На компьютеры белорусов обрушился «национальный» Trojan.Winlock

298

На компьютеры белорусов обрушился новый «национальный» Trojan.Winlock. Он ориентирован только на белорусских пользователей Windows.

Данный вирус требует у белорусов передать злоумышленникам некоторую сумму в белорусских рублях на электронный кошелек WebMoney или EasyPay (около 100 тысяч белорусских рублей).

В большинстве случаев заражение произошло после посещения таких популярных социальных сетей, как odnoklassniki.ru, vk.com и др. Пользователи:

  • открывают зараженные файлы (документ, Flash-ролик)
  • переходят по сомнительным ссылкам и устанавливать на компьютер вирусное ПО под видом легальных приложений
  • вводят данные своих учетных записей или кредитных карт на поддельных сайтах

В диалоговом окне сообщается, что компьютер заблокирован за просмотр детского гей-порно. Деньги предлагается перевести в течение 12 часов — в этом случае хозяин «избежит» удаления данных с жёстких дисков, и «дело» владельца ПК будет удалено из архива МВД Республики Беларуси.

Trojan.Winlock

Ввести подходящий код разблокировки для данного трояна-вымогателя невозможно (код разблокировки отсутствует), поэтому любой перевод денежных средств мошенникам является вдвойне бессмысленным действием.

Как избавиться от Trojan.Winlock?

  1. Загрузитесь с любого спасательного компакт-диска (например, с VBA32 Rescue);
  2. Переименуйте файл X:\windows\system32\userinit.exe в userinit.ex_ (здесь X: — имя диска с пострадавшей системой);
  3. Скопируйте файл X:\windows\system32\cmd.exe в X:\windows\system32\userinit.exe;
  4. Перезагрузите компьютер;
  5. После загрузки системы у Вас должна появится командная строка, в которую следует ввести regedit;
  6. Исправьте ключ реестра (с путем HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, ключ Shell), предварительно запомнив или записав путь к файлу Winlock (значение ключа), и замените его значение на explorer.exe;
  7. Закройте редактор реестра и выполните в командной строке explorer;
  8. Удалите файл X:\windows\system32\userinit.exe;
  9. В той же папке переименуйте userinit.ex_ в userinit.exe;
  10.  Перезагрузите компьютер;
  11. Удалите файл Winlock (путь к нему был указан в реестре)
  12. Готово.

Как обезопасить компьютер от заражения вирусами?

Перед тем как перейти по сокращенной ссылке, проверьте ее с помощью сервиса расшифровки линков, например longurl.org. При расшифровке можно неприятно удивиться, узнав, что ссылка ведет на фишинговую или заражающую вирусом страницу.

Задавайте больше вопросов: получив сообщение со ссылкой в ICQ/QIP, Skype или личное сообщение в социальной сети, убедитесь, что это не автоматическая рассылка с зараженного компьютера.

Регулярно обновляйте программное обеспечение. Включите функцию автоматического обновления программного обеспечения, когда таковое доступно. К числу программ, которые необходимо своевременно обновлять, относятся: надстройки браузеров – Adobe Flash Player, Sun Java, Adobe Reader; базы и модули антивирусных программ, и, конечно же, сама операционная система Microsoft Windows.

Trojan.Winlock — семейство вредоносных программ, которые блокируют или затрудняют работу с операционной системой и требуют перечисления денег злоумышленникам за восстановление работоспособности компьютера. Впервые появились в конце 2007 года. Широкое распространение трояны-вымогатели получили зимой 2009-2010 года, когда по данным российских антивирусных компаний оказались заражены десятки тысяч компьютеров, преимущественно среди пользователей русскоязычного Интернета. Второй всплеск активности такого вредоносного ПО пришелся на весну 2010 года, об этом говорит и количество обращений в службу технической поддержки нашей компании.