Так уж повелось, что пользователей Windows очень часто атакуют вирусы, вредоносные программы. И снова в сети новый вирус выманивает деньги за несуществующее программное обеспечение.
Несколько дней назад исследователь безопасности из компании Malwarebytes Питер Арнтц (Pieter Arntz) обнаружил новую мошенническую схему, в рамках которой мошенники используют сообщение об ошибке и поддельное приложение Troubleshooter for Windows, чтобы обманом заставить пользователя купить несуществующее ПО Windows Defender Essentials за $25. В качестве метода оплаты пользователям предлагается использовать PayPal.
Как происходит заражение
Мошенники подделывают средство устранения проблем с «синим экраном смерти». Вместо того, чтобы предоставлять доступ к защищенной авторским правом программе, он устанавливает поддельный сайт с технической поддержкой на компьютере. Когда программа установки будет запущена, она загрузит различные исполняемые файлы с сайта hitechnovation.com и сохранит их в разных папках. Затем он настроит один из этих файлов как службу Windows, чтобы он автоматически запускал и редактировал некоторые записи реестра, для отключения различных горячих клавиш. Так, в частности, при запуске установщика на компьютер пользователя загружается 4 исполняемых файла: BSOD.exe (поддельное предупреждение о сбое), troubleshoot.exe (фальшивый инструмент для устранения неполадок), scshtrv.exe (делает снимок экрана жертвы) и adwizz.exe (показывает рекламные объявления).
После загрузки файлов программа BSOD.exe отобразит поддельный BSOD на рабочем столе, в котором говорится, что есть проблема с файлом system32.dll и снова будет воспроизводить раздражающий звуковой сигнал.
Затем программа Troubleshoot.exe запустится и отобразит окно под названием «Устранение неполадок Windows». Эта программа претендует на роль средства устранения неполадок Windows, в котором указано, что на компьютере отсутствуют файлы реестра «.dll», и предлагается начать поиск и устранение неисправностей компьютера.
Когда вы приступите к устранению неполадок, он будет притворяться, что выполняет сканирование, в котором говорится, что он не может исправить обнаруженные проблемы.
Затем он предлагает вам либо обратиться в службу поддержки с помощью включенной чат-программы, либо приобрести «Защитник Windows Essentials» с помощью PayPal. Если нажать на опцию Купить Windows Defender Essentials, то откроет страницу PayPal, где они запросят покупку программы за $25.
Если пользователь производит платеж, он будет перенаправлен на http://hitechnovation.com/thankyou.txt, который содержит строку «thankuhitechnovation». Когда программа обнаруживает эту конкретную строку, она открывает новый экран, который претендует на исправление проблем и позволяет закрыть программу.
Естественно, вы увидите сообщение, что типа всё в порядке. На самом деле никаких проблем у вас не было, но $25 уже не вернете.
Как защититься от вируса?
Оказалось, что обмануть вредоносное программное обеспечение очень легко. Достаточно, при появлении страницы с реквизитами PayPal, нажать на Ctrl + O для открытия диалогового окна и ввести адрес http:/ /hitechnovation.com/thankyou.txt. После данного действия вредоносная программа посчитает, что вы с ними расплатились и выключится.
Исследователи также отметили, что есть еще одна неприятная особенность этой мошеннической технической поддержки. Её суть заключается в том, что вирус создаст скриншот активного экрана жертвы и выведет его на FTP-сервер в 182.50.132.48 с использованием жестко закодированных учетных данных. Для чего он это делает, так и остается тайной. Но есть предположение, что для шантажа, кражи личных данных или обнаружения детекторов безопасности. Будьте внимательны в сети!!!
Источник: Bleeping Computer
