Удаление баннеров вымогателей-блокеров с рабочего стола. Блокеры всех времен и народов. Главные злодеи – Small и Fusob

ПлохоОтлично

Если при работе с компьютером на экране появился баннер с требованием отправить смс на указанный в сообщении номер, это значит, что вы стали жертвой вымогателя-блокера . Целью действий программ-вымогателей является блокирование доступа пользователя к данным или ограничение возможностей работы на компьютере и требование выкупа за возврат к исходному состоянию системы. Отличие вредоносных программ заключается в их изначальной коммерческой направленности. Каждая программа этого поведения является инструментом для получения денег киберпреступниками. При этом отправка смс на указанный номер не означает, что вам пришлют код разблокировки и вы избавитесь от баннера .

1. Как удалить баннер с требованием пополнить телефонный счет мошенников?

Также мошенники в сообщении баннера могут потребовать за получение кода разблокировки пополнить телефонный счет абонента Билайн, Мегафон или МТС. Примеры телефонных номеров, указанные на баннерах:

C Рабочего стола баннер, выполните следующие действия:

Deblocker (деблокер) http://sms.kaspersky.ru/

Некоторые троянские программы могут блокировать доступ в Интернет, к сайтам Лаборатории Касперского , к сервису Deblocker . В этом случае для доступа к сервису Deblocker рекомендуем вам воспользоваться вторым компьютером, на котором есть Интернет.

http://sms.kaspersky.ru/m

2. введите в поле "Номер телефона " номер телефона (например, 89653934816 )
3. нажмите на кнопку

5. в результате нажатия кнопки отобразится поле Изображение и поле Коды разблокировки

7. скриншот в поле Изображение Коды разблокировки

9. в некоторых случаях мошенники после ввода одного кода могут потребовать пополнить другой телефонный счет для удаления баннера. Поэтому в поле Коды разблокировки

2. Как удалить баннер с требованием отправки денег через терминал экспресс-оплаты

Некоторые пользователи сталкиваются с требованиями отправки денег через терминал экспресс-оплаты на счета:

9636256259 (qiwi Kошелек)
503741004412
004287-623965 (004287623965)
004287-274359 (004287274359)
004245-166259 (004245166259)
004245-166629 (004245166629)
004305-222091 (004305222091)
004287-924675 (004287924675)
004245-166521 (004245166521)
004305-214814 (004305214814)
004245-167743 (004245167743)

Чтобы удалить с Рабочего стола баннер (Porno Media Module ) с требованием перевода денег на счет мошенников через терминал экспресс-оплаты, выполните следующие действия:

1. откройте в браузере страницу сервиса Deblocker (деблокер) http://sms.kaspersky.ru/
2. введите в поле "Номер телефона " номер счета, указанного мошенниками в сообщении баннера (например, 004287-623965 )

4. нажмите на кнопку

Изображение и поле Коды разблокировки с самыми новыми кодами разблокировки

10. вводите в поле баннера коды по очереди, пока баннер не будет удален с Рабочего стола.

3. Как удалить баннер с требованием отправки платного SMS-сообщения на короткий номер?

В настоящее время наиболее распространены следующие номера , на которые мошенники предлагают отправлять смс:

4016
5581
5537
3121
7015
6666

Чтобы получить код разблокировки и убрать c Рабочего стола баннер, выполните следующие действия:

1. откройте в браузере страницу сервиса Deblocker (деблокер) http://sms.kaspersky.ru/

Некоторые троянские программы могут блокировать доступ в Интернет, к сайтам Лаборатории Касперского, к сервису Deblocker. В этом случае для доступа к сервису Deblocker рекомендуем вам воспользоваться вторым компьютером, на котором есть Интернет.

Также есть возможность использовать мобильный телефон с выходом в Интернет для доступа к сервису Deblocker, достаточно воспользоваться ссылкой: http://support.kaspersky.ru/sms

2. введите в поле "Номер телефона" номер телефона (например, 5121 )

4. В поле "Текст смс" введите текст сообщения или код, который вымогатели требуют указать в смс или теме электронного сообщения.

