今天,我们想与您讨论一些非常顽固的技术支持骗子。在安装了一个文件(该文件是作为“PC Cleaner Pro的免费版本”提供的)后,技术支持诈骗者将尝试四种方法让你拨打他们的一个号码或使用合法的程序TeamViewer连接到他们。

我们只能猜测,如果你最终落入其中一个陷阱,他们会以何种方式试图抢劫你,但我们确信他们会尝试。

但是,如果你不落在这些伎俩的情况下,他们在他们的“商业模式”中还有更多。

安装

一开始,这看起来很像真实的东西。PC Cleaner Pro的启动屏幕和EULA看起来足够真实。除非您在表单名称中发现“Adobe”部分。

主要的警告1.

但是,即使在安装程序本身完成之前,我们也会注意到一些意想不到的事件:

  • 我们迅速提示我们将安装重新剪辑修复。

警告3.

  • 浏览器窗口与假 - BSOD类似 - 屏幕和令人担忧的弹出窗口。

警告5.

警告4.

通过取消Reimage修复安装并使用Task Manager终止iexplore进程,很容易解决这两个问题,但这还没有结束。此浏览器窗口是唯一的方法#1。

其他方法

对于弹出的其他方法,您需要多一点耐心。方法#2是一种预定的任务安装程序安装到系统上。

警告6.

如果运行此任务,T.Bat.将尝试打开一个Chrome浏览器窗口www [dot] 247emailsupport [dot] com,被中包含的“恶意网站保护”阻止必威平台APPMalwarebytes反恶意软件特优.

保护2

方法#3和#4将等待重新启动系统。为此,安装程序在注册表中创建了两个运行键:

[HKEY_LOCAL_MACHINE \软件\ WOW6432NODE \ Microsoft \ Windows \ CurrentVersion \ RUN]“TV”=“REG_SZ”,“C:\ Program Files(X86)\ PC Cleaner Pro \ TV.exe”WLRT1“=”REG_SZ“,”C:\ Program Files(x86)\ adobe \ wlrt1.exe“

TV.exe是定制版本TeamViewer,一个流行的程序提供远程支持。在这种情况下(#3如果您还在计数),它看起来像这样:

麻木4

最后但肯定并非最不重要的,WLrt1.exe是定制版本删除,一个旧程序,用于锁定计算机,以防您暂时无人看管。诈骗者设置了密码——编码并存储在文件中ClearLock.ini- 您需要解锁计算机。

如果要绕过此屏幕,请将计算机重新启动到安全模式不会激活屏幕锁,您可以删除WLrt1.exe要么ClearLock.ini(没有ClearLock.ini,ClearLock假定密码未设置)。这种方法(#4)本身就像这样:

screenlockwithbackground.

我试图到达Clearlock的出版商,但他们的网站在2012年左右消失了。我找到了该网站的此归档版本,但这并没有提供多少关于作者可能是谁的线索。我试图找到它们,因为我们认为每个安装的密码可能都是相同的。我们现在正在寻找是否可以释放一些资源来对编码进行反向工程。

编辑:密码是“microsoft”,我们尊敬的一位读者可以猜出。

多余的钱

如果我们没有报告这些骗子,并且由于他们的方法,他们的帐户被注销,那么他们每成功安装一次重影修复都会得到报酬。别客气。

他们还试图从他们的网站上获取一些广告srvjar[dot]com这也被我们的“恶意网站保护”阻止。

保护2安装程序的文件详细信息

MD5:E17C966EC5EBFED8D7C0C171D5339487.

毒蕈术结果

安装程序被检测到必威平台APP恶意软件反恶意软件作为rogue.techsupportscam.

保护1

涉及的电话号码:
1-855-441-4421
1-888-416-7172

以前由MicrosoftOfficeliveSupports [DOT] COM使用的第一个数量有很多(以前的)COM与RTECHNICALSUPPORT [DOT] COM共同使用。

如果你想知道更多关于这类骗子是如何合作的,我可以推荐这个冰破冰.

概括

作为技术支持骗子,这是一个非常持久的。用四种不同的方法引诱受害者进入陷阱是我以前从未见过的。

彼得·阿恩茨