Windows Архіви - Блог Грідінсофт

Підроблені сайти для дорослих знищують дані користувачів

Фахівці компанії Cyble виявили низку підроблених сайтів для дорослих, які розповсюджують програми-вимагачі. Проте детальний аналіз показав, що ця шкідлива програма не шифрує дані, а навмисне знищує інформацію своїх жертв.

Читайте також нашу статтю про методи, які хакери використовують для зараження програмами-вимагачами.

Точно невідомо, як оператори цієї кампанії рекламували свої сайти, але всі вони використовують імена хостів, пов’язані з еротичними фотографіями: nude-girlss.mywire[.]org, sexyphotos.kozow[.]com та sexy-photo[.]online.

Дослідники кажуть, що на таких сайтах відвідувачам автоматично пропонується завантажити файл, що виконується, з ім’ям SexyPhotos.JPG.exe, який маскується під зображення JPG. Якщо користувач спробує відкрити його, підроблений шифрувальник-вимагач розгорне в системі чотири файли – del.exe, open.exe, windll.exe і windowss.exe – а також файл avtstart.bat. у каталозі %temp%, а потім запустіть їх.

Пакетний файл прикріплюється до системи шляхом копіювання всіх чотирьох файлів, що виконуються в папку автозавантаження Windows. Потім запускається файл windowss.exe, до системи додаються три додаткові файли, включаючи windows.bat, який перейменовує файли жертви. Типи файлів та папки, на які націлено шкідливе програмне забезпечення, показані нижче.

Нагадаю, що ми також писали про сповіщення про порнографічний вірус від Microsoft.

В результаті файли користувача перейменовуються за єдиним шаблоном, наприклад, Lock_1.fille, Lock_2.fille і так далі. Хоча вміст порушених файлів не змінюється і не шифрується, жертви не можуть дізнатися про їх початкові імена.

Разом з цим у системі з’являються нотатки про викуп (файли readme.txt). У цьому повідомленні зловмисники вимагають 300 доларів у біткойнах протягом трьох днів, потім погрожують подвоїти цю суму до 600 доларів протягом семи днів, а потім викрасти всі файли жертви до свого сервера.

Як пояснюють дослідники, цей шкідник взагалі не виконує шифрування файлів, тільки перейменовує їх. Тому автори цієї шкідливої програми навряд чи мають інструмент для відновлення даних. Адже шкідлива програма навіть намагається зберегти вихідні імена файлів при зараженні. Найгірше, експерти вважають, що таке навмисне спотворення даних зовсім не випадковість.

Зважаючи на все, шкідлива програма замислювалася саме як вандал, тобто така що навмисно знищує дані своїх жертв. Справа в тому, що після фальшивого шифрування шкідлива програма зазвичай намагається запустити файл dell.exe , але через помилку іменування (яка призводить до видалення dell.exe) цей крок не працює як слід. Якщо виправити помилку і запустити файл, всі логічні диски, крім диска С, будуть очищені.

Аналітики Cyble відзначають, що єдиний можливий спосіб відновити дані після атаки цієї шкідливої програми – відкат ОС на попередню контрольну точку, оскільки фейковий вимагач не видаляє тіньові копії. Розповсюдження вірусів-вандалів під виглядом вимагача – це досить рідка тактика, однак не є новинкою. Так, шифрувальник HiddenTear у своїх перших варіантах був саме вірусом-вандалом, незважаючи на те що первинний код цього шкідника має всі функції, потрібні для “нормальної” роботи вимагача.

Було виправлено новорічний збій в Microsoft Exchange

Корпорація Майкрософт виправила новорічну проблему Exchange, через яку відбувся збій доставки електронних листів на локальних серверах Microsoft Exchange. Саме в новорічну ніч адміністратори по всьому світу виявили, що сервери чомусь не можуть доставляти електронні листи. Натомість листи висіли в чергах, а журнал подій Windows повідомляв про помилку. Поки що Microsoft випустила тимчасове виправлення, що вимагатиме від користувачів виконання дій клієнта. Наразі ж компанія працює над оновленням, яке автоматично виправить проблему.

«Ми вирішили проблему, через яку стало неможливим відправлення повідомлень, які натомість лишалися в чергах на відправку на локальних серверах Exchange Server 2016 та Exchange Server 2019. Проблема пов’язана з помилкою перевірки дати, що сталася через зміну року. Це не була проблема з антивірусним сканером. Ніяких проблем з безпекою не було спостережено», – пояснила компанія у своєму блозі.