Если вы оставите поле "Текст смс" пустым, то в результате вы получите все возможные варианты кодов для удаления баннера (рекламного модуля

6. нажмите на кнопку

в результате нажатия кнопки отобразится поле Изображение и поле Коды разблокировки с самыми новыми кодами разблокировки. Для просмотра всех кодов разблокировки для этого номера телефона вымогателей нажмите ссылку Просмотреть все найденные коды.

10. скриншот в поле Изображение поможет определить, какой именно блокер у вас на компьютере и какой код из поля Коды разблокировки необходимо ввести для удаления баннера. Для увеличения картинки щелкните левой кнопкой мыши по изображению. Для возврата изображения к прежнему размеру щелкните мышкой по изображению еще раз

12. в некоторых случаях мошенники после ввода одного кода могут потребовать отправить новое смс для удаления баннера. Поэтому в поле Коды разблокировки могут быть представлены несколько кодов

13. вводите в поле баннера коды по очереди, пока баннер не будет удален с Рабочего стола.

4. Как удалить баннер с требованием пополнить счет учетной записи Вконтакте?

Кроме коротких номеров, мошенники также используют учетные записи социальной сети Вконтакте , предлагая пополнить их счет. Вот наиболее распространенные учетные записи:

id92860484
id92959841
id93120709
id93120017
id92960394
id93120395
id93120982
id91868792
id91866260

Чтобы получить код разблокировки и убрать c Рабочего стола баннер , выполните следующие действия:

http://sms.kaspersky.ru/

Некоторые троянские программы могут блокировать доступ в Интернет, к сайтам Лаборатории Касперского, к сервису Deblocker. В этом случае для доступа к сервису Deblocker рекомендуем вам воспользоваться вторым компьютером, на котором есть Интернет.

Также есть возможность использовать мобильный телефон с выходом в Интернет для доступа к сервису Deblocker, достаточно воспользоваться ссылкой: http://support.kaspersky.ru/sms

2. введите в поле "Номер телефона" номер учетной записи Вконтакте, на которую предлагают перевести деньги (например, id92860484 )

4. нажмите на кнопку

6. в результате нажатия кнопки отобразится поле Изображение и поле Коды разблокировки с самыми новыми кодами разблокировки.

8. скриншот в поле Изображение поможет определить, какой именно блокер у вас на компьютере и какой код из поля Коды разблокировки необходимо ввести для удаления баннера. Для увеличения картинки щелкните левой кнопкой мыши по изображению. Для возврата изображения к прежнему размеру щелкните мышкой по изображению еще раз

10. вводите в поле баннера коды по очереди, пока баннер не будет удален с Рабочего стола.

Как восстановить зашифрованные вирусом файлы?

Для восстановления зашифрованных файлов вы можете использовать код разблокировки или утилиту расшифровки.

Для получения кода разблокировки выполните следующие действия:

1. откройте в браузере страницу сервиса Deblocker (деблокер) http://sms.kaspersky.ru/
2. в поле "Текст смс " введите номер ID в формате ХХХ-ХХХ-ХХХ , который вымогатели требуют указать в теме письма

4. нажмите на кнопку

6. полученный код разблокировки введите в программу расшифровки файлов, указанную мошенниками.

Еще одним способом расшифровки файлов является использование утилиты расшифровки. Чтобы получить утилиту расшифровки, выполните следующие действия:

1. на странице сервиса Deblocker (деблокер) http://sms.kaspersky.ru/ в поле "Номер телефона " введите расширение созданного вымогателем файла. Это может быть одно из следующих расширений: .encrypted, .korrektor, .bloc, .gggg, .cool, .ехе, .mmm, .vhd, .vscrypt, .infected, .kis, .popadalovo, .mis, .web , или какое-то другое.

3. нажмите на кнопку

5. в результате поиска вы найдете название вымогателя-криптора (например, Trojan-Ransom.Win32.Rector) и ссылку на утилиту для расшифровки файлов.

7. сохраните архив с утилитой на компьютер
8. распакуйте утилиту с помощью программы-архиватора, например с помощью WinZip
9. запустите утилиту. Если вы не уверены, как правильно пользоваться утилитой, вы можете найти более подробную 10. информацию о ней на странице утилит http://support.kaspersky.ru/viruses/utility .

