如果你读过关于技术支持骗子使用Winlogon Shell注册表值,您知道这是一个有效的基础知识。如果你还阅读了随访,你知道这个词有很多变体。但一个人感染另一个人,既奇怪又可怕。

让我们告诉你发生了什么。运行一个可执行文件作为“VMC Media Player”的安装程序,迎接我们的是这些提示,告诉我们将要注销-

警告1.

警告3.

- 在我们的默认浏览器中打开此站点:

警告2.

由于yolasite.com为用户提供跟踪访问者的子域,我们怀疑该网站是为了跟踪安装“软件”的人员。我们向yola报告了这个网站,正在等待答复。

此事件序列被编程在一个简单的批处理文件中,该文件打开该站点并命令计算机在5分钟内关闭。

contentbat.

受害者重新登录后,他们将面对这个假BSOD屏幕:

主要的

屏幕上的文字漫谈了很多关于错误和木马的内容,并显示了他们希望你拨打的电话号码。它还显示了一个看似无关的提示“获取产品密钥”,我们将在后面讨论,以及一个标签为“微软帮助”的按钮,打开网站www[dot] Microsoft [dot]aios[dot]us。

地点

在这里,您可以下载远程管理工具,以获得各种产品的“支持”。我们已经看到了对运行本网站及其前任至少两年的人员的投诉。该站点显示了一个提示,有点不清楚您的选项。

选择

列出的选项是“是”到“开始支持会话”或“否”到“浏览支持站点”,但是按钮被标记为“确定”和“取消”。我帮你测试过了,取消取消了弹出窗口。如果您允许出现更多弹出窗口,并点击OK几次,您最终将获得下载合法远程管理工具TeamViewer的选项。

那么第二个技术支持骗局呢?

啊,是的,让我们回到承诺给我们产品密钥的提示。

getthenext

单击此处的“确定”,您将看到一个名为License_Key.exe的文件的下载提示。

下载fromrun.

此文件已向MediaFire报告

[更新:8月9日Mediafire通知我他们已经删除了该文件]

如果你运行这个文件,你可能会得到一些déjà似喻的感觉,因为你会看到“谢谢你”提示,通知你将注销并访问另一个Yola网站,这次是thankyou1234[dot]yolasite[dot]com使用URL缩短器lnk.direct。这个网址缩短器的统计数据显示,它创建于2016年6月29日,过去一个月有1143名访问者。

游客

关于这个重复的相对好的消息是,它将为你摆脱假蓝屏,因为它会再次改变Winlogon Shell注册表值,只是替换为另一个技术支持Scammers锁定屏幕。

这次看起来很像一些早期的那个。请求“产品密钥”的电话号码和表单:

主要的

只是这一次,看起来你完全被困住了,没有任何选择。表单中需要填写的部分和“取消”按钮都没有响应,所以大多数人最终将不得不使用Ctrl-Alt-Del来摆脱这种情况。这两轮运行的进程的名称都是fatalerror(.exe)。

我们将第二个命名为“Product Key”,因为这是它在Program Files (x86)中创建的文件夹的名称。但是为了技术支持骗子的利益,这个屏幕中隐藏着一个“复活节彩蛋”。如果你点击5中的任何地方th线(以“产品密钥”字样的那个)您将转到此屏幕 -

theretheyare

- 在哪里可以选择诈骗者可以使用诈骗者来帮助您摆脱这一困境。当然的价格。

文件特征

MD5的VMC Media Player Setup.exe47 bb0a01ae8820b8664eda660aac312f

MD5的license_key.exeDFF38F5DFDEFF1E73DEBEF355C4AC13E.

两者都被Malwarebytes反恶意软件必威平台APP检测到。VMC Media Player Setup.exe为Rogue.TechSupportScam。

protection1

并将license_key.exe命名为Ransom.LockScreen。

protection1

VMC媒体播放器技术支持诈骗的清除指南可在我们的论坛上找到:VMC媒体播放器TSS产品密钥

托管多个技术支持诈骗网站的aios[dot]us域被屏蔽必威平台APP伪反恶意软件的溢价已启用恶意网站保护。

protection2

概括

技术支持诈骗者用一个登录锁定屏幕替换另一个登录锁定屏幕,这一定是试图让受害者疯狂到打电话给他们中的一个号码。

别忘了给自己省去麻烦,得到保护。

Pieter Arntz