В последнее время активизировались всякого рода лохотронщики (кризис, ёпт), но на один из способов развода хочу обратить особенное внимание. Суть в следующем: экран компьютера блокируется и вместо рабочего стола мы видим милое приглашение отправить свои кровно заработанные деньги незнакомым гомосексуалистам.

Насколько я знаю, уже сейчас существует несколько вариаций на тему, отличающихся методами блокировки компьютера и номерами СМС. Я опишу случай, с которым столкнулся лично я (без паники, виндуз у меня давно не живёт, меня просто попросили помочь).

Итак, лохотронщики за работой:

Здесь полноценный скриншот. Он в большем разрешении, поэтому даю как ссылку. Обратите внимание, что от запуска к запуску сообщение меняется.

Как распознать

С вас просят деньги, в принципе этого достаточно.

В смысле дизайна на виндуз здесь похож только радикально синий фон. Шрифт отличается от шрифта системных сообщений. По тексту полно орфографических ошибок: «не_лицензионным», «ключём», «полуения», и т.д. Полно логических ошибок: нелицензионный драйвер, ага, был «обезврежен» системой, угу, на стеке ядра, да. Предлагают активировать драйвер (!) с диска, а кнопки для активации нет.

Не хочу никого обидеть, но любому здравомыслящему человеку ещё пять предложений назад стало понятно, что никакое это не системное сообщение.

Как работает

Да, используется уязвимость Internet Explorer.

Если зайти на вредительский сайт Internet Explorer-ом, вам в компьютер загрузится файл NTDETECT.EXE и ляжет рядом с системным файлом NTDETECT.COM в корне загрузочного диска (как правило, C:\). Будет сразу осуществлён его запуск.

При первом запуске создаётся ключ в реестре:

<>[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]


<>"хаотичный_набор_букв"="C:\\NTDETECT.EXE"


<>

что обеспечивает последующие запуски при каждой загрузке.

Также будет пропатчен файл NTDETECT.COM для того, чтобы убрать возможность загрузки системы в безопасном режиме.

Как лечить

Не отправляйте SMS, никакие коды вам не придут :)

NTDETECT.EXE не пытается себя размножить (вроде бы), не препятствует работе Windows, поэтому антивирусы его пока не определяют. Ведь это и не вирус, в общем понимании этого термина. Программа «всего лишь» выводит своё окно поверх всего остального и перехватывает почти все сочетания клавиш.

Из самой системы избавиться от проблемы не получится (из-за перехватывания клавиатуры и невозможности запуска безопасного режима), по крайней мере я такой способ не нашёл. Поэтому необходимо воспользоваться любой «живой» (Live) операционной системой. То есть системой, способной запускаться с компакт-диска или флешки, без использования жёсткого диска.

Лично я взял Canonical Ubuntu 8.04.2 Desktop i386. Вот прямая ссылка для скачивания образа CD.

Как вариант, можно использовать Windows Live CD или сборку Windows Bart PE.

Последовательность действий:

1. Загружаемся с Live OS
2. Удаляем файл C:\NTDETECT.EXE
3. Перезагружаемся. Система загрузится нормально, но файл NTDETECT.COM пока ещё испорчен
4. Ставим диск с Windows XP в дисковод компакт-дисков
5. Запускаем оболочку запуска команд Пуск → Выполнить
6. Вводим sfc /scannow (проверка целостности файлов Windows)
7. Запускаем редактор реестра (Пуск → Выполнить → regedit)
8. Идём в реестре по адресу HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и удаляем параметр, содержащий NTDETECT.EXE, всю строку целиком.

Как вернуть деньги

Если вы таки отправили SMS и ждёте ключ, вам можно только позавидовать. Я тоже хотел бы верить в нелицензионные драйвера, их активацию и Деда Мороза, но увы.

Шанс вернуть деньги (а это ориентировочно 300 - 500 рублей) всё-таки есть. Не стирайте сообщение с мобильного телефона, оно может очень сильно пригодиться. Сделайте снимок экрана компьютера, наподобие того, что стоит в начале статьи.

Позвоните в абонентскую службу своего мобильного оператора, объясните ситуацию и поинтересуйтесь, кому принадлежит короткий номер, на который вы выслали сообщение. Владельцы короткого номера скорее всего не причём, узнайте их номер телефона, позвоните и снова объясните всю ситуацию. Двигайтесь по цепочке, чтобы выйти на организаторов. Если вы будете достаточно настойчивыми, то деньги вам вернут, причём возвращённая сумма может оказаться в полтора-два раза больше утраченной.

Советы

Не пользуйтесь Интернет Експлорером. Пользуйтесь Mozilla Firefox или Opera.

Никогда не отправляйте никаких сообщений на никакие короткие номера. Вообще. Безотносительно к этой теме.

Если у вас Windows, то при работе в сети обязательно пользуйтесь антивирусом. Цена любого популярного антивируса сейчас - около 1000 рублей в год и он полностью окупает свою стоимость. Советую использовать NOD32.

Пользуйтесь только лицензионным программным обеспечением. Регулярно делайте обновления.

Вобщем, вокруг кризис. Будьте бдительны.