Трояны-вымогатели снова «орудуют» на компьютерах белорусов


В прошлом году белорусская антивирусная компания «ВирусБлокАда» сообщала о появлении «национального» Trojan.Winlock, ориентированного на белорусских пользователей Windows и требующего у них передать злоумышленникам некоторую сумму в белорусских рублях на электронный кошелек WebMoney. Сегодня наблюдается новый всплеск активности троянов-вымогателей.

Увеличилось количество обращений с проблемой блокировки ОС Windows в службу технической поддержки антивирусной компании «ВирусБлокАда». В большинстве случаев заражение произошло после посещения таких популярных социальных сетей, как odnoklassniki.ru, vk.com и др. Используя методы социальной инженерии, злоумышленники вынуждают пользователя действовать по собственному сценарию: открывать зараженные файлы (документ, Flash-ролик), переходить по сомнительным ссылкам и устанавливать на компьютер вирусное ПО под видом легальных приложений, вводить данные своих учетных записей или кредитных карт на поддельных сайтах.

Для того, чтобы попасть в систему, троян-вымогатель использует уязвимость в Adobe Flash. Несвоевременное обновление сторонних приложений (Adobe Flash, Java и др.) стало главной причиной заражения компьютеров с ОС Windows вредоносными программами.

Trojan.Winlock - семейство вредоносных программ, которые блокируют или затрудняют работу с операционной системой и требуют перечисления денег злоумышленникам за восстановление работоспособности компьютера. Впервые появились в конце 2007 года. Широкое распространение трояны-вымогатели получили зимой 2009-2010 года, когда по данным российских антивирусных компаний оказались заражены десятки тысяч компьютеров, преимущественно среди пользователей русскоязычного Интернета. Второй всплеск активности такого вредоносного ПО пришелся на весну 2010 года, об этом говорит и количество обращений в службу технической поддержки нашей компании.

Белорусские пользователи в последние дни жалуются на новый троян-вымогатель: он блокирует компьютер и предлагает перевести на счёт EasyPay 100 000 рублей. Номер счёта выбирается случайным образом из 32013809, 32016695, 32018493.

В диалоговом окне сообщается, что компьютер заблокирован якобы за просмотр детского гей-порно. Деньги предлагается перевести в течение 12 часов — в этом случае хозяин «избежит» удаления данных с жёстких дисков, и «дело» владельца ПК будет удалено из архива МВД Республики Беларуси.

С точки зрения архитектуры программирования, Trojan.Winlock реализован достаточно примитивно, что характерно для всех вредоносных программ этого семейства.

Белорусский Winlock представляет собой исполняемый файл размером 744 960 байт, написанный на языке высокого уровня Borland Delphi, упакован безымянным криптором-однодневкой. Анализ кода показывает, что Winlock был создан не ранее 16 июня этого года. Попадая в систему, троян записывает ссылку на самого себя в ветке системного реестра, которая отвечает за автозагрузку приложений (HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon, ключ Shell). В результате блокируется нормальная работа Windows.

Мошенники продолжают распространять новые модификации «белорусского» трояна-блокировщика, требующего от пользователя перевести некоторую сумму на электронный кошелёк EasyPay.

Ввести подходящий код разблокировки для данного трояна-вымогателя невозможно (код разблокировки отсутствует), поэтому любой перевод денежных средств мошенникам является вдвойне бессмысленным действием.

Как же можно избавиться от данного трояна-вымогателя? В общих чертах алгоритм лечения такой:

1. Загрузитесь с любого спасательного компакт-диска (например, с VBA32 Rescue);
2. Переименуйте файл X:windowssystem32userinit.exe в userinit.ex_ (здесь X: - имя диска с пострадавшей системой);
3. Скопируйте файл X:windowssystem32cmd.exe в X:windowssystem32userinit.exe;
4. Перезагрузите компьютер;
5. После загрузки системы у Вас должна появится командная строка, в которую следует ввести regedit;
6. Исправьте ключ реестра (с путем HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon, ключ Shell), предварительно запомнив или записав путь к файлу Winlock (значение ключа), и замените его значение на explorer.exe;
7. Закройте редактор реестра и выполните в командной строке explorer;
8. Удалите файл X:windowssystem32userinit.exe;
9. В той же папке переименуйте userinit.ex_ в userinit.exe;
10. Перезагрузите компьютер;
11. Удалите файл Winlock (путь к нему был указан в реестре)
12. Готово.

Важно:

Перед тем как перейти по сокращенной ссылке, проверьте ее с помощью сервиса расшифровки линков, например longurl.org. При расшифровке можно неприятно удивиться, узнав, что ссылка ведет на фишинговую или заражающую вирусом страницу.

Задавайте больше вопросов: получив сообщение со ссылкой в ICQ/QIP, Skype или личное сообщение в социальной сети, убедитесь, что это не автоматическая рассылка с зараженного компьютера.

Регулярно обновляйте программное обеспечение. Включите функцию автоматического обновления программного обеспечения, когда таковое доступно. К числу программ, которые необходимо своевременно обновлять, относятся: надстройки браузеров – Adobe Flash Player, Sun Java, Adobe Reader; базы и модули антивирусных программ, и, конечно же, сама операционная система Microsoft Windows.



Если вы заметили ошибку в тексте новости, пожалуйста, выделите её и нажмите Ctrl+Enter
0 баллов
--+

Комментарии:

Для добавления комментария надо зарегистрироваться и авторизоваться.
Добавить комментарий можно после авторизации через Loginza. Yandex Facebook Google Вконтакте Mail.ru Twitter Loginza MyOpenID OpenID


SEO персоны

Александр Волосевич
Компания: Best Masters
Должность: Администратор
ТОП SEO персон

SEO компании

Webcom Group
Комплексное продвижение бизнеса в интернете
ArtisMedia
Создание и продвижение сайтов, дизайн
Abiatec
Разработка и продвижение сайтов для бизнеса
ТОП SEO компаний

Популярные материалы

Михаил Райцин: ''Мы не против стать Китаем на SEO-рынке''

Михаил Райцин, мУркетолог, разработчик бирж Miralinks и WebEffector, дал специальное интервью для Raskrutka.by, где рассказал о годе трафика, WebEffector и конкурентах, а также своих увлечениях.

11.03.2010
  candy hard 23 балла 16

Извилистые пути Девушки-из-Сети

Что думает о байнете и кризисе одна из известнейших белорусских блоггерш Алена aka Девушка, живущая в Сети.

02.03.2009
  candy hard 17 баллов 12

Банковские пластиковые карты Яндекс.Деньги для белорусов: так ли все однозначно?

На прошлой неделе Яндекс запустил новую услугу – выпуск банковских пластиковых карт для Яндекс.Деньги. Об этом Raskrutka.by уже писала ранее. Несмотря на заявление о том, что пользоваться этой карточкой белорусы могут свободно, нас обуяли сомнения: все ли так однозначно?

02.05.2012
  admin 14 баллов 15

Последние вакансии

Интернет-маркетолог

Компания: ООО БелХард Девелопмент
Должность: Интернет-маркетолог
Зарплата (у.е.): По результатам собеcедования

10.10.2019

Программист

Компания: LetItBuild LLC
Должность: Программист
Зарплата (у.е.): 2000

03.12.2014

Программист

Компания: LetItBuild LLC
Должность: Программист
Зарплата (у.е.): 2000

03.12.2014