Rogue Rogue Software

295

(oprogramowanie rogue, scareware) to bezużyteczne aplikacje podszywające się pod programy zabezpieczające lub optymalizujące system. Контрафактное программное обеспечение (мошенническое программное обеспечение, scareware) – это бесполезные приложения, олицетворяющие программы безопасности или оптимизирующие систему. Чаще всего это антивирусные программы, дефрагментаторы дисков, приложения, которые удаляют недействительные записи реестра.

источники

Мошеннические программы могут быть установлены в системе различными способами. Наиболее распространенные ситуации:

  • компьютер заражен вредоносным программным обеспечением, чаще всего троянами, которые отображают сообщения об ошибках и системные инфекции. Эти сообщения находятся под влиянием страха, вызванного тем, что пользователи заставляют их загружать и покупать поддельные приложения, способные устранить все проблемы и угрозы.
  • после посещения специально подготовленного веб-сайта происходит автоматическая скрытая загрузка и установка поддельного приложения. Все делается без ведома и согласия пользователя. Этот метод называется атакой загрузки с диска .
  • в то время как на сайте нас просят установить обновление Flash или дополнительные кодеки, необходимые для воспроизведения видео онлайн. На самом деле это трояны, которые после установки загружают на компьютер мошеннические приложения.
  • компьютерные инфекции, которые олицетворяют компоненты системы. Популярным вариантом является фальшивое заражение Microsoft Security Essentials Alert , которое генерирует сообщения, имитирующие законный антивирус Microsoft Windows Security Essentials. Сообщение, очевидно, информирует об обнаружении поддельного вредоносного ПО и просит его удалить. После принятия будет проведено быстрое онлайн-сканирование и предложено установить один из антивирусов для удаления поддельных вирусов.
  • при посещении сайта нас просят выполнить онлайн-сканирование на наличие шпионских программ. Этот поддельный сканер обнаруживает вредные организмы на нашем компьютере и предлагает загрузить и установить мошеннические приложения для защиты. Вы должны знать, что это всего лишь фиктивный сканер, который дает аналогичные результаты любому, кто его использует.

    Всплывающие окна, которые сообщают, что ваш компьютер заражен, и просят вас выполнить онлайн-сканирование, представляют собой некоторые изменения

Мошеннические программы, такие как доверенные приложения, очень часто имеют свои собственные веб-сайты, которые выглядят очень надежными и часто являются копиями веб-сайтов доверенных приложений, но с измененным содержанием. Сайт информирует о приложении, дает его функциональность, позволяет загрузить его, купить «полную версию» … Однако срок службы такой страницы короткий = она становится недоступной.

Цели и действия

Основное назначение этого типа приложений – фишинг. Очень часто разработчики добиваются успеха, потому что они используют человеческую наивность и, самое главное, пугают пользователей сообщениями о проблемах безопасности на своем компьютере. Ситуация усугубляется тем, что некоторые сообщения схожи до степени смешения с сообщениями, генерируемыми доверенными приложениями. Неосведомленные пользователи, под влиянием страха и желания устранить «проблемы», вносят свои платежи. Номера кредитных карт часто украдены, а также дополнительное распространение троянов и других вредителей.

Каждое мошенническое приложение имитирует работу доверенных приложений безопасности / оптимизации системы = делает вид, что выполняет свою работу, т.е. выполняет предполагаемое сканирование на наличие вирусов, ошибок на диске или в реестре. По завершении отображается отчет, содержащий ложную информацию об обнаружении вирусов / ошибок на диске. Такое сканирование обычно выполняется очень быстро, и выявляется несколько десятков вирусов или несколько сотен ошибок в реестре и файлах на диске. А для неопытных пользователей, чем больше обнаруженных угроз, даже фиктивных, тем лучше приложение.

Чтобы решить все предполагаемые проблемы, мы призываем купить другое приложение или чаще всего «обновить до полной версии», что позволяет устранить проблемы = мы должны заплатить за удаление чего-то, чего на самом деле нет. Если вы хотите произвести оплату, откроется специально подготовленная страница.

Наихудшим типом заражения является вымогатель, который блокирует систему, не позволяющую вам использовать ваш компьютер до оплаты, например, сообщает, что все файлы на диске заражены, и призывает вас купить «чудо».