Если код или утилита, полученные через сервис деактивации вымогателей-блокеров , не помогли, для решения проблемы посетите ветку официального форума Лаборатории Касперского"Борьба с SMS вымогателями-блокерами".

6. Что делать после удаления баннера?

После удаления баннера блокера-вымогателя настоятельно рекомендуется проверить компьютер на вирусы, например с помощью утилиты Kaspersky Virus Removal Tool .

Для предотвращения повторного проникновения на компьютер блокера-вымогателя рекомендуется установить постоянную защиту, например один из продуктов Лаборатории Касперского .

Если вы не являетесь пользователем продуктов Лаборатории Касперского, вы можете установить пробную версию одного из продуктов со сроком действия 30 дней.

Осенью 2007 года на просторах рунета появился новый вид вредоносного ПО - программы-вымогатели. Данный вид мошенничества ходил в сети и раньше, но только в России он получил огромную популярность. Плодотворной почвой стала простота получения денег от своих жертв.

Если вначале использовались довольно экзотические формы оплаты (например, ВКонакте, Яндекс Деньги и т.п.), с которыми обычные пользователи были знакомы слабо, то впоследствии мошенники перешли на более простые и понятные способы: отправка SMS-ок на короткие номера и перевод денег на телефонные номера. Две самые популярные формы оплаты хорошо знакомы даже людям, редко имеющим дело с компьютером. Именно этот факт, а также простота и анонимность при регистрации коротких номеров сыграли определяющую роль в той массовости, которую приобрели программы-вымогатели.

Вот лишь некоторые из них:

1) Частичная блокировка системы (например, окно, которое располагаются поверх других, в треть экрана) - работать за таким компьютером можно, но очень некомфортно;
2) Демонстрация взрослого контента - рассчитано на детей за папиными компьютерами;
3) Демонстрация контента, содержащего элементы перверсии - рассчитано на взрослых;
и т.д.

В своей работе мы постоянно сталкиваемся с программами-вымогателями и решили составить собственный хит-парад, выделив, на нашему мнению, наиболее интересные из них по следующим номинациям:

Самый труднодоступный

Данный блокер уникален тем, что заражал MBR. Большую популярность он не приобрел. Можно сказать, что он был скорее концептом.
В мае 2011 года появился второй MBR-блокер, приобретающий все большую и большую популярность.

Вердикт: Trojan-Ransom.Boot.SeftadДата появления: ноябрь 2010Дата затухания эпидемии: эпидемии не вызвал

Самый популярный
САМЫЙ МАССОВЫЙ, САМЫЙ ПРИБЫЛЬНЫЙ блокер всех времен и народов. В июне 2010 года новые блокеры данного семейства выходили буквально раз в час. Эпидемия прекратилась лишь после того, как правоохранительными органами были задержаны члены данной преступной группировки.

Самый первый
Первые блокеры на просторах рунета использовали экзотические формы оплаты, мало знакомые домохозяйкам и непритязательный дизайн (никакого обнаженного женского и мужского тела). Но именно с них все начиналось.

Вердикт:Trojan-Ransom.Win32.BlueScreenДа та появления:осень 2007Дата затухания эпидемии:осень 2008

Самый красивый

Вердикт:Trojan-Ransom.Win32.GimemoДата появления:март 2011Дата затухания эпидемии:эпидемии не вызвал

Анимационный
Блокер, использующий в качестве картинки анимированный gif c mamma (лат.), совершающей колебательные движения. В качестве оплаты блокер просил отправить SMS на один из коротких номеров, среди которых присутствовали как российские, так и украинские, казахстанские, литовские и германские.

Первый нероссийский

Данный блокер, вызвавший первую крупную эпидемию блокеров в рунете, пришел с Украины. Изначально в качестве оплаты принимались SMS-ки на украинский номер.
Характерной особенностью блокеров из данного семейства была демонстрация лицензионного соглашения (!!!) при первом запуске блокера, в котором сообщалось о том, что компьютер пользователя будет заблокирован. Но кто читает эти соглашения?

