Вкратце перевод: Ляляля тополя, Вы незаконно скачали контент с пиратского сайта и мол требуется заплатить за разрешение и штраф всего 400 долларов. Даже смета прилагается.
Далее идут угрозы, мол «нарушать не хорошо», «побойтесь бога», «а как же гражданская ответственность». Кстати все время хочу спросить, кто нибудь вообще в курсе по настоящему, «Что такое гражданская ответственность?» Никогда этого не понимал, не изучал, никто не объяснял, но знаю, что в армии и на допросах, постоянно на это давят. Хрен его знает, что это такое на самом деле. Главное все знают, что это «Ууууу», но когда реально дело доходит до трактовки, то у всех она разная. Извиняюсь, отвлекся от главной темы. Как обычно занесло.
В общем если пытаетесь отказаться от сие действа, то вам выскакивает предупреждение, мол «тебя посядЮт, а ты не воруй» © Попанов.
Пока данного рода зараза распространилась только на западе, так как российские пользователи скорее всего пошлют всех на три буквы за такую сумму, чем чего то будут предпринимать и явно заподозрят что то не ладное. А то писали тут «киношники» одно письмо. Смеялся долго. Ну как с народа пытаются в приказном порядке содрать деньги за говно-фильмы.
Симптомы трояна можно определить по следующему:
Появляется левый файлик в каталоге: %System%\c_100009.exe
Прописывает себя в реестре по следующим разделам:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process\ipconfig
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process\ipconfig\DEBUG
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKEY_LOCAL_MACHINE\SOFTWARE\qrjaslop
HKEY_CURRENT_USER\Software\qrjaslop
The newly created Registry Values are:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process\ipconfig\DEBUG]
Trace Level = ""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings]
6 = 7C 21 51 93
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
jbte = "%System%\c_100009.exe"
so that c_100009.exe runs every time Windows starts
[HKEY_LOCAL_MACHINE\SOFTWARE\qrjaslop]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
[HKEY_CURRENT_USER\Software\qrjaslop]
Также прописывается в hosts на локальной машине:
127.0.0.1 mininova.org
127.0.0.1
https://www.mininova.org
127.0.0.1 thepiratebay.org
127.0.0.1 https://3.mo.mirsudrf.ru/modules.php?nam ... urt&id=217
127.0.0.1 suprbay.org
127.0.0.1
https://www.suprbay.org
127.0.0.1 forum.mininova.org
127.0.0.1 blog.mininova.org
Тем самым перехватывая многое и сам уже обрабатывает так как ему надо.
Удачи вам и безопасного интернета.
P. S. Антивирус Касперского про заразу уже знает.
Источник:
https://www.sd-company.su/news/296
