Onion grief: o nouă versiune a troianului ransomware CTB-Locker. Ransomware-ul Android DoubleLocker se declanșează după fiecare apăsare a butonului Acasă Super Locker - este un virus sau nu

„Acest PC a fost blocat” Screen Locker (cunoscut și ca ScreenLocker) este o nouă înșelătorie care poate fi legată de amenințarea despre care am vorbit acum câteva săptămâni. Deși ambele au unele asemănări, există și unele diferențe, al căror scop poate fi acela de a încuraja utilizatorii să aibă în vedere faptul că sunt îngrijorați de o problemă legitimă și ar trebui să urmeze instrucțiunile de pe ecran pentru a o rezolva imediat. Din păcate, instrucțiunile de pe ecran din întrebare sunt furnizate de „Acest computer a fost blocat” de Screen Locker (cunoscut și ca ScreenLocker), iar urmarirea acestora poate ajunge să coste utilizatorul sute de dolari.

Când rulați Screen Locker „Acest PC a fost blocat”, acesta afișează o nouă fereastră care se suprapune pe toate celelalte ferestre, împreună cu bara de activități Windows. În plus, fișierul executabil care rulează „Acest PC a fost blocat” Screen Locker poate folosi și comenzi de închidere din promptul de comandă Windows, Editorul de registru și Managerul de activități. Astfel, este puțin mai dificil pentru utilizatorii nu atât de cunoscători de tehnologie să elimine Screen Locker și să-și restaureze computerele la starea normală.

Escrocii Screen Locker „Acest PC a fost blocat” au ales să folosească un design care utilizează schema de culori implicită Windows 10, precum și un aspect pe care îl pot folosi unele ecrane de eroare Windows 10. Când un utilizator vede o fereastră Screen Locker, va vedea un text care îi spune că mașinile lor au fost blocate din cauza unei activități suspecte și singura modalitate de a rezolva problema este să introducă un cod de deblocare, pe care numai agenții de asistență Windows certificați îl pot. oferi. Screen Locker oferă utilizatorilor posibilitatea de a contacta imediat un dialer certificat la 844-703-1130. Cu toate acestea, acest număr de telefon nu este asociat cu asistența tehnică Microsoft, iar utilizatorii ar trebui să fie conștienți de faptul că companii de renume precum Microsoft nu își vor bloca niciodată computerele sau nu își vor promova serviciile de asistență tehnică prin astfel de metode.

Cu toate acestea, autorii lui Screen Locker „Acest computer a fost blocat” și alte variante ale acestei farse nu sunt atât de buni la crearea amenințărilor cibernetice. Locker-urile lor de ecran nu folosesc coduri care sunt generate aleatoriu și, în schimb, parola pentru fiecare versiune este codificată. Aceasta înseamnă că toate victimele pot folosi același cod de deblocare pentru a elimina Screen Locker și a restabili computerele la normal. Unele dintre codurile de deblocare pe care le pot încerca utilizatorii care întâlnesc Screen Locker „Acest PC a fost blocat” sunt: ​​„XP8BF-F8HPF-PY6BX-K24PJ-RAA00”, „123456”, „nvidiagpuareshit” și „30264410”.

Chiar dacă aceste coduri nu funcționează, ar trebui să rețineți că un număr promovat de „Acest computer a fost blocat” de Screen Locker este o idee foarte proastă. Persoanele care răspund la aceste apeluri sunt escroci cu experiență care vă pot spune că trebuie să plătiți sute de dolari în schimbul unui cod de deblocare sau pentru serviciile lor sau software-ul dubios. Cu ajutorul unei suită de programe anti-malware de renume în orice moment, amenințările precum „Acest computer a fost blocat” Screen Locker nu vor ajunge pe computer și nu vor cauza probleme.

Instrucțiuni pentru eliminarea Screen Locker.

Dezinstalați aplicațiile legate de Screen Locker

Eliminați din Windows 7 și Windows Vista

1. Faceți clic pe butonul Start și selectați Panou de control.
2. Selectați dezinstalați un program și eliminați Screen Locker.

Eliminați din Windows XP

1. Deschideți meniul Start și Panoul de control.
2. Selectați Adăugați sau eliminați programe și eliminați Screen Locker.

