Новый Trojan.WinLock блокирует компьютеры украинских пользователей
21 июня 2011 года
Компания «Доктор Веб» — ведущий российский разработчик средств информационной безопасности — предупреждает пользователей об участившихся случаях заражения компьютеров новой модификацией троянской программы Trojan.WinLock, рассчитанной, судя по содержимому блокирующего окна, на пользователей украинского сегмента сети Интернет.
За последние сутки в службу технической поддержки компании «Доктор Веб» уже обратилось несколько десятков пользователей, чьи компьютеры оказались заблокированы новой модификацией троянца Trojan.WinLock. Причем все они оказались жителями Украины.
Вредоносное ПО проникает в систему с одного из украинских сайтов. Trojan.WinLock, действуя по старой схеме, известной многим его жертвам в России, требует отправить SMS с текстом «win1732@ya.ru 1732! Activatе» (в другом случае – «win1732@yandex.ua 1732! Activate») на короткий номер 1010 оператора МТС, 010 оператора «Билайн» или 555 для абонентов «Киевстар», после чего на телефон жертвы, как обещают злоумышленники, должно прийти сообщение с реквизитами счета в системе «Единый кошелек».
Для получения кода разблокировки пользователю предлагается пополнить этот счет на сумму 50 гривен либо 80 гривен, в противном случае троянец угрожает уничтожить хранящуюся на компьютере информацию.
На текущий момент специалистам компании «Доктор Веб» известно о двух модификациях данного троянца, различающихся оформлением блокирующего окна. Пользователям, ставшим жертвой злоумышленников, поможет предложенный ниже код разблокировки. Если нарушающее работу операционной системы окно выглядит так, как на скриншоте 1, введите код разблокировки: 2641881427.
Для пользователей, компьютеры которых подверглись атаке следующей модификации троянца (см. второй скриншот), подойдет код разблокировки: 68548211773.
Сигнатуры данной угрозы уже добавлены в вирусные базы Dr.Web. Для профилактики заражения не забывайте регулярно проводить полное сканирование дисков вашего компьютера. Пользователи, уже пострадавшие от данной угрозы, могут воспользоваться бесплатными продуктами — Dr.Web CureIt! и Dr.Web LiveCD. Кроме того, коды для разблокировки новых модификаций Trojan.WinLock оперативно публикуются на сайте www.drweb.com/unlocker.
Комментарии
Даю для спецов совет для быстрого "лечения", если нет под рукой кода (антивирус это "дело" не поймает). Загружаемся с установочного диска Windows 7, запускаем средство восстановления и далее консоль. В консоле запускаем редактор реестра и подключаем к нему куст SOFTWARE (это файл SOFTWARE в папке %WINDIR%\System32\Config) и называем его, например, SOFTWARE2. В нем ищем Microsoft\Windows NT\CurrentVersion\Winlogon и парамерт Shell изменяем на explorer.exe (вероятнее всего там прописан экзэшник в папке оперы). Иных ситуаций я пока не встречал... Далее выгружаем куст и перезагружаемся.
Спасибо за предупреждение.
1. Не у всех под рукой может оказаться дистрибутив, да и Семерка далеко не у всех стоит.
2. Начинающему, особенно с не совсем прямыми руками, лучше в реестр не лезть. Чревато...
Самый простой вариант: скачать с сайта www.drweb.com образ Dr.Web LiveCD и записать его на болванку. И впоследствии, если что, грузиться с него. Это, кстати, относится и к случаям заражения другими вирусами.
Для начала загружаемся с "чистого" носителя, например, с CD диска Live Windows и заглянем в папку C:/Documents and Settings/All Users. Смотрим, есть ли там файл systems.exe. Если есть, прибиваем его. Затем чистим реестр от всяких упоминаний о нем. Перезагружаемся. Все.
2. Не важно какая установлена система, с диска W7 можно так же загрузиться всегда.
3. Я же написал: совет для СПЕЦОВ...
Левые файлы в папке All Users могут отсутствовать, а вот в личных папках учетных записей (Вася, Петя) могут запросто и их имена могут быть разные. Опытный системщик на глаз легко определит, что там левое, а что нет. Кстати, вы правы, часто заражение проходит через этот метод. И заражается файл userinit.exe
LiveCD DrWEB это в последнее время такая же жесть, как и CureIt - нужно часов 12 минимум, чтобы проверить систему даже с маскированием файлов...
Все ваши советы юзверям не нужны, они их не понимают. Профи и так найдут что сделать.
Я много лет исправляю то что натворят те кто не понимая что делают, пытаются делать следуя советам из тырнета.
А вам как соратникам по ресурсу, скажу только одно: восстановление системы, то-бишь файлы на него надо держать подальше от системы, опять таки на отдельном венике, и тогда не надо ни каких дисков CD Live. Откатываешся, лезешь и убираешь ручками. Это в том случае если система одна.
А дело передано для разбирательства в Управление К МВД УКР...
Интересно, что они подошьют к этому делу, если все будет удалено?)
Ребята,кто-нибудь пробовал сей девайс в действии?