Проблема виникла, коли Microsoft Exchange перевірив версію механізму антивірусного сканування FIP-FS і спробував зберегти дату в підписаній змінній int32. Але згадану змінну можна було зберегти лише за максимального значення 2 147 483 647. І це менше, ніж нове значення дати 2 201 010 001 для 1 січня 2022 року, опівночі. Через це антивірусне програмне забезпечення дало збій і всі електронні листи відправлялися в черги.

Було виправлено новорічний збій в Microsoft Exchange — Одна з помилок, що повідомляв журнал подій Windows

Як тимчасове рішення, Microsoft випустили скрипт PowerShell

Як тимчасове вирішення, Microsoft випустили скрипт PowerShell під назвою “Reset-ScanEngineVersion.ps1”. Після виконання він зупинить служби Microsoft Filtering Management та Microsoft Exchange Transport, видалить старі файли AV-системи та завантажить новий AV-прилаштунок. Щоб запустити автоматизований скрипт, користувач повинен виконати наступні кроки на кожному локальному сервері Microsoft Exchange у своїй організації:

Перейти до https://aka.ms/ResetScanEngineVersion і завантажити скрипт Reset-ScanEngineVersion.ps1;

Відкрити вищу оболонку керування Exchange;

Запустити Set-ExecutionPolicy -ExecutionPolicy RemoteSigned, змінивши політику виконання для скриптів PowerShell;

Виконати скрипт;

Якщо ви вимкнули його раніше, увімкніть механізм сканування за допомогою скрипту Enable-AntimalwareScanning.ps1.

Після виконання таких кроків усі електронні листи будуть доставлені через деякий час. Все залежить від кількості надісланих електронних листів у чергах. Microsoft додала, що новий механізм AV-сканування матиме номер версії 2112330001. Тепер він посилається на неіснуючі дати, і адміністратори можуть більше не хвилюватися. Крім того, механізм сканування продовжуватиме отримувати оновлення в цій новій послідовності.

Ви також можете виконати ці дії вручну, але в будь-якому випадку вони мають бути виконані на кожному локальному сервері Exchange 2016 і Exchange 2019 у вашій організації. У випадку автоматизованого скрипту його можна виконати на різних серверах паралельно. Крім того, виконання скрипту може зайняти деякий час залежно від розміру організації.

Як видалити SaveFrom.net?

І знову вашим комп’ютером стали прокочуватися просто таки незліченні орди реклами. Але ви звісно зайшли туди куди треба, бо ми вже підготували для вас покрокову інструкцію як позбутися такої неприємності як поп-ап реклама від SaveFrom.net. Перед тим як перейти до безпосереднього наполегливо радимо не клікати на жодні з повідомлень, що з’являтимуться у вашому комп’ютері. Адже це часто призводить лише до зайвих проблем.

Таким нехитрим способом, розрахованим чисто на людську цікавість ви можете, не хотячи того, встановити собі на комп’ютер крім звісно дрібних шкідливих програм, ще й інші більш серйозніші неприємності. Окрім реклами вірус може генерувати фейкові повідомлення про загрози, що становлять окрему небезпеку, якщо відповідати на них.

SaveFrom. net пропонує послуги завантаження відео, для цього ви маєте вставити посилання на відео, яке хочете завантажити у відповідний рядок. Додатково ви ще можете обрати формат в якому ви б хотіли його завантажити. Одразу сайт пропонує вам ще додатково завантажити програмне забезпечення, яке пропонує SaveFrom.net. Спеціалісти з кібербезпеки говорять, що фактично сайт через пропоноване ним програмне забезпечення розповсюджує рекламу.

Також користувач може випадково дозволити такому сайту показувати рекламу, клікнувши дозволити у вікні, що з’являється згодом під час перебування користувача на сайті. І таким способом набридлива реклама теж прокрадається на ваш комп’ютер. Варто зауважити, що крім сайту вірус SaveFrom.net також потрапляє до користувачів і через пакети зазвичай безкоштовного програмного забезпечення. Тому для тих хто ніколи не користувався SaveFrom.net ми наведемо програми, які сам сайт рекламує і які потім і генерують рекламу:

Ummy Video Converter;
Ummy Radio Player;
VPD: Best Video Downloader;
Televzr Downloader;
SaveFrom.net Helper – MeddleMonkey (розширення для браузера Chrome);

Коли будете проходити перший спосіб інструкції як позбутися SaveFrom.net шукайте саме такі програми на вашому комп’ютері. Сам собою SaveFrom.net не є небезпечним, а скоріше обридливим. Проте радимо уникати і йому подібних сайтів як ytmp3.cc, y2mate.com та інші. Все ж користуючись сервісом цього сайту, не давайте свого дозволу у спливаючому вікні.