Eliminați din Windows 8

1. Apăsați tasta Windows + R în același timp și introduceți în Panoul de control.
2. Apăsați Enter și accesați Dezinstalați un program.
3. Găsiți aplicații nedorite și eliminați Screen Locker.

Eliminarea browserelor Screen Locker

Eliminați Screen Locker din Internet Explorer

Eliminați Screen Locker din Mozilla Firefox

Eliminați Screen Locker din Google Chrome

Știi de ce îmi place? Pentru timiditatea utilizatorilor. Poți să scrii un virus super-mega polimorf și să fii mândru de felul în care dăunează în liniște tuturor infrastructurilor, mângâindu-ți propria mândrie că este greu de găsit și neutralizat. Sau poți să scrii un simplu program utilitar, care cu greu poate fi numit virus (deși va fi considerat malware) și să faci bani din frica utilizatorilor. Mai mult, nu este nevoie de inteligență specială atunci când scrieți.

Îmi amintesc de 2010, când Runetul a fost lovit de o epidemie de Winlockers. A fost amuzant să văd cum utilizatorii cu ochii bombați de frică au alergat să plătească pentru faptul că computerul lor ar fi fost „deblocat”. Este greu de numărat câte variații am văzut ale acestor dulapuri atunci.

Dar timpul a trecut și winlockers pur și simplu s-au scufundat în uitare din cauza vigilenței companiilor de antivirus. Cu toate acestea, în loc de computere, utilizatorii au început să folosească în mod activ smartphone-urile și tabletele. Și, firește, smartphone-urile și tabletele controlate de un robot verde nu s-au putut abține să nu apară Androiddulap.

Principiul de funcționare a unor astfel de programe ransomware pentru Android este același ca și pentru Windows. Din păcate, utilizatorul dispozitivului său aproape că nu citește niciodată că programul necesită privilegii ridicate pentru sistemul dumneavoastră. Pentru care plătește cu infecție. Acestea nu sunt iPhone-uri, în care o astfel de temă nu va funcționa. Android este încă foarte, foarte vulnerabil.

În plus, o caracteristică distinctivă a acestor dulapuri este că utilizatorii își infectează dispozitivele cu ele descărcând fișiere din resurse necunoscute. În plus, de multe ori pur și simplu nu au un program antivirus pe telefon.

Dar, dacă totuși ați reușit să obțineți Android Locker pe smartphone sau pe tabletă, atunci nu trebuie să vă grăbiți să încercați să reîncărcați prietenul de fier sau chiar să îl ștergeți. Din fericire, această infecție este destul de ușor de tratat.

Deci, pentru a elimina Android Locker, va trebui să aveți răbdare și să încercați tot ce este scris în acest articol.

Pasul 1. Android Lockers, de regulă, sunt plasate la pornire și sunt declanșate de un temporizator la fiecare câteva milisecunde. Dacă încercați să vă amintiți ce aplicație este criptată de malware, probabil că veți încerca să o eliminați. Cu toate acestea, opțiunea de ștergere va fi inactivă deoarece aplicația folosește Administratori de dispozitive. Să încercăm să ne autentificăm Setări -> General -> Securitate -> Administratori de dispozitivși încercați să debifați această aplicație. Dacă aveți noroc, programul vă va intimida doar spunând că va șterge totul de pe dispozitiv dacă încercați să îl eliminați de la Administratori. Simțiți-vă liber să îl trimiteți la /dev/null (adică, nicăieri) și debifați caseta.

Pasul 2. Este posibil ca Android Locker să nu renunțe imediat. Bine, să încercăm să-l eliminăm cu un antivirus. Vă este mai ușor să îl descărcați, de exemplu, de la mine sau altundeva într-un loc de încredere, să îl plasați cumva pe dispozitiv și să îl instalați cu verificare. Și din nou încercați să stingeți infecția. Nu este un fapt că va funcționa prima dată. Dar dacă încercați să dezactivați malware-ul de multe ori, acesta poate și va capitula.

Pasul 3. Antivirusul nu a putut elimina aplicația și acum v-a trimis la / dev/ nul . Ei bine, porniți în modul sigur și încercați să repetați pașii de mai sus. În mod obișnuit, pe dispozitivele Android, modul sigur este lansat ținând apăsate tastele de pornire și de volum, adesea în jos. Toate acestea trebuie făcute fie la repornire, fie la pornirea dispozitivului. Trebuie să căutați pe internet special pentru modelul dvs. După pornirea în modul sigur, veți descoperi că Android Locker nu va mai porni aici. Și puteți încerca să-l eliminați.