Некоторые поддельные программы даже имеют свой отдел поддержки / помощи в виде онлайн-консультантов для проверки подлинности своего продукта. Если создатели уже используют такую ​​тактику, это означает, что их бизнес для них выгоден (он нанимает людей в технический отдел) и эффективно вымогает деньги у неосведомленных пользователей.

симптомы

После установки в систему мошеннические программы начнут генерировать различные сообщения, информирующие о проблемах и угрозах. Помимо основных, ложных результатов «сканирования» в окне приложения, могут быть такие варианты:

  • полноэкранная информация о заражении. Часто такая ситуация возникает во время запуска системы, когда вместо обычного рабочего стола процесс поддельного приложения сначала запускается в полноэкранном режиме. Это также может быть окно сканирования.

    Rogue Rogue Software

  • сообщения в системном трее.

    Для поддельных антивирусов и шпионских программ это может быть информация такого типа:

    Критическое предупреждение!

    Критическая система Внимание! Ваша система, вероятно, заражена версией Trojan-Spy.HTML.Visafraud.a. Это может привести к краже паролей доступа к веб-сайту из Interner Explorer, Mozilla Firefox, Outlook и т. Д. Нажмите Да, чтобы сканировать и удалять угрозы. (рекомендуется) Предупреждение System Tool

    Ваш компьютер заражен опасными вирусами. Активируйте антивирусную защиту, чтобы предотвратить потерю данных и избежать кражи данных вашей кредитной карты.

    Нажмите здесь, чтобы активировать защиту.

    Предупреждение о шпионском ПО!

    Ваш компьютер заражен шпионским ПО. Это может повредить ваши критически важные файлы или раскрыть ваши личные данные в Интернете. Нажмите здесь, чтобы зарегистрировать свою копию ShieldSoldier и удалить шпионские угрозы с вашего компьютера.

    Rogue Rogue Software

    Поддельные программы оптимизации дисков будут генерировать такие сообщения:

    Критическая ошибка!

    Обнаружены поврежденные кластеры жесткого диска. Частные данные в опасности. Критическая ошибка

    Использование оперативной памяти критически высоко. Ошибка оперативной памяти.

    Критическая Ошибка

    Windows не может найти место на жестком диске. Ошибка жесткого диска

    Критическая ошибка!

    Windows не удалось сохранить все данные для файла System32496A8300. Данные были потеряны. Эта ошибка может быть вызвана отказом оборудования вашего компьютера.

    Восстановление системы

    Система была восстановлена ​​после критической ошибки. Требуется проверка целостности данных и целостности жесткого диска.

    Rogue Rogue Software

  • всплывающие предупреждения и оповещения о том, что на вашем компьютере есть серьезные угрозы или атака с другого компьютера. Примеры сообщений:

    Центр безопасности Оповещение!

    Оповещение о проникновении!

    Ваш компьютер атакован интернет-вирусом. Это может быть атака с кражей паролей, троянец-аналог и т.п.

    Вы хотите, чтобы SecureDefense блокировал эту атаку? Внимание!

    Ваш компьютер используется в качестве спам-машины. Вы можете получить иск за спам.

    Ваш компьютер будет отключен от интернета из-за спама на других компьютерах

    Несанкционированное удаленное соединение!

    Ваша система осуществляет несанкционированную передачу персональных данных на удаленный компьютер!

    Внимание! Обнаружена несанкционированная передача персональных данных! Это могут быть ваши личные данные кредитной карты, логины и пароли, привычки просмотра или информация о загруженных вами файлах.

    Windows обнаружила проблему с жестким диском.

    Произошла ошибка жесткого диска при запуске приложения.

    Windows не может найти блокнот. Убедитесь, что вы правильно ввели имя, а затем повторите попытку. Для поиска файла нажмите кнопку «Пуск», а затем нажмите «Поиск».

