Russian
Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано. Уровень опасности: 1

Сервис деактивации вымогателей-блокеров

Денис Масленников
Эксперт «Лаборатории Касперского»
опубликовано 12 янв 2010, 14:21  MSK
Сюжеты: Кибервымогательство, Антивирусы
0.7
 

В 2009 и начале 2010 гг. количество вредоносных программ, блокирующих компьютер пользователя и требующих отправить SMS-сообщение на платный короткий номер для разблокировки (Trojan-Ransom), существенно выросло. Увеличилось и число пользователей, которые после перезагрузки своего компьютера могли увидеть подобное окно:

Если в результате действия подобных вредоносных программ произошла блокировка компьютера, или стало невозможным воспользоваться некоторыми приложениями или получить доступ к определенным сайтам, не следует идти на поводу у злоумышленников и отправлять SMS-сообщения на платные номера.

В том случае, если произошло заражение подобной вредоносной программой, помимо ручного удаления троянцев класса Trojan-Ransom, теперь существует возможность воспользоваться сервисом деактивации вымогателей-блокеров.

Для получения кода разблокировки необходимо указать номер, на который требует отправить SMS-сообщение, и текст, который злоумышленники требуют отправить на этот номер. После этого будет сгенерирован код разблокировки, который нужно использовать для деактивации вредоносной программы.

После деактивации вредоносной программы и разблокировки компьютера необходимо провести полную проверку компьютера антивирусным ПО.


56 комментариев

старые сверху
«дерево»
 

Umnik

12 янв 2010, 14:38
1
 

К сожалению, еще ни разу не помог в случаях, когда ко мне обращались. :( Видимо, база старенькая.

Rado2009

13 янв 2010, 01:09
1
 

Нужна помощ

Здраствуйте,на рабочем столе появляется порнографический баннер и требуют SMS отправить на номер 9800 с текстом 7331692+13+8 ,помогите пожалуйста буду блогодарен.

MC.TAURUS

26 янв 2010, 22:47
0
 

Re: Нужна помощ

У Меня Тоже Самое Было Скачал Тулбар На Оперу И Тут Такая Шняга Баннер Действие 30 Дней Отправьте Смс Попробуй Перезапустить Сразу 2 Раза Комп И В Безопасном Режиме Удали Программу Которая Вызывает Подозрение Например У Меня Установилась Программа CodecPackage И После Этого Антивирус Нашел Подозрительное ПО Которое Не Смог Вылечить Под Названием Synsql Я Удалил Из Реестра Все Вышеуказанные Программы И Снял Synsql С Автозапуска Перезагрузил Пк и Баннер Исчез Попробуй Может Поможет.

DAN

15 дек 2010, 13:31
0
 

Re: Нужна помощ

звони на номер 88001007337 объясни ситуацию, это контент провайдер они стопудово помогут звонок бесплатный сам проверял-=-удачи

Umnik

13 янв 2010, 10:45
3
 

Rado2009
Для начала попробуйте воспользоваться этим самым сервисом, о котором говориться в статье:
4243352762, затем 7393936297
если не поможет, то:
49685761
7393936297
4243352762n9242595
9434676

Затем (не важно, помог сервис или нет) скачайте и установите AVPTool (если только у Вас нет антивируса Касперского!): http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/ и запустите полную проверку. Если у Вас уже установлен Антивирус Касперского или Kaspersky Internet Security, то обновите его базы.