Cu toate acestea, există infecții care vă criptează datele și necesită o parolă pentru a le decripta. În acest caz, este totuși o idee bună să rulați sistemul cu un program antivirus și să căutați o secțiune specială pe site-urile companiilor antivirus.

Atentie, promovare! Nu cu mult timp în urmă am devenit partener oficial al companiilor antivirus și, în cadrul promoției, pot oferi produse antivirus licențiate primilor zece clienți la prețuri speciale mici! De exemplu, ESET NOD32 Mobile Security pentru Android timp de 2 ani vă va costa doar 300 de ruble! Dr.Web Mobile Security 9.1 pentru un an costă 200 de ruble. Grăbește-te, oferta este limitată!

CTB Locker este un virus foarte bine conceput și periculos. Nu voi scrie despre asta - există o mulțime de informații despre acest virus pe Internet.

În ultimele 3 luni, unii dintre clienții noștri au prins această fiară, în ciuda avertismentelor, a antivirusurilor corporative actualizate și a altor soluții de protecție. Pentru unii, o mașină de lucru separată a avut de suferit, pentru alții - un server terminal. Dar instrumentele de backup i-au salvat pe toată lumea.

Cea mai recentă infecție a unuia dintre clienți a dus la pierderea unei cantități mari de date, precum și a unor copii de rezervă. Responsabilitatea pentru acest lucru era a clientului - nu au putut aloca fonduri pentru extinderea serverului de rezervă timp de jumătate de an. Dar nu asta este ideea. Ni s-a dat sarcina de a plăti creatorii virusului (și apoi a apărut brusc finanțarea).

Nu susțin ca utilizatorii comunității să plătească atacatorii (sunt împotriva acestui lucru), dar poate că acest mic manual va ajuta pe cineva.

În continuare, voi descrie pas cu pas cum am plătit oameni răi să decripteze datele clientului.

1. Deci, am ajuns acolo. Computerul utilizatorului a fost infectat (încă ne dăm seama cum a fost infectat; există antispam, există antivirus, drepturile utilizatorului sunt reduse). Prin intermediul rețelei, virusul a criptat un server de fișiere a cărui unitate era conectată la utilizator ca unitate de rețea. Virusul a criptat acele foldere de pe server la care acest utilizator avea drepturi de scriere. Unitățile locale de pe computerul utilizatorului au fost, de asemenea, criptate.

2. Când virusul a terminat criptarea, a dat utilizatorului un banner. Ni s-a oferit să decriptăm datele pentru 3,5 Bitcoin, care este de aproximativ 805 USD. Ni s-au dat 90 de ore pentru a lua o decizie.

3. Instrucțiunile despre cum să procedați au fost găsite pe discul local din folderul Documente.

Ni s-a cerut să mergem la rețeaua Tor și să introducem cheia publică din acest fișier text pe site-ul atacatorilor. Din păcate, nu am făcut o captură de ecran a site-ului, site-ul se deschide foarte rar și nu am văzut nimic nou acolo. Site-ul duplică informații dintr-un banner de pe desktop-ul utilizatorului: informații despre suma răscumpărării, link-uri către un site de unde puteți cumpăra bitcoini, numărul portofelului unde să transferați etc., precum și o ofertă de decriptare a două fișiere de până la 1 megaoctet. în mărime fiecare ca dovadă a posibilităţii de decriptare .

4. Înainte de a începe toate lucrările, computerul și serverul de fișiere ale utilizatorului infectat au fost izolate într-o rețea separată cu o conexiune separată la Internet. Am verificat disponibilitatea unității de rețea. Toate ok. ÎNCEPE.

5. Căutați bitcoini. Nu am cumpărat bitcoin până acum. Site-urile oferite de atacatori pentru achiziționarea de bitcoin nu erau potrivite pentru noi. Trebuie să cumpărăm criptomonede cu un card de plată de la o bancă ucraineană (creat un card virtual). Am căutat modalități de a cumpăra criptomonede. Pe Internet a fost găsit un site ucrainean pentru cumpărarea și vânzarea de bitcoin.

