www.anti-virus.by  / пресс-центр / новости иб ENGНа главнуюНаписать письмоПоискКарта сайта
  ВирусБлокАда  
ПОИСК ПО САЙТУ
Перейти к просмотру корзины В корзине:
0 прод.
 
Рекламный баннер выбирай беларусский антивирус
 
 

НОВОСТИ ИБ

 

29 июня 2012

Трояны-вымогатели снова «гуляют» на компьютерах белорусов

В прошлом году мы сообщали о появлении «национального» Trojan.Winlock, ориентированного на белорусских пользователей Windows и требующего у них передать злоумышленникам некоторую сумму в белорусских рублях на электронный кошелек WebMoney.

Сегодня наблюдается новый всплеск активности троянов-вымогателей. Увеличилось количество обращений с проблемой блокировки ОС Windows в нашу службу технической поддержки. В большинстве случаев заражение произошло после посещения таких популярных социальных сетей, как odnoklassniki.ru, vk.com и др. Используя методы социальной инженерии, злоумышленники вынуждают пользователя действовать по собственному сценарию: открывать зараженные файлы (документ, Flash-ролик), переходить по сомнительным ссылкам и устанавливать на компьютер вирусное ПО под видом легальных приложений, вводить данные своих учетных записей или кредитных карт на поддельных сайтах.
Для того, чтобы попасть в систему, троян-вымогатель использует уязвимость в Adobe Flash. Несвоевременное обновление сторонних приложений (Adobe Flash, Java и др.) стало главной причиной заражения компьютеров с ОС Windows вредоносными программами.
Trojan.Winlock - семейство вредоносных программ, которые блокируют или затрудняют работу с операционной системой и требуют перечисления денег злоумышленникам за восстановление работоспособности компьютера. Впервые появились в конце 2007 года. Широкое распространение трояны-вымогатели получили зимой 2009-2010 года, когда по данным российских антивирусных компаний оказались заражены десятки тысяч компьютеров, преимущественно среди пользователей русскоязычного Интернета. Второй всплеск активности такого вредоносного ПО пришелся на весну 2010 года, об этом говорит и количество обращений в службу технической поддержки нашей компании.
Белорусские пользователи в последние дни жалуются на новый троян-вымогатель: он блокирует компьютер и предлагает перевести на счёт EasyPay 100 000 рублей. Номер счёта выбирается случайным образом из 32013809, 32016695, 32018493.
В диалоговом окне сообщается, что компьютер заблокирован якобы за просмотр детского гей-порно. Деньги предлагается перевести в течение 12 часов — в этом случае хозяин «избежит» удаления данных с жёстких дисков, и «дело» владельца ПК будет удалено из архива МВД Республики Беларуси.

Троян-вымогатель


 С точки зрения архитектуры программирования, Trojan.Winlock реализован достаточно примитивно, что характерно для всех вредоносных программ этого семейства.
Белорусский Winlock представляет собой исполняемый файл размером 744 960 байт, написанный на языке высокого уровня Borland Delphi, упакован безымянным криптором-однодневкой. Анализ кода показывает, что Winlock был создан не ранее 16 июня этого года. Попадая в систему, троян записывает ссылку на самого себя в ветке системного реестра, которая отвечает за автозагрузку приложений (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, ключ Shell). В результате блокируется нормальная работа Windows.
Мошенники продолжают распространять новые модификации «белорусского» трояна-блокировщика, требующего от пользователя перевести некоторую сумму на электронный кошелёк EasyPay.
Ввести подходящий код разблокировки для данного трояна-вымогателя невозможно (код разблокировки отсутствует), поэтому любой перевод денежных средств мошенникам является вдвойне бессмысленным действием.


Как же можно избавиться от данного трояна-вымогателя? В общих чертах алгоритм лечения такой:
1. Загрузитесь с любого спасательного компакт-диска (например, с VBA32 Rescue);
2. Переименуйте файл X:\windows\system32\userinit.exe в userinit.ex_ (здесь X: - имя диска с пострадавшей системой);
3. Скопируйте файл X:\windows\system32\cmd.exe в X:\windows\system32\userinit.exe (необходимо cоздать в данной папке копию файла «cmd.exe» и переименовать его в «userinit.exe»);
4. Перезагрузите компьютер;
5. После загрузки системы у Вас должна появится командная строка, в которую следует ввести regedit;
6. Исправьте ключ реестра (с путем HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, ключ Shell), предварительно запомнив или записав путь к файлу Winlock (значение ключа), и замените его значение на explorer.exe;
7. Закройте редактор реестра и выполните в командной строке explorer;
8. Удалите файл X:\windows\system32\userinit.exe;
9. В той же папке переименуйте userinit.ex_ в userinit.exe;
10. Перезагрузите компьютер;
11. Удалите файл Winlock (путь к нему был указан в реестре)
12. Готово.


