Отправил на virus@nanoav.ru архив vir.rar. В архиве сам блокировщик, 22CC6C32.exe, и изменненные им файлы userinit.exe и vhosts.exe. Касперский в измененных файлах находит троянов(vhosts.exe - packed.Win32.Krap.y и userinit.exe - Trojan-Ransom.Win32.PornoAsset.sk), НаноАВ их же благополучно пропускает, как чистые.Так же в архиве дополнительные файлы: 03014D3F.exe и lBBBBBRRRRR.exe - читая инфу по данной разновиности блокировщика, люди пишут, что эти файлы также являются частью вируса. Хотя онлайн проверка у касперского не ругается на файл 03014D3F.exe.
Я руками поборол эту заразу, но не совсем корректно. У меня теперь винда стартует и висит пустой экран, нужно нажать Ctrl+Alt+Del и запустить процесс explorer тогда все работает корректно, видать чего то снес лишнего, когда чистил. Данная разновидность блокировщика довольно злобная - он меняет файл userinit.exe и просто так от блокировщика не избавиться. Если кому будет интересна технология ручной чистки винды от подобной гадости, могу попытаться написать небольшой мануал.

Здравствуйте, Viha.

Спасибо за образцы. Файлы переданы для последующего анализа. Кстати, один из них (03014D3F.exe) действительно чистый - вероятно, это резервная копия оригинального userinit.exe

Посмотрел содержимое этого файла простым текстовым редактором. Похоже на правду, что это оригинальный userinit.exe. Вот только дата изменения файла довольно давняя. Сегодня попробую его подкинуть вместо того, что сейчас лежит, тогда смогу что то более интересное ответить.

Спасибо за подсказку. Файл действительно оказался оригинальным userinit.exe. Подложив его, получил полностью свою рабочую систему Единственное НО - почему то вдруг винда стала конфликтовать с DAEMON Tools Lite. Конкретней - при перезагрузке поймал BSOD. Поковырявшись в инете по номерам ошибок, нашел, что ошибка 0x0000007E может быть связана с драйверами устройств. Не придумал ничего лучше, как полезть в WINDOWS/SYSTEM32/DRIVERS/ и снести там последний драйвер, отсортировав их по времени создания. Этим драйвером оказался SPTD.SYS. При установке демона есть выбор функции установки этого драйвера - "SPTD 1.76 - Расширенная эмуляция". Мне он собственно не особо и нужен, да и скорее всего версия самого демона и эмулятора не самые новые. В целом спасибо за быструю и продуктивную работу. Ждем каких нибудь известий по поводу предоставленного блокировщика-вымогателя.

Добрый день Я опять со своими баранами... Сегодня ночью опять вскочил этот блокировщик... Самое интересное - имя файла точно такое же, а вот сигнатуры похоже изменились, потому что НаноАВ его спокойно пропустил. Отправил на virus@nanoav.ru письмо с темой "И снова он же..." в письме есть ссылка на эту тему на форуме. В прикрепленном архиве папка с набором файлов. Вот только "lici[1].js" и "jar_cache3867679558782781390.tmp" могут быть и не связаны с вирусом, но они появились на компе примерно в одно время с вирусом, так что шанс на их причастность довольно высок. Вирус проскакивает, скорее всего, при выполнении какого ява-скрипта, перед самым появлением блокировщика проскочило 2 коммандных окна. Но они были мелкие и проскочили быстро, так что даже не успел глянуть что и как. Жаль только сейчас догадался настроить запись логов в файл в anvir. Если ситуация повторится то хотя бы можно будет глянуть какие скрипты запускались на выполнение и их предоставить так же в лабораторию.

Здравствуйте, Viha.

Действительно, присланные вами файлы ранее не попадали к нам. Файлы переданы для последующего анализа вирусным аналитикам. Кстати, все файлы, кроме "lici[1].js" - это один и тот же файл с разными именами.

Спасибо.

Ну оно понятно, что "lici[1].js" не похож на остальные, это же скрипт. Просто я особо не ковырялся в его работе, возможно именно он производит загрузку и запуск вируса, поэтому и выслал его для проверки.

Отправил на virus@nanoav.ru новую партию файлов в архиве 20110624.rar со стандартным паролем. Все то же самое что и раньше, но НаноАВ не определяет их как вирус. Добавил парочку темповых файлов jar_cache* скорее всего они имеют какое то отношение к вирусу (время появления на компьютере совпадает и, судя по данным, которые Винда позволяет посмотреть в свойствах файлов, это либо темповые файлы самого вируса, пока он на комп загружался, либо что то к нему привязанное очень плотно).

Здравствуйте, Viha.

Спасибо за присланные образцы. С текущими базами зараза уже определяется как "Trojan.Binary.Win32.Winlock.bew".

Есть ли в NANO данные образцы новых локеров:?

"Тренд сезона — запись в MBR"

"Теперь давайте обратим свой взгляд на угрозы для настольных ПК. Наиболее «модная» тенденция нынешнего июня — это появление большого количества различных вредоносных программ, использующих для реализации атак на зараженную систему модификацию загрузочной записи.

Ярчайшим представителем данного «племени» вредоносного ПО является троянец Trojan.MBRlock — вымогатель, изменяющий главную загрузочную запись (Master Boot Record), делая невозможным запуск ОС Windows. На сегодняшний день в вирусные базы добавлено порядка 40 модификаций этого троянца.

После запуска Trojan.MBRlock вносит изменения в Master Boot Record, однако оригинальная загрузочная запись и таблицы разделов обычно сохраняются. При каждом последующем включении питания компьютера троянец блокирует загрузку операционной системы, считывает из соседних секторов жесткого диска в память основной код и демонстрирует на экране требование пополнить счет мобильного телефона одного из российских сотовых операторов. Следует отметить, что, как и в случае с первыми «винлоками», спустя несколько дней после своего первого появления на компьютере пользователя Trojan.MBRlock, как правило, самостоятельно деактивируется и перестает препятствовать загрузке Windows. "