A) înregistrați-vă pe site (indicați telefonul mobil la înregistrare - i se vor trimite confirmări ale tranzacției), depuneți UAH în cont.

B) Cumpărăm bitcoini pentru hrivna.

C) Transferăm bitcoini în portofelul specificat de atacatori. Atenție la comisionul rețelei bitcoin.

Confirmăm tranzacția prin SMS de la numărul de telefon specificat la înregistrarea pe site. Tranzacția a durat aproximativ 10-15 minute.

6. În așteptare. Deci, am îndeplinit toate condițiile atacatorilor. Ce e de facut in continuare? Site-ul din rețeaua Tor nu este încă accesibil. După cum sa dovedit, nu am fost înșelați. Bannerul de pe computerul utilizatorului s-a schimbat de la o cerere de bani la informații și că informațiile noastre sunt acum decriptate. Totul s-a întâmplat automat.

7. Decodarea a durat aproximativ 2 ore. Verificăm serverul de fișiere - totul este la locul său, totul este decriptat perfect. Bannerul sugerează să facem Rescanarea dacă am uitat să conectăm o unitate de rețea sau să introducem un USB Flash/HDD, care a fost de asemenea criptat anterior, înainte de a începe decriptarea. Sau faceți clic pe Închidere și se va elimina singur de pe computer.

8. Facem o copie de rezervă a serverului de fișiere (din nou, s-a găsit rapid finanțare pentru a extinde spațiul pentru copiile de rezervă).

9. Conectați serverul de fișiere înapoi la rețea pentru utilizatori. Formatăm computerul utilizatorului, instalăm Windows etc.

10. Ne gândim să ne schimbăm antivirusul.

Sper că această publicație a ajutat pe cineva. Sau, cel puțin, ea mi-a amintit de importanța copiilor de rezervă și a bazelor de date antivirus actualizate.

Un troian ransomware care blochează dispozitivele mobile Android și solicită plata pentru a le debloca. Distribuit sub masca unei actualizări de sistem.

Odată lansat, malware-ul simulează procesul de actualizare, încearcă să obțină acces la funcțiile de administrator ale dispozitivului mobil, își elimină pictograma de pe ecranul de start și așteaptă instrucțiuni de la atacatori.

Interfață de control

Troianul este controlat folosind mesaje SMS care conțin următoarele comenzi:

• set_lock – blochează dispozitivul;
• set_unlock – deblochează dispozitivul;
• send_sms – trimite un mesaj SMS;
• send_all – trimite un mesaj SMS tuturor persoanelor de contact din agenda telefonică;
• set_admin – setează numărul de telefon la care sunt trimise mesajele cu rapoarte;
• gitler_dead – efectuează auto-ștergerea;
• set_filtr – setează un filtru pentru interceptarea mesajelor primite;
• set_url – schimba adresa serverului de management la cea specificată în parametrul de comandă.

Blocare dispozitiv mobil

După ce ați primit comanda set_lock sau a primit o directivă de la serverul de control, http://tz.in/mod_admin/ Android.Locker.38.origin blochează dispozitivul mobil cu un mesaj de răscumpărare.

Dacă proprietarul unui dispozitiv Android încearcă să revoce drepturile de administrator ale programului rău intenționat, troianul blochează ecranul folosind blocarea standard în modul inactiv al sistemului și, după ce utilizatorul îl deblochează, afișează un mesaj fals care amenință cu ștergerea tuturor datelor existente.

Când faceți clic pe OK, Android.Locker.38.origin pune din nou dispozitivul în modul de așteptare și setează parola de deblocare a ecranului la 12345.

Funcționalitatea bot SMS

Prin executarea comenzilor primite prin SMS, troianul poate trimite diverse mesaje, inclusiv către toate contactele din agenda telefonică.