FrodoGay

19 янв 2010, 05:36
0
 

Здраствуйте,на рабочем столе появляется порнографический баннер и требуют SMS отправить на номер 9800 с текстом 7331692+13+8,Видите ли я не так давно пользуюсь компьютером (1 год) поэтому я послушал более 'понимающих' в этом деле товарищей и удалил всю систему в месте с Windows XP и т. д после чего вновь его ставил ,поэтому у меня окно пока не выскакивает (окно тоже было с SMS) ,однако антивирус Касперский постоянно сигнализирует об угрозе и компютор постоянно тормозит и глючит. В отчёте :
19.01.2010 4:25:14 Не вылечено: Trojan-Downloader.Win32.Piker.buh c:\windows\system32\sdra64.exe Отложено
19.01.2010 5:11:18 Обнаружено: Trojan-Downloader.Win32.Piker.buh C:\WINDOWS\Temp\liwhoy.exe
19.01.2010 4:49:04 Обнаружено: Trojan-Downloader.Win32.Piker.buh C:\Documents and Settings\Федор\Local Settings\Application Data\Opera\Opera\cache\opr00FK0
19.01.2010 4:46:27 Обнаружено: Trojan-Downloader.Win32.Piker.buh c:\System Volume Information\_restore{DE7EB701-C943-4FF7-8F35-1E1573C79DB9}\RP7\A0000866.exe
19.01.2010 5:11:18 Не вылечено: Trojan-Downloader.Win32.Piker.buh C:\WINDOWS\Temp\liwhoy.exe Отложено
19.01.2010 4:49:05 Не вылечено: Trojan-Downloader.Win32.Piker.buh C:\Documents and Settings\Федор\Local Settings\Application Data\Opera\Opera\cache\opr00FK0 Отложено
19.01.2010 4:46:27 Не вылечено: Trojan-Downloader.Win32.Piker.buh c:\System Volume Information\_restore{DE7EB701-C943-4FF7-8F35-1E1573C79DB9}\RP7\A0000866.exe Отложено
И.д ::.. ЧТО ДЕЛАТЬ ???
помогите пожалуйста буду блогодарен.

Umnik

19 янв 2010, 11:31
1
 

Re:

http://forum.kaspersky.com/index.php?showforum=18
Обратитесь сюда

DAN

15 дек 2010, 13:35
0
 

Re: совет

привет! сразу звони по номеру 88001007337 это бесплатный номер контент провайдера объясни ситуацию они стопудово помогут -=-сам проверял.....удачи.

badr

21 янв 2010, 14:10
0
 

обидно...

во всех браузерах которые у мя есть(експлоуер,мозила,опера) выходит окошко
сли вы установили рекламный модуль, но решили отказаться от подписки, достаточно отправить смс на короткий номер, указанный ниже. С полученным кодом вы сможете удалить информер.
1 информер удалится автоматически через 30 дней.
2 бесплатный доступ к порно - видео архивам.
3 служба технической поддержки.

ВОЙТИ НА САЙТ

Чтобы удалить информер, отправьте смс с текстом 2107 на номер 3649.
Введите код, полученный в ответном смс ...
оно мя заколебало...как его убрать иль какой код ввести???

DAN

15 дек 2010, 13:37
0
 

Re: обидно...

сразу звони по тел 88001007337 это бесплатный контент провайдер они стопудово помогут.......удачи

rent-it.net.ua

21 янв 2010, 22:45
-1
 

вариант удаления вируса

http://rent-it.net.ua/doc/virus/udalenie_virusa_otpravte_sms_n a_nomer.html

Fixxxer

22 янв 2010, 15:44
4
 

СМС-вымогатели бывают разные. Несмотря на то, что основная масса - это просто перепакованный один и тот же вариант, тем не менее сам алгоритм и код может быть разным. Поэтому к статье Дениса - несколько замечаний.

1. НИКОГДА не шлите смс на номер! Бывали случаи простого "развода" - деньги снимались, а код не приходил. В крайнем случае выясните у оператора, какой службе принадлежит короткий номер, позвонит в поддержку и поругайтесь. Ключевые слова-пугатели: "блокировка работы компании", "рассылка порнографических картинок", "я сделал фото компьютера и обращусь в милицию". Код должны дать бесплатно.

2. ВСЕГДА после удачной разблокировки делайте обращайтесь сюда: http://virusinfo.info/forumdisplay.php?f=46 или сюда: http://forum.kaspersky.com/index.php?showforum=18
Вас нужно будет сделать логи, ис пециалисты проверят на наличие остатков вируса. Очень часты случаи, что и после удаления блокирующего окна остаются "хвосты", которые нужно подчищать.

3. ВСЕГДА после удаления СМС-вымогателя меняйте все пароли, потому что имеется ряд косвенных указаний на то, что кроме блокировки вымогатель ещё и ворует пароли.

