На компьютеры белорусов напал троян-шантажист

Источник материала:

Компьютеры белорусских пользователей атакует новый троян-вымогатель, требующий заплатить на разблокировку Windows 100 тысяч рублей.

Белорусская антивирусная компания «ВирусБлокАда» сообщает, что новый национальный Trojan.Winlock можно подцепить не только на сайтах для взрослых, но и в социальных сетях: «Используя методы социальной инженерии, злоумышленники вынуждают пользователя действовать по собственному сценарию: открывать зараженные файлы (документ, Flash-ролик), переходить по сомнительным ссылкам и устанавливать на компьютер вирусное ПО под видом легальных приложений, вводить данные своих учетных записей или кредитных карт на поддельных сайтах».

По информации специалистов, атаке подвергаются компьютеры с операционной системой Windows. Для того чтобы попасть в систему, троян-вымогатель использует уязвимость в Adobe Flash, и главной причиной заражения является несвоевременное обновление различных сторонних приложений (Adobe Flash, Java и др.).

Стоит отметить, что Winlock не устанавливается на компьютер сам, он «напрашивается» занять место на жестком диске под видом полезной программы.

«Например: вы заходите на сомнительный сайт и хотите посмотреть на нем видео, но в диалоговом окне на сайте пишется, что без определенных кодеков этого сделать не получится и тут же предлагается их установить. Однако делать этого ни в коем случае нельзя. Надо всегда помнить, что все обновления и патчи следует скачивать только с официальных серверов производителей», — пояснил для Naviny.by вирусный аналитик «ВирусБлокАды» Александр Изотов.

Подобные трояны не всегда могут заметить антивирусные программы. «Вирусописатели модифицируют вредоносный код так, чтобы он был незаметен для антивирусного ПО, используя для этого все новые и новые техники, например, шифрование вирусов самописными крипторами», — рассказал специалист.

Новая модификация белорусского трояна появилась в сети совсем недавно: количество обращений в службу техподдержки «ВирусБлокАды» в последние дни увеличилось в несколько раз, а сам код, как выяснили специалисты, был написан не ранее 16 июня. О точной цифре заражений сказать сложно, поскольку о подобной «заразе» на своем компьютере сообщают далеко не все пользователи, и многие решают проблему радикально — переустановкой OC Windows, отмечает Александр Изотов.

Алгоритм лечения трояна от «ВирусБлокАда»: 1. Загрузитесь с любого спасательного компакт-диска (например, с VBA32 Rescue); 2. Переименуйте файл X:\windows\system32\userinit.exe в userinit.ex_ (здесь X: — имя диска с пострадавшей системой); 3. Скопируйте файл X:\windows\system32\cmd.exe в X:\windows\system32\userinit.exe (необходимо создать в данной папке копию файла «cmd.exe» и переименовать его в «userinit.exe»); 4. Перезагрузите компьютер; 6. После загрузки системы у Вас должна появиться командная строка, в которую следует ввести regedit; 7. Откройте ключ реестра (с путем HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, ключ Shell), предварительно запомнив путь к файлу Winlock (значение ключа), и замените его значение на explorer.exe; 8. Закройте редактор реестра и выполните в командной строке explorer; 9. Удалите файл X:\windows\system32\userinit.exe; 10. В той же папке переименуйте userinit.ex_ в userinit.exe; 11. Перезагрузите компьютер; 12. Удалите файл Winlock (путь к нему был указан в реестре) 13. Готово.

Winlock блокирует компьютер и предлагает перевести на счет EasyPay 100 тысяч рублей. В появившемся диалоговом окне сообщается, что компьютер заблокирован якобы за просмотр детского гей-порно и необходимую сумму нужно заплатить в течение 12 часов. Перечислить деньги на счет предлагается через «терминал для оплаты мобильной связи», номер счета выбирается случайно из трех возможных — 32013809, 32016695, 32018493.

После оплаты в специальное поле окна нужно ввести код разблокировки системы, указанный на чеке. Если оплата и проверка кода прошли успешно, блокировка с компьютера будет снята, а «дело удалено из архива МВД», обещают мошенники. В противном случае через 12 часов все данные с жестких дисков якобы будут безвозвратно удалены, а данные о ПК будут переданы органам власти. Преступники также угрожают, что переустановка системы приведет к нарушениям работы компьютера, однако специалисты с этим утверждением не согласны.

«Переустановка системы поможет, но это крайний шаг, когда ничего больше не помогло. В большинстве случаев помогает откат системы, но есть образцы троянов-вымогателей, которые либо блокируют возможность восстановления, либо копируют себя во все точки восстановления», — пояснил Александр Изотов.

Стоит ли говорить, что переводить деньги на счет мошенников не только нельзя, но еще и бессмысленно: код на чеке не поможет разблокировать Windows, поскольку подходящего кода в принципе не существует.

К тому же, в большинстве случаев троян не способен удалять информацию пользователя, и его основное действие заключается в блокировке загрузки ОС. Лишь единичные программы способны нанести реальный вред информации на жестком диске, отмечает специалист.

Чтобы избежать заражения компьютера, эксперты советуют пользователям обязательно обновлять операционную систему и софт, особенно надстройки браузеров — Adobe Flash Player, Sun Java, Adobe Reader; базы и модули антивирусных программ.

Во время интернет-серфинга не стоит вестись на кричащие заголовки новостей (как, к примеру, «Конец света отменяется, доказательства по ссылке») и заманчивые тесты и приложения, обещающие легкие деньги или подарки.

Прежде чем переходить по ссылке, полученной в ICQ/QIP, Skype или в социальной сети, лучше задать несколько вопросов отправителю, чтобы убедиться, что это не автоматическая рассылка с зараженного компьютера. Сокращенные ссылки лучше проверять с помощью сервиса расшифровки линков, например longurl.org.