В последующих версиях блокера лицензионное соглашение хотя и демонстрировалось, но довольно быстро закрывалось, и блокер начинал установку вне зависимости от действий пользователя, соглашался он с условиями или нет.

Самый безобидный

Данный «блокер» блокером как таковым не является. Мошенники специально создают сайты, выдающие себя за сайты для взрослых, и размещают в них javascript код, выводящий в браузере приведенную ниже картинку. После того как сайт создан, он распространяется через банерную систему. Для борьбы с данным видом мошенничества достаточно просто закрыть браузер и не заходить в будущем на данный сайт, но многие пользователи пугаются, считают, что произошло заражение их машины, и спешат заплатить деньги вымогателям.

Вердикт:Trojan-Ransom.JS.SmserДата появления:лето 2010Дата затухания эпидемии:по текущее время

Самый креативный

Первые годы развития блокеров авторы подходили к их созданию с душой. Попадались очень веселые, забавные и трогательные блокеры. И лишь спустя несколько лет блокеры стали клепать как пирожки - побыстрее и побыстрее, чтобы успевать сбивать детекты антивирусных продуктов.

Самый жадный

Поскольку на стоимость SMS существовало верхнее ограничение по цене (500-600р.), некоторые блокеры стали просить отправить по 2, а очень жадные - по 3 SMS-ки.

Самый наглый

Особенность данного блокера в громких именах, которыми он прикрывается.

Самый честный

Данный блокер интересен тем, что в отличие от своих коллег честно заявляет, что он блокер.

Вердикт:Trojan-Ransom.Win32.HonestДата появления:N/AДата затухания эпидемии:эпидемии не вызвал

Самый долгоиграющий

Данный блокер уникален тем, что использует систему подписок для обогащения своих авторов. Вместо того чтобы требовать отправки SMS или перевода денег на счет, данный блокер требует отправить свой номер телефона. На телефон приходит SMS-ка с кодом деактивации.

Все эти безобидные действия преследуют одну цель - зарегистрировать пользователя на так называемой подписке. Вводя в блокер код деактивации, пользователь тем самым соглашается с условиями подписки (которые ему, естественно, никто не показывал). После подписки с телефона пользователя начинают регулярно снимать деньги (например, каждые 3 дня по 150р.). Данный способ работает до тех пор, пока пользователь не откажется от подписки или в течение определенного времени (например, недели) на телефоне не будет средств.

Самый брутальный

Данный блокер характеризуется отображением гомосексуалистов.
Второй его «замечательной» особенностью являются коды деактивации - это не бессмысленный набор символов, а коды из игры (например, IDDQD), персонажи игр (KERRIGAN IS SO SEXY), авторы любимых произведений (FRANK HERBERT) и т.п.

Самый подробный («блондиночный»)

Данный блокер можно назвать самым подробным в области инструкции по своей деактивации. Поскольку данная программа в качестве формы оплаты использует не SMS, а более экзотическую схему «В контакте», с которой знакомо относительно малое количествово пользователей, то она предоставила зараженным пользователям очень подробную пошаговую инструкцию как все-таки перевести деньги мошенникам.

Самый «касперский»

Данный блокер выдает себя за некий, реально не существующий продукт «Лаборатории Касперского», Kaspersky Lab Antivirus Online. В свое время он был очень популярным и вызвал буквально шквал писем в компанию с текстом «Разве вы мало получаете денег, зачем же вам еще и эта программа». В общем, данный блокер попортил много крови как сменным аналитикам так и PR-отделу.

Итого:
В тренде, как вы могли заметить, развитие приемов социальной инженерии, но и техническая мысль не стоит на месте. В любом случае, мы решили, что надежнее будет предотвращать блокирование, нежели лечить уже зараженный компьютер. И если до настоящего момента мы могли предложить вам только бесплатную утилиту support.kaspersky.ru/viruses/deblocker , то сейчас завершаем работу над новым инструментом, который представим в одном из следующих постов.