4. Использовать самостоятельное удаление различными "утилитами", распространёнными на сомнительных источниках в Сети КРАЙНЕ НЕЖЕЛАТЕЛЬНО: Вы можете занести ещё больше зловредов или по ошибке окончательно угробить систему. В крайнем случае, когда ничего не помогает, напишите на один из двух ресурсов, которые я указал в п.2, описав проблему. Вам обязательно помогут!

Ну и САМОЕ ГЛАВНОЕ: легче предотвратить заражение, чем его вылечить, а потому...

- Никогда не запускайте файлы, в которых не уверены. Если очень хочется - предварительно проверьте их хотя бы на VirusTotal и при малейшем подозрении - отошлите антивирусным вендорам на проверку.
- Устанавливайте программное обеспечение, только скачанное с официальных сайтов производителя! Adobe Flash Player качается на сайте Adobe, а не там, где Вам его предлагают.
- Своевременно обновляйте Вашу систему и используемые программы. Желательно отказаться от использования браузера Internet Explorer. Большинство зловредов устанавливается без ведома пользователя при работе в Интернет, благодаря уязвимостям в Internet Explorer, Adobe Flash Player, Adobe Acrobat и самой Windows.
- Используйте хотя бы антивирус, не выключая его "потому что тормозит". Если тормозит - разберитесь в настройках, решите проблему! А вообще - желательно антивирус подкрепить системами HIPS и файервола. Кстати - при желании это можно сделать бесплатно, достаточно просто поискать в Сети.

Удачи и не болейте (ни реально, ни виртуально)!

Old

22 янв 2010, 19:47
0
 

Пару часов назад возился с блокером, комп знакомого заблокировался на глухо, интересно то, что окно у его носило название: антивирус Касперского, по моему сканер on line, вынужден признать, что на сервисе деактивации вымогателей-блокеров, алгоритм для разблокировки отсутствует. После того как комп разблокировал, удивило то, что установленый у его антивирус, троянца, являвшегося причиной, находил и как показывает отчёт - удалял.

alegora

24 янв 2010, 15:56
0
 

SUPERAntiSpyware - убила такое всплывающее окно за 15 сек. Касперский - не смог(((

Б@Б@Й

25 янв 2010, 03:03
0
 

Приветствую всех настрадавшихся от (Trojan-Ransom)!
Да действительно достали эти окна!
Сам сталкивался с этим раз 6 примерно на чужих компах. Люди не сведущие что такое, что делать не знают.
Скока не пробовал удалять вручную всё равно через какое-то воемя опять вылазило. Просто брал и сносил Винду к че...!
Переустанавливал, проверял всё полностью антивирем и ок!
Есть одна закономерность как я заметил, хр--ень ета вылазила у людей подключившимся к инету через DSL модем с настройками бридж ( Получается что всё раскрыто, делайте что хотите) . Всем ет людям перенастраивал модем как роутер, в настройках поковырялся, что можно было включить из защиты вкл.
У самого антивирь стоит АВАСТ! Неплохо от атак защищает.
Никого не подталкиваю! Делюсь своим мнением!
Удачи всем в борьбе с вредителями!

proksin

25 янв 2010, 12:39
0
 

У меня Касперский просто пропустил такой порно банер вообще на него ни как не среагировав, удалял ручками.

MC.TAURUS

26 янв 2010, 23:01
0
 

Re:

Да Та Же Тема К Сожалению Касперский Среагировал Уже После Полного Заражения и Что Самое Интересное То Что Он и Не Определил Класс Вируса Лишь Написав Что Обнаружено Потенциально Нежелательное ПО Trojan.Generic.

lev41

30 янв 2010, 20:19
0
 

1

Решил проблему так: при выскакивании окна с требование отправить СМС (для ХР); нажимаем Win+U далее влючаем лупу быстро! (Запустить) далее Справка, далее правой кнопкой мыши на полоске окна набрать адрес любой (например C:\Program files\Total Commander\[запускаемый файл tcmd.exe или другой путь....) в командной строке набрать msconfig и через восстановление системы вернуться в то время когда на компе всё работало!!!
МНЕ это помогло.

karsaz

09 фев 2010, 13:21
0
 

удалять информеры, банеры,смс вымогатели

здесь всё описано как перестраховаться и удалять информеры, банеры,смс вымогатели, лечить систему от блокеров всё просто как велосипед
http://karsaz.ucoz.ru

