Компания «Доктор Веб» информирует о появлении новой троянской программы, которая при запуске компьютера предлагает ввести регистрационный код якобы для регистрации нелицензионной копии Windows (или что иное). Для получения регистрационного кода требуется отправить платное SMS-сообщение

Используйте бесплатно разблокировщик Dr.Web и Лаборатории Касперского от Trojan. Winlock

В последнее время значительно возросло число вредоносных программ-вымогателей, требующих отправить SMS-сообщения для получения доступа к системе или к пользовательским документам. 8 апреля 2009 года вирусными аналитиками компании «Доктор Веб» был получен образец очередной программы, которая распространяется в виде поддельных кодеков и при запуске Windows выводит сообщение о необходимости отправить SMS с текстом для разблокировки доступа к системе. Данная вредоносная программа была добавлена в вирусную базу Dr.Web под именем Trojan.Winlock.19. Ее модификации уже автоматически распознаются технологией Origins TracingTM как Trojan.Winlock.origin.

ЗАХВАТ: При загрузке компьютера вредоносная программа поверх всех окон выдаёт сообщение о блокировке Widows. Оно полностью занимает весь экран и мешает работать. Свернуть его невозможно. Чтобы снять блокировку предлагается отослать SMS на короткий номер. СМС сообщение стоит от 300 рублей, при этом код разблокировки могут и не прислать. К тому же вредоносный троянец мешает запуску некоторых программ, в том числе и антивирусов.

ЛЕЧЕНИЕ: Trojan.Winlock обладает особенностью, позволяющей ему удалять себя через 2 часа после запуска. Также производители антивирусов Лаборатория Касперского и Доктор Веб предлагают произвести бесплатную деактивацию вредоносной программы на своих сайтах. Для тех, кто не хочет ждать, специалисты компании «Доктор Веб» и Лаборатория Касперского подготовили специальную форму, в которую можно ввести текст предполагаемого sms-сообщения и получить код разблокировки..

ГДЕ ЗАРАЖАЮТСЯ: Эти троянцы проникают на компьютер из-за уязвимостей в браузерах. При посещении вредоносного сайта троянец проникает через дыру в браузере и устанавливается на Ваш компьютер. Другой способ проникновения - через кодеки, которые предлагают установить на некоторых сайтах для просмотра видео. Стало появляться столько модификаций вируса, что некоторые слабые антивирусные программы их не распознают.

Компания «Доктор Веб» в очередной раз призывает пользователей не поддаваться на уловки вирусописателей, отправляя им запрашиваемые SMS. Установленное на компьютере антивирусное програмное обеспечение оперативно выявляет данную угрозу и уничтожает ее. При возможном заражении в случае применения другого антивирусного ПО, пользователь всегда может воспользоваться формой, разработанной специалистами «Доктор Веб».

На выходных, ничего не подозревая, сидел в своём блоге, читал свежие новости…
Решил позвонить жене… и каково же было моё удивление, когда приятный женский голос в телефоне мне сказал: "Ваш телефон временно заблокирован”…
Проверяю баланс. О, ужас: на счету минус 500 с лишним рублей!
Оказалось, что милый киндер зацепил на комп новое "разводилово” из сети, которое, кстати, по сетке передалось и на мой комп. Посредине экрана выскакивает банер, гласящий примерно следущее: "Ваш бесплатный час просмотра порно-сайтов закончился. Для того, чтобы данный банер не появлялся на вашем компьютере - отправьте СМС с текстом "бла-бла-бла” на номер (и далее тот самый страшный номер)”.
Естественно, ребёнок, испугавшись, что "предки” будут ругать за ползание по всяким непонятным сайтам стиснул у папы мобилу и отправил эту СМСку. По приходу кода разблокировки, этот банер выдал новое сообщение, что типа "Вы должны подтвердить, что вам более 18 лет. Для этого отправьте ещё одно сообщение с тестом "бла-бла-бла” на номер…” Естественно, киндер отправил и вторую СМСку… в общей сложности, с моей трубы сняли 600 рэ.
А на поверку всё оказалось намного проще. Хоть банер выскакивает почти на весь экран, по бокам остаётся часть "непокрытого” им пространства. Дальше следуют 2 совета. Один продвинутым компьютерщикам, второй - простым "юзерам” (хотя первый и быстрее, можно воспользоваться вторым ВСЕМ).
Совет 1-й.
Открываете консоль (Win+R), вводите regedit. Там выискиваете значение системного реестра, отвечающего за открытие Диспетчера устройств, в нём меняете значение на 0 (ноль), сохраняете запись. После этого, всеобще любимым сочетанием Ctrl+Alt-Del открываете Диспетчер (иначе он не откроется, ибо скриптом этого банера блокируется его открытие) и находите 2 файлика, с расширением .tmp … Названия могут варьироваться. Снимаете задачи на выполнение этих файлов, находите Поиском их на компе (обычно в C:/Documents and Settings/Admin (или что-то типа того, всё зависит от ваших настроек). Выделяете оба файла и удаляете их, желательно сочетанием Shift+Delit. Вуаля, перезагрузка и комп "живёт”…
Способ 2-й (попроще)
Поймав эту заразу, не предпринимайте никаких действий… Просто оставьте комп включеным на 2 часа (а желательно на ночь, кому комп по ночам не мешает гудением). Утром, проснувшись, вы увидите, что банер исчез, т.к. оснащён системой самоуничтожения…

1. Загрузите компьютер в безопастном режиме (в начале загрузки нужно нажимать F8? пока не появиться загрузочные меню и в нём выбрать Безопастный режим)
2. Открыть меню Восстановление системы
3. Мастер восстановления предложит откатить систему к одной из точек восстановления, нужно выбрать последнюю точку.
4. По завершению восстановления перегрузиться