Если для ПК самыми распространенными и опасными вымогателями считаются шифровальщики (вредоносные программы шифруют данные пользователей и требуют выкуп в обмен на код, который поможет привести файлы в исходный вид), то 99% вымогателей, атакующих мобильные устройства - это блокеры.

Они блокируют доступ либо к браузеру, либо к операционной системе и требуют у жертвы деньги за возврат доступа к этим программам. Как это работает: блокеры подменяют своим интерфейсом окна всех приложений в телефоне, и жертва не может пользоваться устройством до тех пор, пока не заплатит выкуп.

Главные злодеи – Small и Fusob

1 из 2

Оба трояна показывают пользователям фальшивые сообщения, в которых власти якобы обвиняют жертв в правонарушениях. Оба пишут, что, если пользователь откажется платить, против него будет возбуждено уголовное дело.

Эти троянцы предлагают следующие способы оплаты : жертвы Fusob могут отправить выкуп с помощью подарочных карт iTunes, а жертвы Small - с помощью платежной системы Qiwi или же экспресс-ваучеров MoneyPak. Скорее всего, создатели обоих троянов - это русскоговорящие киберпреступники, выбравшие совершенно разную аудиторию.

И если Fusob больше ориентирован на пользователей в Германии, Великобритании и США, то Small в основном атакует Россию, Казахстан и Украину. Троянец показывает пользователям картинку, якобы созданную правоохранительными органами, с соответствующим оформлением. На ней указаны сумма выкупа - от 700 до 3 500 рублей - и инструкции по оплате.

Существуют еще два других варианта Small. Один из них - это шифровальщик, который делает все то же, что и оригинал, но вдобавок еще шифрует файлы на SD-карте. Другой - это универсальный троянец, умеющий воровать деньги и данные и, конечно же, блокировать инфицированное устройство.

В настоящее время пользователям мобильных устройств угрожают два крупных и самых распространённых семейства троянов-вымогателей - Small и Fusob; вместе в 2015–2016 годах эти зловреды завладели 93% криминального рынка.

Виктор Чебышев

антивирусный эксперт «Лаборатории Касперского»

Перспективы мобильных вымогателей

В прошлом году «Лаборатория Касперского» зафиксировали в два раза больше программ-вымогателей для мобильных устройств, чем годом ранее. А количество атакованных ими пользователей выросло в пять раз. А в феврале 2016 года зафиксировали пик – более 29 000 пользователей хотя бы один раз были атакованы троянцами-вымогателями.

Число пользователей, столкнувшихся с мобильными программами-вымогателями хотя бы один раз с апреля 2014 г. по март 2016 г.

Не так давно в некоторых семействах троянцев-вымогателей появилась неприятная особенность – использование прав суперпользователя. Сочетание вымогательства с укоренением на устройстве даёт возможность вытянуть произвольные суммы у жертвы. Причем, жертва сама их перечислит преступникам. Кроме того, такого троянца не удалить с помощью отката к заводским настройкам. Поэтому пользователь наверняка заплатит, потому что избавиться от такого зловреда невозможно.

Редакция благодарит экспертов «Лаборатории Касперского» за помощь в подготовке материала.

Тем людям, которые активно используют сеть интернет, наверняка приходилось сталкиваться с баннерами вымогателями. А возможно даже удалось справиться с ними. Удаление такого баннера вымогателя не составит труда, при определенной сноровке.

Напомню, это вирусное программное обеспечение, основной целью которого является блокировка доступа к компьютеру (как правило, к рабочему столу), с целью заработка. Выглядит это следующим образом: пользователь просматривает нежелательные сайты в сети; через них вирус попадает на компьютер; при следующем включении ПК, доступ оказывается заблокирован — на весь экран высвечивается окно баннера; для разблокирования требуется отправить СМС на некий номер. Внешний вид и текстовое сообщение данного вируса может изменяться. Но остается основная суть — доступ к компьютеру закрыт, и от вас требуют отправить сообщение или пополнить указанный номер:

Что делать, если вас компьютер подвергся заражению

Несмотря на то, что у вас установлено антивирусное программное обеспечение, или вы стараетесь просматривать только знакомые сайты, остается вероятность того, что вы «подцепите» вирус. Но не стоит беспокоиться — программа баннер вымогатель не принесет особых хлопот в том случае, если вы знаете как с ней бороться.

