Моя жена недавно словила винлокер. С помощью какой-то матери мне удалось получить контроль над компьютером и убрать его. Проверив винлокер на сайте касперского, узнал, что он появился в базах касперского сегодня. Точно про него еще ничего не известно.
Что известно мне:
Данная вирусня для абонентов Билайн просит отправить на номер 3116 текст 79626806360 600, для абонентов Мегафона: на номер 84444 текст 9626806340.
Либо заплатить через терминал 600 рублей на номер 89626806359.
На каком сайте вирус словлен, сейчас сказать уже не могу. Жена искала примеры презентаций PowerPoint.
Сам файл поймался через ИЕ8. Во временной папке он сохранился под именем calc.exe. С иконкой винрара, и описанием экзешника как у винрара. После запуска файл в директории %WINROOT% создает батник (RUNDLL.bat) и исполняемый файл (копия calc.exe, но на этот раз с именем nvcvc32.exe), В качестве шелла указывает explorer.exe и передает ему в качестве аргумента путь к rundll.bat.
К сожалению принтскрин вовремя сделать в голову не пришло.
На данный момент файл отправил в дрвеб, позвонил в билайн, сообщил номера.
Что бы хотелось сейчас: т.к. я не умею делать вскрытие файлов, прошу кого-нибудь исследовать винлокер, а после написать интересный топик на хабре :)
Ссылка на файл: архив винрар с паролем. Пароль: virus
Что известно мне:
Данная вирусня для абонентов Билайн просит отправить на номер 3116 текст 79626806360 600, для абонентов Мегафона: на номер 84444 текст 9626806340.
Либо заплатить через терминал 600 рублей на номер 89626806359.
На каком сайте вирус словлен, сейчас сказать уже не могу. Жена искала примеры презентаций PowerPoint.
Сам файл поймался через ИЕ8. Во временной папке он сохранился под именем calc.exe. С иконкой винрара, и описанием экзешника как у винрара. После запуска файл в директории %WINROOT% создает батник (RUNDLL.bat) и исполняемый файл (копия calc.exe, но на этот раз с именем nvcvc32.exe), В качестве шелла указывает explorer.exe и передает ему в качестве аргумента путь к rundll.bat.
К сожалению принтскрин вовремя сделать в голову не пришло.
На данный момент файл отправил в дрвеб, позвонил в билайн, сообщил номера.
Что бы хотелось сейчас: т.к. я не умею делать вскрытие файлов, прошу кого-нибудь исследовать винлокер, а после написать интересный топик на хабре :)
Ссылка на файл: архив винрар с паролем. Пароль: virus