Внизу ви знайдете повні інструкції про те, як видалити SaveFrom. net з Віндовс та найпопулярніших браузерів. На майбутнє ми ще радимо потурбуватися про встановлення якісного антивірусного програмного забезпечення для уникнення цих та інших випадків. Тому, що навіть така безневинна дрібнота як SaveFrom.net опріч викидання безмежної кількості реклами, збирає пов’язану з вашим браузером інформацію.

Як видалити SaveFrom.net з Віндовс?

Клацніть правою кнопкою миші програму та виберіть Видалити (Uninstall).
За необхідності підтвердіть свою дію в службі захисту користувачів (User Account Control).
Дочекайтеся завершення процесу видалення та натисніть OK.

Як видалити SaveFrom.net з Google Chrome?

Видаліть шкідливі розширення з Google Chrome:

Відкрийте Google Chrome, натисніть Меню (Три вертикальні точки у верхньому правому куті) і виберіть Інші інструменти (More tools). Натисніть Розширення
(Extensions).
У відкритій вкладці ви побачите всі встановлені на браузері розширення. Видаліть всі підозрілі плагіни, які можуть бути пов’язані з небажаною програмою, натиснувши Видалити (Remove).

Змініть налаштування стартової сторінки:

В адресному рядку Chrome введіть chrome://settings і натисніть Enter.
Прокрутіть униз до розділу Під час запуску( On the startup).

Перевірте наявність підозрілих розширень, які контролюють ці налаштування, і вимкніть їх.

Крім того, за допомогою цих налаштувань ви можете налаштувати браузер на відкриття певної сторінки або набору сторінок.
Просто виберіть цей параметр, натисніть Додати нову сторінку (Add new page), введіть бажану URL-адресу (наприклад, www.google.com) і натисніть Додати.(Add)

Змініть налаштування пошуку за замовчуванням:

У рядку URL-адреси Chrome введіть chrome://settings/searchEngines і натисніть Enter.

Клацніть три крапки поруч і виберіть Зробити за замовчуванням (Make default).

Нарешті, перегляньте список і видаліть підозрілі записи. Клацніть правою кнопкою миші три точки та виберіть Видалити(Remove).

Видаліть push-сповіщення з Chrome:
У Google Chrome натисніть Меню (стрілка вгору) у верхньому правому куті вікна.

Виберіть Налаштування (Settings)

Перейдіть до Конфіденційність та безпек (Privacy and Security); Налаштування сайту (Site Settings).
Відкрийте Сповіщення. (Notifications)

Тут перейдіть до списку дозволів і визначте підозрілі URL-адреси.

Ви можете заблокувати або видалити, натиснувши три вертикальні точки праворуч від URL-адреси.
Проте ми пропонуємо обрати параметр Блокувати, щоб сайт більше не просив вас увімкнути сповіщення, якщо ви коли-небудь відвідаєте його знову.

Скиньте налаштування Google Chrome:

Якщо попередні методи вам не допомогли, скиньте налаштування Google Chrome, щоб усунути всі небажані компоненти:

Натисніть Меню та виберіть Налаштування (Setting).
Прокрутіть вниз і знайдіть розділ Скидання налаштувань та очищення даних (Reset and clean up).
Тепер натисніть Відновити налаштування до початкових за замовчуванням (Restore settings to their original defaults).
Підтвердьте Скинути налаштування (Reset setting).

Як видалити SaveFrom.net з браузера Mozilla Firefox (FF)?

Видаліть небезпечні розширення:

Відкрийте браузер Mozilla Firefox і натисніть Меню (три горизонтальні лінії у верхньому правому куті вікна).

Виберіть Додатки (Add-ons and themes).
Тут виберіть підозрілий на вигляд плагін і натисніть Видалити (Remove).

Змініть домашню сторінку Firefox:

В адресному рядку Firefox введіть about:preferences і натисніть Enter.

Подивіться ліворуч і натисніть вкладку Головна (Home).

Тут або видаліть підозрілу URL-адресу та введіть,або вставте URL-адресу веб-сайту, який ви хочете встановити як домашню сторінку.

Змініть налаштування в Firefox:

Введіть about:config в адресному рядку Firefox і натисніть Enter.