Важно:
Перед тем как перейти по сокращенной ссылке, проверьте ее с помощью сервиса расшифровки линков, например longurl.org. При расшифровке можно неприятно удивиться, узнав, что ссылка ведет на фишинговую или заражающую вирусом страницу.
Задавайте больше вопросов: получив сообщение со ссылкой в ICQ/QIP, Skype или личное сообщение в социальной сети, убедитесь, что это не автоматическая рассылка с зараженного компьютера.
Регулярно обновляйте программное обеспечение. Включите функцию автоматического обновления программного обеспечения, когда таковое доступно. К числу программ, которые необходимо своевременно обновлять, относятся: надстройки браузеров – Adobe Flash Player, Sun Java, Adobe Reader; базы и модули антивирусных программ, и, конечно же, сама операционная система Microsoft Windows.


Все новости | Декабрь 2018 | Ноябрь 2018 | Октябрь 2018 | Сентябрь 2018 | Август 2018 | Июль 2018 | Июнь 2018 | Май 2018 | Апрель 2018 | Март 2018 | Февраль 2018 | Январь 2018 | Декабрь 2017 | Ноябрь 2017 | Октябрь 2017 | Сентябрь 2017 | Август 2017 | Июль 2017 | Июнь 2017 | Май 2017 | Апрель 2017 | Март 2017 | Февраль 2017 | Август 2014 | Март 2014 | Февраль 2014 | Январь 2014 | Декабрь 2013 | Ноябрь 2013 | Октябрь 2013 | Сентябрь 2013 | Январь 2013 | Декабрь 2012 | Ноябрь 2012 | Октябрь 2012 | Сентябрь 2012 | Август 2012 | Июль 2012 | Июнь 2012 | Май 2012 | Апрель 2012 | Март 2012 | Февраль 2012 | Январь 2012 | Декабрь 2011 | Ноябрь 2011 | Октябрь 2011 | Сентябрь 2011 | Август 2011 | Июль 2011 | Июнь 2011 | Май 2011 | Сентябрь 2010 | Август 2010 | Июль 2010 | Июнь 2010 | Май 2010 | Апрель 2010 | Март 2010 | Февраль 2010 | Январь 2010 | Декабрь 2009 | Ноябрь 2009 | Октябрь 2009 | Сентябрь 2009 | Август 2009 | Июль 2009 | Июнь 2009 | Май 2009 | Апрель 2009 | Март 2009 | Февраль 2009 | Январь 2009 | Декабрь 2008 | Ноябрь 2008 | Октябрь 2008 | Сентябрь 2008 | Август 2008 | Июль 2008 | Июнь 2008 | Май 2008 | Апрель 2008 | Март 2008 | Февраль 2008 | Январь 2008 | Декабрь 2007 | Ноябрь 2007 | Октябрь 2007 | Сентябрь 2007 | Август 2007 | Июль 2007 | Июнь 2007 | Май 2007 | Апрель 2007 | Март 2007 | Февраль 2007 | Январь 2007 | Ноябрь 2006 | Октябрь 2006 | Сентябрь 2006 | Август 2006 | Июль 2006 | Июнь 2006 | Май 2006 | Апрель 2006 | Март 2006 | Февраль 2006 | Январь 2006 | Декабрь 2005 | Ноябрь 2005 | Октябрь 2005 | Сентябрь 2005 | Август 2005 | Июль 2005 | Июнь 2005 | Май 2005 | Апрель 2005 | Март 2005 | Апрель 2004 | Март 2004 | Февраль 2004
 
КОНТАКТЫ
220088, РБ, Минск, ул. Смоленская, 15 — 803б
телефон: (+375 17) 294-84-29 (коммерческий отдел)
телефон: (+375 17) 290-59-29 (технический отдел)
E-mail: info@anti-virus.by
Прислать вирус: feedback@anti-virus.by
Для локального компьютераДля рабочей станции в сетиПрограммный комплекс КАНОЭКонсольный сканерДля файловых серверовАвтоматизированное управление и обновлениеЗащита почтовых системЗащита интернет-шлюзовУтилитыКупить
Антивирус
Антивирус на месяцИмпортозамещениеПоддержка образованияПоддержка медициныДисконтная система «Клубная карта ХК «Динамо-Минск»
Основные сведенияБлогЛицензии и сертификатыКлиентыПартнерыУслугиВакансии
Новости компанииПродукты и обновленияНовости ИБПресс-китПодписка на рассылку
БеларусьУкраинаПриглашение к сотрудничеству