Как удалять баннер вымогатель

Давайте разберемся, как удалить баннер блокера вымогателя. Существует несколько способов.

Способ первый

Известные разработчики антивирусного ПО создали специальные сервисы деблокеры, помогающие бороться с данном проблемой. Вот список самых популярных:

• http://sms.kaspersky.ru/ — Лаборатория Касперского.
• https://www.drweb.com/xperf/unlocker/ — Доктор Веб
• http://www.esetnod32.ru/support/winlock/ — Нод 32

Принцип работы у них схож — вы вводите указанный на картинке номер телефона и текст, который требуется отправить. Сервис подбирает возможные коды разблокировки. Этот метод хорошо подходит тогда, когда у вас нет под рукой специального программного обеспечения, или же когда вы не сильны в компьютерах.

Нужно заметить, что не всегда удается подобрать нужный код.

Способ второй

Если предыдущий вариант вам не подошел (отсутствовал доступ к интернету, не подошел код и т.д.), переходите к следующему шагу. Сейчас мы разберемся, как удалить баннер вымогатель с помощью безопасного режима Windows.

Напоминаю, чтобы зайти в безопасный режим, следует при загрузке ПК нажать клавишу F8 . Если все сделано верно, перед вами появится окно выбора режима загрузки. Выбирайте пункт «Безопасный режим» и щелкайте Enter.

Дождитесь пока Windows загрузится, и запускайте редактор системного реестра.

Напоминаю, как это делается. Нажимаем кнопку Пуск и пишем в строке запуска regedit , и жмем Enter для запуска. Тоже самое можно написать в строке запуска, вызвав ее нажатием клавиш Win+R . Если все верно, перед нами появится окно редактора реестра.

Нам необходимо открыть следующую ветку:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Для этого в меню навигации, расположенном слева, поочередно открываем указанные папки.

Когда дойдем до папки Winlogon, нам следует проверить корректность двух параметров:

1. Shell
2. Userinit

В параметре Shell должно быть следующее значение — explorer.exe
В Userinit — C:\Windows\System32\userinit.exe

Все должно быть в точности до одной буквы. Возможна разница в букве диска — в том случае, если система Windows у вас установлена не на диск C.
В том случае, если у вас прописаны некорректные параметры, удаляйте их и указываете верные. Для этого щелкайте два раза на строке, и с клавиатуры вводить нужные значения.

После этого закрывайте реестр, перезагружайте компьютер. Если баннера вымогателя нет — отлично. Если же не помогло, переходите к следующему варианту.

Способ третий

Вам понадобится загрузочный диск. Отлично подойдет LiveCD от Доктора веба, или Kaspersky Rescue Disk 10. Желательно подготовить их заранее, пока вам компьютер работает нормально. Следует скачать образ и записать на диск в режиме таком режиме, чтобы диск стал загрузочным. В том случае, если вы их не подготовили, и ваш компьютер оказался заражен, придется поискать рабочую машину у друзей или знакомых, и уже на ней создать загрузочный диск.

Итак, включайте компьютер, помешайте диск в CD-ROM. Предварительно нужно настроить BIOS таким образом, чтобы первичным устройством для запуска выступал именно CD-ROM. Когда система обнаружит диск, и попытается запуститься с него, вам следует подтвердить операция. Как правило, необходимо щелкнуть любую клавишу. Более подробная информация будет указана на экране.

Внешний вид оболочки немного напоминает интерфейс Windows, поэтому вы быстро разберетесь. Так, к примеру, выглядит Dr web live cd:

После того, как ПК загрузится, можно приступать к удалению программы баннера вымогателя.

Запускайте антивирусный сканер, отмечайте все системные диски, и начинайте процесс сканирования. Если будет обнаружено вредоносное ПО, его необходимо вылечить либо удалить. Как правило, этот способ позволяет практически всегда убрать баннер с вашего компьютера.

Что еще вам пригодится.