Натисніть Я приймаю ризик! (Proceed with Caution), щоб продовжити.

Тут введіть шкідницьку URL-адресу

Клацніть правою кнопкою миші кожне значення, яке містить його, і виберіть Скинути (Reset).

Видаліть дратівливі push-повідомлення з Firefox:

У Mozilla Firefox натисніть Меню (три горизонтальні смуги) у верхньому правому куті вікна, а потім виберіть Параметри (Settings).

Натисніть Конфіденційність та безпека (Privacy and Security), а потім прокрутіть униз до розділу Дозволи (Allow).

Тут знайдіть Сповіщення (Notifications) та натисніть кнопку Налаштування (Settings) поруч із ним.

Визначте всі невідомі URL-адреси та виберіть Заблокувати (Block).

Після цього натисніть Зберегти зміни (Save changes).

Скиньте налаштування Mozilla Firefox:

Якщо очищення даних браузера, як описано вище, не допомогло, спробуйте скинути налаштування Mozilla Firefox:

Відкрийте браузер Mozilla Firefox і натисніть Меню (Три горизонтальних риски в правому верхньому кутку).

Перейдіть до Довідки (Help), а потім виберіть Усунення несправностей (More troubleshooting information).

Натисніть Оновити Firefox ( Refresh Firefox).

Підтвердіть свою дію, натиснувши ще раз у спливаючому вікні Оновити Firefox ( Refresh Firefox).

Як видалити SaveFrom.net з MS Edge?

Видаліть розширення з MS Edge :

Відкрийте Edge і натисніть Меню ( три горизонтальних лінії в правому верхньому кутку), знайдіть Розширення (Extensions).
Видаліть всі підозрілі на вигляд розширення, натиснувши Видалити (Remove).

Змініть початкову сторінку MS Edge та пошукову систему за замовчуванням:

Знову натисніть на три крапки та перейдіть до Налаштувань (Settings), потім Домашня сторінка, приватність та сервіси (Privacy, search and services).

Потім клацніть на URL-адреси та введіть ту, яку хочете встановити як домашню сторінку.

Потім знайдіть Керувати пошуковими системами (Manage search services).

Натисніть його.
Тут виберіть пошукову систему, яку ви бажаєте використовувати, і натисніть Встановити за замовчуванням (Make Default).

Крім того, ми рекомендуємо видалити всі інші підозрілі пошукові системи.

Вимкніть push-сповіщення в Edge:

У Microsoft Edge відкрийте Меню (Три горизонтальні точки) у верхньому правому куті екрана та натисніть Налаштування (Settings);

Натисніть на Додаткові налаштування (Cookies and site permissions).

Перейдіть до Сповіщенння (Notifications), і заблокуйте всі підозрілі сайти (Block)

Знайдіть сповіщення та видаліть всі підозрілі веб-сайти.

Очистіть кеш і дані сайту:

Натисніть Меню (Три горизонтальних лінії в правому верхньому кутку) і перейдіть до Налаштування (Settings).
Виберіть Конфіденційність та безпека (Privacy, search and services).
У розділі Очистити дані веб-перегляду (Choose what to clear) виберіть, що саме ви збираєтеся очистити.
У розділі Часовий діапазон (Time Range) виберіть Весь час (All time).

Як видалити Mail Ru?

Mail Ru — це взагалі, російськомовний сайт, який надає сервіс пошукової системи, проте це ще вірус, що виконує насильне перенаправлення користувача, перехоплюючи контроль над користувацьким браузером. Вірус може генерувати безкінечні рекламні оголошення, перенаправляти пошукові запити користувача на інші сайти, додавати сумнівні розширення в браузері, але найголовніше ставить під загрозу конфіденційність та безпеку інформації користувача.

Mail Ru як і будь-який інший подібний вірус часто йде в одному пакеті з іншими безкоштовними програмами, і в більшості випадків таким чином потрапляє на комп’ютер користувача.

“Симптоми” присутності вірусу Mail Ru

Якщо ви помітили наступні “симптоми” на своєму комп’ютері, то це певна ознака присутності потенційно небажаної програми:

Змінилися домашня сторінка та URL нових вкладок браузера. Всі ваші пошукові запити мають, наприклад замість google.com mail.ru ;

Масово почала з’являтися різноманітна реклама на відвідуваних сайтах;

Всілякі намагання змінити що-небудь у налаштуваннях враженого браузера закінчуються знову поверненням до встановленої вірусом домашньої сторінки;

Як результат свого пошукового запиту ви почали отримувати посилання на сайти, які сумнівно мають щось спільне з тим, що шукалось.