0
 

все делайте так же,когда хотите загрузить систему в безопасном режиме но:выбираем пункт загрузка последней удачной конфигурации и нажмите ентер но должно быть включено восст.системы. так что включайте восст.системы если не хотите головной боли

0
 

удалять информеры, банеры,смс вымогатели

Это спам,там авастом и КАВом определяется вирус

0
 

Решил проблему так: при выскакивании окна с требование отправить СМС (для ХР); нажимаем Win+U далее влючаем лупу быстро! (Запустить) далее Справка, далее правой кнопкой мыши на полоске окна набрать адрес любой (например C:\Program files\Total Commander\[запускаемый файл tcmd.exe или другой путь....) в командной строке набрать msconfig и через восстановление системы вернуться в то время когда на компе всё работало!!!
МНЕ это помогло.

да это в ЛЮБОМ случае поможет

vlad

19 мар 2010, 14:45
0
 

помогите пожалуйста

На компьютере каждый раз всплывает банер ,где нужно отправить смс с кодом 6139100 на номер 8353 на копьютере была очень важная информация для меня помогите пожалуйста

Vladimir

21 мар 2010, 22:06
0
 

Re: помогите пожалуйста

У меня то же самое. Я пока отключил автозагрузку (Выполнить msconfig). Пробовал CoreIt, AVZ, TrojanRemover - все чисто. Но если загружать Windows в нормальном режиме - блокирующий порно-баннер возникает снова.
Блокировку "6139100" на 8353 у меня снял код 1968845971 (см.сервис деактивации вымогателей-блокеров)

исправлено: Vladimir, 21 мар 2010, 23:20

salo2004

26 мар 2010, 16:18
0
 

я одного не пойму... как Каспер пропускает эту шнягу, за че я заплатил 1600 р.??? ...у меня способ борьбы такой, в мсконфиге снимаю галку на plugin.exe... перегружаюсь и удаляю этот plugin.exe из program files... но как эта сволочь(извините за выражение, достало, уже четвертый раз) туда пробирается!!!! щас в Каспере поставил запрет на исполнение этого файла... посмотрим...

salo2004

26 мар 2010, 16:23
0
 

в догонку... Каспер вообще не видит вирусов... как будто все норм... как так ? у мене девки голые на весь экран... нравятся чель касперскому

комментарий удалён: , 01 янв 1970, 03:00

комментарий удалён: , 01 янв 1970, 03:00

Anshes

18 апр 2010, 23:27
0
 

деактивация вымогателей-блокеров

Всем привет. У меня возникла проблема- я не могу войти в браузер Firefox - там у меня появился сайт порно содержания и блокирует все мои действия. Не помогает перезагрузка системы. Пишет:чтобы получить пароль -отправте смс c цифрами: 668822 нa нoмeр: 5537. Подскажите что мне делать?

vvtom

28 апр 2010, 13:54
0
 

Re: деактивация вымогателей-блокеров

В случае с Firefox-ом крайне желательно использовать 2 плагина:"Adblock Plus" и "NoScript".
Первый блокирует простые баннеры (после его установки будет предложено добавить фильтры для проблемных сайтов, желательно использовать отечественные, а затем, в процессе использования будете при необходимости блокировать ненужные окошки вручную (правой кнопкой мышки и выбираем..) - навсегда!), а второй блокирует более "хитрые" блямбы, распространяющиеся в виде скриптов. В Вашем случае, видимо, нужно сначала снести Firefox, затем переустановить его свежую версию и добавить вышеуказанные плагины. У меня это работает уже достаточно давно и надёжно. Только к носкрипту придётся привыкнуть (иногда ява-скрипты всё же нужны:-)), но это несложно...
Да, и следите за куками...

Саламандра

04 июн 2010, 16:48
0
 

Помогите, пожалуйста.