    Rogue Rogue Software

    Rogue Rogue Software

  • олицетворение компонентов системы:

    Центр обновления Windows

    Rogue Rogue Software

    Центр безопасности

    Rogue Rogue Software

Модификации в системе

После установки мошенническое программное обеспечение вносит различные изменения в реестр, файлы и системные настройки. Наиболее распространенные изменения:

  • Заражение не позволит вам скачивать файлы из Интернета или просматривать веб-сайты. Затем мы должны использовать другой компьютер. Причиной может быть установка прокси-сервера и редактирование файла HOSTS. Симптом в журналах OTL – это записи типа:

    R1 – HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings, ProxyServer = https = 127.0.0.1: 25401

    O1 – хосты: 74.125.45.100 4-open-davinci.com

  • блокировка дисковых приложений от запуска. В зависимости от типа заражения мы получим сообщение о том, что файл заражен каким-либо вредоносным ПО или сообщение об ошибке на жестком диске. Только отдельные приложения могут быть заблокированы, например, каждое, которое сканирует диск, или все. Это может быть защитой от легкого удаления инфекции.
  • приложения создают на диске новые файлы с разными именами и типами, которые будут обнаружены программой как вредоносные программы. На самом деле это безвредные элементы.
  • отключение некоторых системных инструментов, таких как диспетчер задач, редактор реестра и т. д.
  • дополнительное заражение новыми вредителями, например, троянами

удаление

Подробные инструкции по удалению поддельных приложений можно найти на специализированных сайтах. Примеры:

https://www.bleepingcomputer.com/virus-removal/

https://www.anti-malware-blog.com/

https://www.spywareremove.com/index.php

https://forums.malwarebytes.org/index.php?showforum=39&prune_day=100&sort_by=ZA&sort_key=last_post&topicfilter=all&st=0

https://siri-urz.blogspot.com/

В случаях, когда нет дополнительного заражения руткитами, очень эффективны антишпионские приложения, которые имеют возможность удалять поддельные приложения. Здесь вы должны выделить программу Malwarebytes Anti-Malware, которая является более новой версией старого приложения RogueRemover. Полное сканирование диска обнаружит и удалит все известные поддельные приложения. Для повышения эффективности удаления рекомендуется запускать сканирование в безопасном режиме. Кроме того, перед запуском приложения мы закрываем все поддельные процессы программы с помощью инструмента RKill.

Удалить поддельный антивирус

– приложение, которое удаляет наиболее распространенные поддельные антивирусы.

Восстановление повреждений, вызванных инфекцией:

  • полноэкранное сообщение

    Запуск окна в полноэкранном режиме не позволит нам получить доступ к рабочему столу и использовать компьютер. Как правило, нам приходится ждать завершения сканирования и возврата к обычному рабочему столу. Мы можем попытаться включить диспетчер задач, нажав комбинацию клавиш Ctrl, Alt и Delete и завершить процесс приложения. Окно должно закрыться. Теперь выберите меню Файл >>> Новая задача (Выполнить …) >>> введите explorer.exe, чтобы вернуть рабочий стол в нормальное состояние.

    Если во время загрузки появляется полноэкранное окно, нам нужно восстановить оболочку Explorer до ее запуска по умолчанию. Для этого мы импортируем запись в реестр:

      Редактор реестра Windows, версия 5.00
    [HKEY_CURRENT_USERSПрограммное обеспечениеMicrosoftWindows NTCurrentVersionWinlogon]
    "Shell" = -
    [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
    "Shell" = "Explorer.exe" 
  • восстановить файл HOSTS по умолчанию

    Файл HOSTS – функции и восстановление по умолчанию

    Если заражение изменило права доступа к файлу, мы не сможем удалить / изменить его. Мы готовим и запускаем файл .bat (вставляем содержимое в Блокнот и сохраняем как файл с расширением .bat):

      @ эхо выключено
    echo, Y | cacls "% WinDir% system32driversetchosts" / G каждый: f
    attrib -s -h -r "% WinDir% system32driversetchosts" 

    Файл предоставит разрешения для всех пользователей «Полный доступ» и удалит атрибуты. Мы удаляем старый файл и вставляем новый по умолчанию.

  • удаление прокси-сервера в Internet Explorer

    мы запускаем компьютер в безопасном режиме с поддержкой сети >>> запускаем Internet Explorer >>> меню Сервис >>> Свойства обозревателя >>> вкладка подключения >>> нажимаем кнопку Настройки локальной сети >>> в разделе Прокси-сервер снимите флажок Использовать прокси-сервер для LAN >>> подтвердите с помощью OK.