image1 image2 image3 image1

Добро пожаловать

Новый способ деактивации?

В середине июля был обнаружен блокер Trojan-Ransom.Win32.Pihun, обладающий необычным способом разблокировки. 

 

На скриншоте видно, что у этой троянской программы есть поле для ввода кода разблокировки. Чтобы получить код, пользователь должен положить деньги на счет WebMoney. Разумеется, на квитанции, полученной после перевода денег, кода не будет, и разблокировать систему пользователь не сможет. Более того, поле для ввода кода даже не проверяется вредоносной программой.

На самом деле, для того чтобы разблокировать систему, зараженную семейством Pihun, надо кликнуть на определенную точку в окне блокера:

 

 Зачем же оставлена возможность разблокировки по клику, если о ней не сообщается пользователю? Скорее всего, автор зловреда тестировал вредоносную программу на своем компьютере и таким образом оставил возможность разблокировки для себя. Возможно, эта же причина привела к появлению упомянутого выше единого «пароля администратора» в Trojan-Ransom.Win32.Gimemo.

Mbro-конструктор

Еще одной интересной находкой стал конструктор для быстрого создания новых сборок троянцев-вымогателей семейства Trojan-Ransom.Win32.Mbro. Данное семейство примечательно тем, что заражает главную загрузочную запись MBR (Master Boot Record) и блокирует систему еще до загрузки операционной системы.

Вот как выглядит окно конструктора блокера Mbro:

 

 На скриншоте видно, что для создания вредоносной программы-блокера при помощи конструктора требуется всего лишь отредактировать текст сообщения, которое пользователь зараженного компьютера увидит на экране, ввести код разблокировки — и нажать одну кнопку.

Поскольку конструктор был выложен в общий доступ в конце июля, в начале августа появилось множество версий блокера, созданных для тестирования. Например, часто попадались образцы с телефоном XXXXXXXXXX и кодом разблокировки PaSsWoRd, которые установлены в конструкторе по умолчанию.

Встречались и креативные модификации данного блокера, созданные, видимо, для «личного пользования». Вот какое сообщение появляется на мониторе компьютера, зараженного одной из модификаций Mbro:

Скорее всего, этот файл не распространялся массово, а был сделан специально для блокировки конкретного компьютера.