Звісно найкраще вирішення проблеми, це її перш за все уникнути. А саме перед тим, як ви щось завантажуєте (особливо це стосується безкоштовного програмного забезпечення) з мережі, уважно прочитайте положення ліцензійної угоди з кінцевим користувачем (End User License Agreement, EULA). Багато неприємностей, що стосуються потенційно небажаного програмного забезпечення починаються саме звідси, коли користувач елементарно не перевірив, що саме він збирається завантажити на свій комп’ютер.

Mail Ru — це, як вже писалось, російський сайт, але це не означає, що ви можете підхопити цей вірус, якщо живете в цьому конкретному регіоні, відвідуєте російські сайти чи користуєтеся програмним забезпеченням створеним в цій країні. Насправді Mail Ru “подорожує” з різного сорту програмним забезпеченням, виконуючи свою шкідливу дію, як тільки потрапляє на чийсь комп’ютер.

Внизу ми підготували покрокові інструкції як позбутися Mail Ru на вашому комп’ютері. Також зверніть увагу, що вірус може ховатися за буквально будь-якою програмою і більша частина повторних заражень відбувається саме від того, що видалення проведено не повністю. Для цього наполегливо рекомендуємо додатково провести скан відповідним програмним забезпеченням.

Як видалити Mail Ru з операційної системи Windows?

Введіть Панель керування (Control Panel) у вікні пошуку Windows і натисніть Enter, або натисніть на результат пошуку.
Знайдіть розділ Керування програмами (Programs and Features).
Клацніть правою кнопкою миші програму та виберіть Видалити (Uninstall).
За необхідності підтвердіть свою дію в службі захисту користувачів (User Account Control).
Дочекайтеся завершення процесу видалення та натисніть OK.

Як видалити Mail Ru з MS Edge?

Видаліть розширення з MS Edge :

Відкрийте Edge і натисніть Меню ( три горизонтальних лінії в правому верхньому кутку).
Знайдіть Розширення (Extensions).
Видаліть всі підозрілі на вигляд розширення, натиснувши Видалити (Remove).

Очистіть кеш і дані сайту:

Скиньте налаштування MS Edge:

Натисніть на Меню та виберіть Налаштування (Settings).
Зліва виберіть Скинути налаштування ( Reset settings).
Виберіть Відновити налаштування до значень за замовчуванням (Restore settings to their default values).
Підтвердьте дію (Reset).

Як видалити Mail Ru з браузера Mozilla Firefox (FF)?

Видаліть небезпечні розширення:

Відкрийте браузер Mozilla Firefox і натисніть Меню (три горизонтальні лінії у верхньому правому куті вікна).

Виберіть Додатки (Add-ons and themes).
Тут виберіть підозрілий на вигляд плагін і натисніть Видалити (Remove).

Очистіть дані:

Натисніть три горизонтальні лінії у верхньому правому куті, щоб відкрити меню.
Виберіть Параметри (Settings).

Перейдіть до розділу Конфіденційність та безпека (Privacy and Security).
Прокрутіть униз, щоб знайти файли cookie та дані сайту.
Натисніть Очистити дані (Clear Data).
Виберіть файли cookie та дані сайту, а також кешований веб-вміст і натисніть Очистити (Clear).
Скиньте налаштування Mozilla Firefox:

Якщо очищення даних браузера, як описано вище, не допомогло, спробуйте скинути налаштування Mozilla Firefox:

Відкрийте браузер Mozilla Firefox і натисніть Меню (Три горизонтальних риски в правому верхньому кутку).

Перейдіть до Довідки (Help), а потім виберіть Усунення несправностей (More troubleshooting information).
Натисніть Оновити Firefox ( Refresh Firefox).
Підтвердіть свою дію, натиснувши ще раз у спливаючому вікні Оновити Firefox ( Refresh Firefox).

Як видалити Mail Ru з Google Chrome?

Видаліть шкідливі розширення з Google Chrome:

Очистіть кеш і веб-дані з Chrome:

Натисніть Меню та виберіть Налаштування (Settings).
У розділі Конфіденційність та безпека (Privacy and Security) виберіть Очистити дані веб-перегляду (Clear browsing data).

Виберіть Історія перегляду, файли cookie та інші дані сайту, а також кешовані зображення та файли.
Натисніть Очистити дані (Clear data).
Скиньте налаштування Google Chrome: