7159709
Но скорее всего у вас нет туда доступа, поэтому приводим тут полностью.

Для удаления вируса Вы можете воспользоваться batch-файлом http://www.spbgu.ru/upload/kuzya/antivirus.bat

Сохраните его на диск и запустите.

Если Вы не уверены в результатах работы скрипта, воспользуйтесь следующей инструкцией:

1. Откройте консоль «Службы». Для этого следует пройти по следующему пути: «Пуск» > «Панель управления» > «Администрирование» > «Службы»

2. В открывшемся окне найдите службу «Durov Vkontakte Service», и откройте окно свойств, щёлкнув дважды по строке

3. Запомните имя службы (AntiDurov) и путь к исполняемому файлу (в данном примере — C:\\Documents and Settings\имя пользователя\Application Data\Vkontakte)

4. Откройте Диспетчер задач, нажав одновременно клавиши CTRL+SHIFT+ESC(DEL), и на вкладке «Процессы» найдите процессы с названием svc.exe

5. Завершите эти процессы, поочерёдно выделяя их и нажимая кнопку «Завершить процесс». Закройте Диспетчер задач.

6. Откройте командную строку: для этого в окне «Пуск» > «Выполнить…» наберите «cmd» и нажмите Enter:

7. В окне командной строки наберите «sc delete AntiDurov» (последнее слово должно совпадать с запомненным вами именем службы) и нажмите Enter

8. Перейдя в окно консоли «Службы», убедитесь, что служба «Durov Vkontakte Service» отсутствует (предварительно обновите содержимое окна, нажав F5)

9. Откройте «Мой компьютер» и в строке адреса впишите путь к исполняемому файлу из п.3. (без имени самого файла svc.exe!) Нажмите Enter.

10. В открывшемся окне выделите и удалите файл svc.exe, нажав SHIFT+DELЕTЕ:

P.S.: если подобной службы Вы не обнаружили, но Вам кажется, что вирус всё равно есть, попробуйте его найти через поиск:

Пуск > Поиск > «Что выхотите найти: файлы и папки», в поле «Часть имени файла…» введите»svc.exe», в «дополнительных параметрах» отметьте три первых пункта (всистемных папках, в скрытых папках, вложенные папки)
Если файла с таким названием не найдено (именно с таким названием, файлы вроде «cisvc», «svchost» не в счёт), то вируса, вероятнее всего, нет.
Если файл найден, убедитесь, что им не запущены процессы (см. пункты 4 и 5), после чего удалите файл, выделив его в окне результатов поиска и нажав SHIFT+DELЕTЕ.

ИСТОЧНИК

Киберугрозы в марте 2012 года: «бестелесный» бот и первый банковский троянец для Android

«Лаборатория Касперского» провела анализ киберугроз в марте
2012 года. В прошедшем месяце эксперты компании обнаружили уникальную
атаку, в ходе которой злоумышленники использовали вредоносную программу,
способную функционировать без создания файлов на зараженной системе
— «бестелесный» бот. В ходе исследования было
установлено, что заражению подвергались посетители сайтов некоторых
российских онлайн-СМИ, использующих на своих страницах тизеры сети,
организованной при помощи технологий AdFox. Cхема атаки была нацелена на
хищение конфиденциальных данных пользователей для доступа к системам
онлайн-банкинга ряда крупных российских банков. «Мы впервые за
несколько лет столкнулись с этой редкой разновидностью зловредов —
так называемыми «бестелесными» вредоносными программами,
— поясняет главный антивирусный эксперт «Лаборатории
Касперского» Александр Гостев. — И то, что они функционируют
исключительно в оперативной памяти зараженного компьютера, значительно
усложняет процесс их обнаружения с помощью антивируса».

Эксперты «Лаборатории Касперского» продолжают расследование
истории троянской программы Duqu, которое длится уже шесть месяцев. В
марте экспертам компании удалось установить, что фреймворк Duqu был
написан на C и скомпилирован с помощью MSVC 2008. Также в прошедшем
месяце был обнаружен новый драйвер, практически аналогичный тем, которые
ранее использовались в Duqu. Это означает, что после четырех месяцев
перерыва авторы троянца вновь вернулись к работе.

В марте российские правоохранительные органы совместно с
исследовательской группой Group-IB завершили расследование преступной
деятельности группы лиц, участвовавших в краже денег с использованием
известного банковского троянца Carberp. Пресс-служба Управления
«К», сообщила, что в группу входило восемь человек, жертвами
злоумышленников были клиенты десятков российских банков и было
совершенно хищений на сумму около 60 млн рублей. Результатом
расследования стал арест злоумышленников. Однако пока автор троянца и
владельцы партнерских сетей для его распространения остаются на свободе.
Троянец Carberp продолжает продаваться на специализированных форумах.

В течение всего месяца наблюдалась небывалая активность вредоносных
программ под MAC OS. При проведении одной из мартовских атак
злоумышленники рассылали в спаме эротические картинки формата .JPG и
замаскированные под картинки исполняемые вредоносные файлы. Еще одна
новинка марта: вредоносные программы, использующие Twitter в качестве
северов управления. Для распространения данных вредоносных программ
злоумышленники взломали 200 000 блогов, работающих под управлением
WordPress.

Сегмент мобильных угроз пополнился в марте кардинально новым банковским
троянцем для ОС Android. Ранее существовали троянцы, ворующие мобильные
коды аутентификации транзакций (mTAN), которые посылаются банком на
телефон клиента в SMS-сообщениях. В середине месяца был обнаружен
зловред, который нацелен не только на кражу SMS, содержащих
mTANы, но и на кражу непосредственно самих данных (логин/пароль)
для идентификации пользователя в системе онлайн-банкинга. Эксперты
полагают, что к созданию новой вредоносной программы причастны
русскоязычные вирусописатели.

С полной версией отчета о развитии киберугроз в марте 2012 года можно
ознакомиться на сайте www.securelist.com/ru.