Не могу зайти на половину сайтов, отправляет на сайт ВКонтакте и требует отправить смс 162901, 151901, 162860 и 151860 (каждый раз по-разному) на номер 8353. Я и деблокерами пользовалась, и содержимое блокнота hosts редактировала. И прогу удалила. Ничего не помогает(((

Александра

18 июн 2010, 05:49
0
 

У меня на 9800 пишет отправить...Так эти сволочи дальше пошли-блокируется вход на сайты деактивации вымогателей...В первую очередь лабКасперского...Пыталась антивирусом убрать так Explorer не открывался в итоге... пришлось восстанавливать систему....(((

winset17

24 июн 2010, 21:15
0
 

я выход нашел

у меня тоже все блокировалось пока вот эту программу не скачал
очень помогла http://chromset.ucoz.ru/load/1-1-0-3

zzzzz

26 июн 2010, 13:36
0
 

помогите у меня банер просит оправить смс с текстом 35101010 на номер 5121 он на рабочем столе,все заблокировал,я перепробывал уже кучу кодов,банер не дает никуда зайти,пишу с другого компьютера,помогите!!!!!!!!!

atta2

26 июн 2010, 16:50
0
 

ПОМОГИТЕ.......... ПИПЕЦ

просит пополнить счет через терминал, код будет на чеке...........Что делать.Всё повисло даже часы стоят........Босс расстреляет.

FPA

23 июл 2010, 18:23
0
 

Re: ПОМОГИТЕ.......... ПИПЕЦ

Такая же ситуация. Вот номер вымогателя: 89670474911.
Пожалуйста, помогите.

Serjio

11 июл 2010, 08:11
0
 

Нужна помощь

Здравствуйте! На рабочем столе появляется порнографический баннер "Porno Media Mobile". В баннере следующий текст: Данная программа не является вредоносным ПО, не блокирует работу Диспетчера задач и других программ. Если желаете деинсталировать продукт сейчас оплатите через автомат экспресс оплаты счет ?004287-623965 на 500 рублей. Полученный после оплаты код введите в окно. И ниже две кнопки "Удалить" и "Просмотр". У меня не работает эксплорер,торрент, шарманка, и диспетчер задач, т.е все какие связаны с интернетом кроме оутлока. С баннерами которые просят отправить смс на платный номер уже успешно боролся с вашей помощью, а что делать сейчас не знаю. Помогите пожалуйста!!!!

Nataly

03 авг 2010, 14:32
0
 

Re: Нужна помощь

Здравствуйте! Неужели никак нельзя решить проблему, когда просят оплатить через автомат экспресс оплаты??? У меня возникла такая же проблема! Компьютер полностью блокирован. Подскажите, пожалуйста, что делать!!!

BART

03 авг 2010, 14:48
0
 

Работники касперского беспомощны...

Вводил номер и текст, в программу на сайте касперского, смс блокер....Выводит совершенно другие картинки, ежели у меня...Вводил уже все пароли, которые предлагает касперский....ничего не помогает.
Отправте смс с текстом 16267122 на номер 6681. Поможет кто нибудь???
Комп заблокирован, ничего не открыть и не закрыть...Только на рабочем столе этот вирусняк...

Ivan_Karataev

10 фев 2011, 08:39
0
 

Re: Работники касперского беспомощны...

BART, подумайте сами, мошенники не такие дураки, которыми их считают! Разблокировать подбирая коды, почти невозможно, т.к. только появляется новый код деактивации злоумышленники сразу же усиливают защиту вируса , коды способом взлома "ослабленного" вируса Trojan.Winlok невозможно! И коды не подходят. Лучше переставьте систему и поставьте продукт Лаборатории Касперского , а именно Kaspersky Internet Secureti 2011....именно он блокирует сайты с такой ерундой, и залезть туда невозможно! Будьте осторожнее....

ПАВЕЛ

05 авг 2010, 18:17
0
 

НЕописываемый блокер

блокер просит оплатить через платежку 200 рублей, и есть счет куда деньги закинуть 004245166554
так же написано что это рекламный модуль эро-видео сайта. http://pornhab.com

заблокировал гад все:( даже в безолпасном ни чего не могу сделать:( ни куда не заходит только эта фигня, помогите

Елена

05 авг 2010, 20:33
0
 

Помогите!

Просят оплатить через терминал экспресс-оплаты на счет абонента БИЛАЙН ? 89639946224 на сумму 400 рублей. Все заблокировано, диспетчер задач засерен!

Для добавления комментариев необходимо


Bookmark and Share
Закладки

Ссылки по теме

Также в аналитике

В блоге