В начале 2009 года все говорили о сетевом черве Win32. HLLW.Shadow.based (также известен как Conficker и Kido) – эпидемия грозила всему миру, однако оставалась, по сути, событием для профессионалов.
Связано это с тем, что прямой урон от данной вредоносной программы выражался для рядового пользователя в не- возможности зайти на сайты антивирусных компаний. Тот факт, что зараженный компьютер встраивался в бот-сеть и мог использоваться в тех же DDos-атаках, не очень вол- новал простых граждан – очевидно, что угроза была для них слишком сложна. Несмотря на это, за первую половину 2009 года во многом благодаря СМИ о Shadow узнали мил- лионы. Даже в России.
В сравнении с Shadow Trojan.Winlock выглядит дешевой по- делкой. Первые модификации троянских программ этого семейства появились около 3 лет назад. На тот момент они не представляли серьезной угрозы: автоматически удаля- лись с компьютера через несколько часов после установки, не запускались в Безопасном режиме Windows, а стоимость SMS-cообщений, которые требовали отправить авторы троянца, была достаточно низкой.
Однако постепенно Winlock'и эволюционировали. Во мно- гом благодаря той схеме, важной составляющей которой они стали. Вирусописатели придумали, как использовать Trojan.Winlock для получения существенных прибылей. Это, по сути, и является их основной целью на сегодняшний день. Прежде всего, расширилось количество каналов, кото- рые могут использоваться для транспортировки моди- фикаций троянцев этого семейства. Они начали распро- страняться через уязвимости в Windows, в браузерах, через вредоносные сайты (скачиваемые кодеки), эксплой- ты iframe, а также ботнеты (владельцы которых продают установку какой-либо вредоносной программы на зара- женном компьютере).
Во-вторых, существенно выросла цена, которую требует- ся заплатить жертве для получения кода разблокировки – с 10 до 600-700 рублей на сегодняшний день. Здесь надо особо отметить тот факт, что платить дань злоумышленни- кам необходимо через SMS. Для рядового пользователя это не представляет особого труда – достаточно ввести необ- ходимый текст сообщения, отправить его по указанному номеру и получить «заветный» код. При этом пользователь зачастую просто не знает, что с его счета снимут деньги – он действует автоматом, не задумываясь о последствиях. Что же вышло в итоге?
Всего за один месяц (хотя рост распространения Trojan. Winlock начался с ноября 2009 года) количество заражен- ных компьютеров в России достигло нескольких миллио- нов. Усилий, предпринимаемых антивирусными компани- ям (в частности, наш проект www.drweb.com/unlocker), не хватило, чтобы остановить эпидемию. Новость, выпущен- ная «Доктор Веб» 24 января 2010 года, вызвала высокий интерес общественности к данной проблеме, подкрепляе- мый усилиями операторов сотовой связи, которые начали блокировать «сомнительные» номера, а также вниманием правоохранительных органов. В совокупности все это уже да- ет результаты – масштабы распространения Trojan.Winlock в России постепенно снижаются, а пользователи уже не отправ- ляют на номера, указанные злоумышленниками, платные SMS, находя код разблокировки через специальную форму.
Как повлияет эта эпидемия на российский антивирусный рынок?
Известно, что даже пользователи с обновляемыми антиви- русами заражались модификациями Trojan.Winlock. Одна- ко еще больше в нашей стране тех, кто применяет пиратские продукты или вовсе не использует защитное ПО. Для этой ча- сти аудитории эпидемия Winlock'ов четко указала на то, что проще и выгодней купить годовую лицензию или подписать- ся на услугу антивирусной защиты у интернет-провайдера, чем в самый неподходящий момент расплачиваться со злоу- мышленниками (при этом отправляя им 600-700 рублей). Важно и то, что российские антивирусные вендоры не бро- сили пользователей в беде. Именно компания «Доктор Веб» первая обратила внимание общественности, властей и сото- вых операторов на проблему, которую до этого все старались не замечать. Помимо этого, «Доктор Веб» разработал проект www.drweb.com/unlocker, число заходов на который всего за неделю превысило 1 млн. Компания получила массу благо- дарностей от пользователей, которым помогли коды разбло- кировки, через соответствующую форму. Кроме того, многие сами присылали известные им коды, которые после провер- ки оперативно добавлялись в форму разблокировщика. Другое важное последствие эпидемии Trojan.Winlock — в России стало меньше беспечных пользователей, которые думают, что Интернет остается абсолютно безопасным. Тот факт, что за посещение какого-то сомнительного ресурса (че- рез который проникнет Trojan.Winlock) можно заплатить не- сколько сот рублей, быстро отрезвляет. Это говорит о том, что они будут не только пользоваться антивирусными програм- мами, но также и следить за обновлениями Windows и брау- зеров, а также другого ПО, установленного на компьютере. Наконец, эпидемия Trojan.Winlock доказала, что для противо- действия таким вредоносным программам нужны коллек- тивные усилия. Не только старания антивирусных компаний, но также и оперативные действия сотовых операторов, SMS- агрегаторов, правоохранительных органов, а также широкой общественности. О том, как вылечиться от Trojan.Winlock, пи- сали многие блоггеры и форумчане, не говоря уже о сред- ствах массовой информации, и это сыграло важную роль в информировании огромного количества пользователей о средствах борьбы с троянцем.
Кстати, вы тоже можете внести свой вклад в это, разместив на своих сайтах баннер, ведущий на форму бесплатного раз- блокировщика Dr.Web. Пусть еще больше людей узнают, что преступникам платить не надо, и что лицензия на антивирус стоит дешевле, чем SMS вымогателю.