1. Dacă dispozitivul dvs. mobil funcționează normal, descărcați și instalați produsul antivirus gratuit Dr.Web pentru Android pe acesta Ușoară. Efectuați o scanare completă a sistemului și utilizați recomandări pentru a neutraliza amenințările detectate.
2. Dacă dispozitivul dvs. mobil este blocat de un troian ransomware din familia Android.Locker (ecranul afișează o acuzație de încălcare a legii, o cerere de plată a unei anumite sume de bani sau un alt mesaj care interferează cu funcționarea normală a dispozitivului) , urmați acești pași:
   • porniți smartphone-ul sau tableta în modul sigur (în funcție de versiunea sistemului de operare și de caracteristicile unui anumit dispozitiv mobil, această procedură poate fi efectuată în diferite moduri; vă rugăm să consultați instrucțiunile furnizate cu dispozitivul achiziționat sau direct la producătorul acestuia pentru clarificare);
   • După activarea modului sigur, instalați un produs antivirus gratuit pe dispozitivul infectat

Noua amenințare mobilă, programul malware DoubleLocker. Malware-ul, ca multe alte programe malware, exploatează funcționalitatea legitimă a serviciului de accesibilitate și este reactivat de fiecare dată când apăsați butonul Acasă.

DoubleLocker este construit pe codul faimosului bancher Svpeng. Cu toate acestea, deocamdată are funcții dezactivate concepute special pentru colectarea datelor bancare ale utilizatorilor. În schimb, DoubleLocker este echipat cu două instrumente de extorcare simultan: poate schimba PIN-ul dispozitivului cu unul arbitrar și, de asemenea, criptează datele pe care le găsește. Potrivit experților ESET, aceasta este prima dată când o astfel de combinație de funcții este observată în ecosistemul Android.

DoubleLocker este distribuit în modul „clasic”: în principal sub pretextul Adobe Flash Player prin site-uri compromise. După rularea malware-ului pe dispozitivul utilizatorului, aplicația vă solicită să activați serviciul de accesibilitate. După ce a primit permisiunile necesare pentru a funcționa, DoubleLocker câștigă drepturi de administrator și se stabilește ca lansator implicit.

„Auto-instalarea ca lansator implicit îmbunătățește siguranța malware-ului pe dispozitiv”, a spus Lukas Stefanko, analistul de viruși ESET care a descoperit DoubleLocker. „De fiecare dată când utilizatorul apasă butonul Acasă, ransomware-ul este activat și blochează din nou ecranul tabletei sau smartphone-ului.”

Odată executat pe un dispozitiv, DoubleLocker folosește două argumente convingătoare pentru a convinge utilizatorul să plătească răscumpărarea.

În primul rând, schimbă codul PIN al tabletei sau smartphone-ului, ceea ce împiedică utilizarea dispozitivului. Noul PIN este setat la o valoare aleatorie, codul nu este stocat pe dispozitiv și nu este trimis nicăieri în exterior, așa că nici utilizatorul și nici specialistul în securitate nu îl vor putea recupera.

În al doilea rând, DoubleLocker este unul dintre puținele programe malware mobile care criptează de fapt toate fișierele din stocarea principală a dispozitivului. Pentru a face acest lucru, malware-ul folosește algoritmul de criptare AES și adaugă extensia .cryeye la fișiere. Din păcate, nu este încă posibilă decriptarea datelor afectate.

Suma de răscumpărare este de 0,0130 bitcoin (aproximativ 4.000 de ruble), iar mesajul atacatorilor subliniază că plata trebuie făcută în 24 de ore. Dacă răscumpărarea nu este transferată, datele vor rămâne criptate.

Pentru a scăpa de DoubleLocker, experții ESET recomandă să luați următoarele măsuri:

• Dispozitiv nerădăcinat, care nu are instalată o soluție de gestionare a dispozitivelor mobile care să poată reseta PIN-ul: singura modalitate de a scăpa de ecranul de blocare este să îl resetați la setările din fabrică.
• Dispozitiv înrădăcinat: Utilizatorul se poate conecta la dispozitiv prin ADB și poate șterge fișierul în care este stocat PIN-ul. Pentru a face acest lucru, trebuie să activați depanarea dispozitivului (Setări – Opțiuni pentru dezvoltatori – Depanare USB). Ecranul de blocare va fi eliminat, iar utilizatorul va recâștiga accesul la dispozitiv. Apoi, lucrând în modul sigur, utilizatorul va putea să dezactiveze drepturile de administrator al dispozitivului pentru malware și să-l elimine. În unele cazuri, dispozitivul poate fi necesar să fie repornit.

Cu toate acestea, toate acestea, din păcate, nu vor ajuta la decriptarea datelor afectate, așa cum am menționat mai sus.