- Winlock по-білоруськи
- Слід зазначити, що це - рідкісний випадок появи саме «білоруського» троянця-блокувальника, що вимагає...
26 липня 2011
Winlock по-білоруськи
Компанія ВірусБлокАда повідомляє про появу «національного» Trojan.Winlock, орієнтованого на білоруських користувачів Windows і вимагає у них передати зловмисникам деяку суму в білоруських рублях на електронний гаманець WebMoney.
Trojan.Winlock - сімейство шкідливих програм, які блокують або ускладнюють роботу з операційною системою і вимагають перерахування грошей зловмисникам за відновлення працездатності комп'ютера. Вперше з'явилися в кінці 2007 року. Широке поширення трояни-вимагачі отримали взимку 2009-2010 року, коли за даними російських антивірусних компаній виявилися заражені десятки тисяч комп'ютерів, переважно серед користувачів російськомовного Інтернету. Другий сплеск активності такого шкідливого ПО припав на весну 2010 року, про це говорить і кількість звернень до служби технічної підтримки нашої компанії.
З точки зору архітектури програмування, Trojan.Winlock реалізований досить примітивно, що характерно для всіх шкідливих програм цього сімейства.
Білоруський Winlock є виконуваний файл, написаний на мові високого рівня Borland Delphi, упакований криптор на мові програмування Visual Basic. Потрапляючи в систему, троян записує посилання на самого себе в гілці системного реєстру, яка відповідає за автозавантаження додатків. Після цього троянська програма завершує процес explorer.exe (Робочий стіл) і taskmgr.exe (Диспетчер завдань). В результаті блокується нормальна робота Windows як в звичайному, так і в безпечному режимі.
Вікно програми, що блокує Робочий стіл Windows, повідомляє про те, що:
«Ваш комп'ютер був заблокований за перегляд, копіювання і тиражування відео матеріалів містять елементи педофілії і насильства над дітьми.
Для розблокування комп'ютера Вам необхідно заплатити штраф в розмірі 100000 білоруських рублів через термінал для оплати стільникового зв'язку, або в будь-якому салоні стільникового зв'язку, або на користь нашого партнера WebMoney на рахунок ВXXXXXXXXXXXX (в розділі "Інше" або "Електронні гроші") В разі оплати суми, що дорівнює штрафу або перевищує її на фіксованому чеку терміналу буде надрукований код розблокування. Його потрібно ввести в поле в нижній частині вікна і натиснути кнопку "Розблокувати".
Якщо протягом 12 годин штраф не буде сплачено, всі дані на Вашому персональному комп'ютері, видаляється назавжди, а справа буде передана до суду для розгляду по статті 242 ч.1 КК Білорусії.
Стаття 242.1 Виготовлення та обіг матеріалів або предметів з порнографічними зображеннями неповнолітніх.
Карається позбавленням волі на строк від двох до чотирьох років, або без такого. »
Слід зазначити, що це - рідкісний випадок появи саме «білоруського» троянця-блокувальника, що вимагає від користувача перевести деяку суму на електронний гаманець WebMoney. Код розблокування троянця - 079156005.
Нагадуємо ще раз, що робити в разі зараження Trojan.Winlock:
- Ні в якому разі не можна виконувати вимоги зловмисників. У переважній більшості випадків після відправки SMS обіцяний код розблокування не приходить.
- У разі пропонованої оплати по SMS можна зателефонувати в службу підтримки контент-агрегатор, якому належить номер. Часто вони можуть повідомити код розблокування.
- Якщо троянська програма блокує доступ до певних ресурсів Інтернет (зазвичай до популярних соціальних мереж і сайтів з антивірусним ПЗ), необхідно видалити зайві записи (крім рядка «127.0.0.1 localhost») з файлу C: \ Windows \ System32 \ drivers \ etc \ hosts і очистити кеш DNS (командою «ipconfig / flushdns» від імені адміністратора), а також очистити cookies і кеш в браузері.
- При повному блокуванні можна завантажитися в систему за допомогою рятувального образ Vba32 Rescue , Який можна безкоштовно завантажити, записати на компакт диск і видалити троян за допомогою антивірусної програми.
- Відкрити диспетчер задач (якщо це можливо). Подивитися процеси на предмет підозрілих. Спробувати завершити процес. Швидше за все, процес перезапуститься. Перезавантажитися в безпечному режимі і видалити програму вручну.