Трояны-вымогатели снова «орудуют» на компьютерах белорусов

В прошлом году белорусская антивирусная компания «ВирусБлокАда» сообщала о появлении «национального» Trojan.Winlock, ориентированного на белорусских пользователей Windows и требующего у них передать злоумышленникам некоторую сумму в белорусских рублях на электронный кошелек WebMoney. Сегодня наблюдается новый всплеск активности троянов-вымогателей.

Увеличилось количество обращений с проблемой блокировки ОС Windows в службу технической поддержки антивирусной компании «ВирусБлокАда». В большинстве случаев заражение произошло после посещения таких популярных социальных сетей, как odnoklassniki.ru, vk.com и др. Используя методы социальной инженерии, злоумышленники вынуждают пользователя действовать по собственному сценарию: открывать зараженные файлы (документ, Flash-ролик), переходить по сомнительным ссылкам и устанавливать на компьютер вирусное ПО под видом легальных приложений, вводить данные своих учетных записей или кредитных карт на поддельных сайтах.

Для того, чтобы попасть в систему, троян-вымогатель использует уязвимость в Adobe Flash. Несвоевременное обновление сторонних приложений (Adobe Flash, Java и др.) стало главной причиной заражения компьютеров с ОС Windows вредоносными программами.

Trojan.Winlock - семейство вредоносных программ, которые блокируют или затрудняют работу с операционной системой и требуют перечисления денег злоумышленникам за восстановление работоспособности компьютера. Впервые появились в конце 2007 года. Широкое распространение трояны-вымогатели получили зимой 2009-2010 года, когда по данным российских антивирусных компаний оказались заражены десятки тысяч компьютеров, преимущественно среди пользователей русскоязычного Интернета. Второй всплеск активности такого вредоносного ПО пришелся на весну 2010 года, об этом говорит и количество обращений в службу технической поддержки нашей компании.

Белорусские пользователи в последние дни жалуются на новый троян-вымогатель: он блокирует компьютер и предлагает перевести на счёт EasyPay 100 000 рублей. Номер счёта выбирается случайным образом из 32013809, 32016695, 32018493.

В диалоговом окне сообщается, что компьютер заблокирован якобы за просмотр детского гей-порно. Деньги предлагается перевести в течение 12 часов — в этом случае хозяин «избежит» удаления данных с жёстких дисков, и «дело» владельца ПК будет удалено из архива МВД Республики Беларуси.

С точки зрения архитектуры программирования, Trojan.Winlock реализован достаточно примитивно, что характерно для всех вредоносных программ этого семейства.

Белорусский Winlock представляет собой исполняемый файл размером 744 960 байт, написанный на языке высокого уровня Borland Delphi, упакован безымянным криптором-однодневкой. Анализ кода показывает, что Winlock был создан не ранее 16 июня этого года. Попадая в систему, троян записывает ссылку на самого себя в ветке системного реестра, которая отвечает за автозагрузку приложений (HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon, ключ Shell). В результате блокируется нормальная работа Windows.

Мошенники продолжают распространять новые модификации «белорусского» трояна-блокировщика, требующего от пользователя перевести некоторую сумму на электронный кошелёк EasyPay.

Ввести подходящий код разблокировки для данного трояна-вымогателя невозможно (код разблокировки отсутствует), поэтому любой перевод денежных средств мошенникам является вдвойне бессмысленным действием.

Как же можно избавиться от данного трояна-вымогателя? В общих чертах алгоритм лечения такой:

1. Загрузитесь с любого спасательного компакт-диска (например, с VBA32 Rescue);
2. Переименуйте файл X:windowssystem32userinit.exe в userinit.ex_ (здесь X: - имя диска с пострадавшей системой);
3. Скопируйте файл X:windowssystem32cmd.exe в X:windowssystem32userinit.exe;
4. Перезагрузите компьютер;
5. После загрузки системы у Вас должна появится командная строка, в которую следует ввести regedit;
6. Исправьте ключ реестра (с путем HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon, ключ Shell), предварительно запомнив или записав путь к файлу Winlock (значение ключа), и замените его значение на explorer.exe;
7. Закройте редактор реестра и выполните в командной строке explorer;
8. Удалите файл X:windowssystem32userinit.exe;
9. В той же папке переименуйте userinit.ex_ в userinit.exe;
10. Перезагрузите компьютер;
11. Удалите файл Winlock (путь к нему был указан в реестре)
12. Готово.

Важно:

Перед тем как перейти по сокращенной ссылке, проверьте ее с помощью сервиса расшифровки линков, например longurl.org. При расшифровке можно неприятно удивиться, узнав, что ссылка ведет на фишинговую или заражающую вирусом страницу.

Задавайте больше вопросов: получив сообщение со ссылкой в ICQ/QIP, Skype или личное сообщение в социальной сети, убедитесь, что это не автоматическая рассылка с зараженного компьютера.

Регулярно обновляйте программное обеспечение. Включите функцию автоматического обновления программного обеспечения, когда таковое доступно. К числу программ, которые необходимо своевременно обновлять, относятся: надстройки браузеров – Adobe Flash Player, Sun Java, Adobe Reader; базы и модули антивирусных программ, и, конечно же, сама операционная система Microsoft Windows.