Трояны-вымогатели снова «гуляют» на компьютерах белорусов

В прошлом году белорусская антивирусная компания «ВирусБлокАда» сообщала о появлении «национального» Trojan.Winlock, ориентированного на белорусских пользователей Windows и требующего у них передать злоумышленникам некоторую сумму в белорусских рублях на электронный кошелек WebMoney.

Сегодня наблюдается новый всплеск активности троянов-вымогателей. Увеличилось количество обращений с проблемой блокировки ОС Windows в службу технической поддержки антивирусной компании «ВирусБлокАда». В большинстве случаев заражение произошло после посещения таких популярных социальных сетей, как odnoklassniki.ru, vk.com и др. Используя методы социальной инженерии, злоумышленники вынуждают пользователя действовать по собственному сценарию: открывать зараженные файлы (документ, Flash-ролик), переходить по сомнительным ссылкам и устанавливать на компьютер вирусное ПО под видом легальных приложений, вводить данные своих учётных записей или кредитных карт на поддельных сайтах.

Для того, чтобы попасть в систему, троян-вымогатель использует уязвимость в Adobe Flash. Несвоевременное обновление сторонних приложений (Adobe Flash, Java и др.) стало главной причиной заражения компьютеров с ОС Windows вредоносными программами.

Белорусские пользователи в последние дни жалуются на новый троян-вымогатель: он блокирует компьютер и предлагает перевести на счёт EasyPay 100 000 рублей. Номер счёта выбирается случайным образом из 32013809, 32016695, 32018493.

В диалоговом окне сообщается, что компьютер заблокирован якобы за просмотр детского гей-порно. Деньги предлагается перевести в течение 12 часов — в этом случае хозяин «избежит» удаления данных с жёстких дисков, и «дело» владельца ПК будет удалено из архива МВД Республики Беларуси.

 

Ввести подходящий код разблокировки для данного трояна-вымогателя невозможно (код разблокировки отсутствует), поэтому любой перевод денежных средств мошенникам является вдвойне бессмысленным действием.

Как же можно избавиться от данного трояна-вымогателя? В общих чертах алгоритм лечения такой:

  1. Загрузитесь с любого спасательного компакт-диска (например, с VBA32 Rescue);
  2. Переименуйте файл X:\windows\system32\userinit.exe в userinit.ex_ (здесь X: - имя диска с пострадавшей системой);
  3. Скопируйте файл X:\windows\system32\cmd.exe в X:\windows\system32\userinit.exe;
  4. Перезагрузите компьютер;
  5. После загрузки системы у вас должна появится командная строка, в которую следует ввести regedit;
  6. Исправьте ключ реестра (с путём HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, ключ Shell), предварительно запомнив или записав путь к файлу Winlock (значение ключа), и замените его значение на explorer.exe;
  7. Закройте редактор реестра и выполните в командной строке explorer;
  8. Удалите файл X:\windows\system32\userinit.exe;
  9. В той же папке переименуйте userinit.ex_ в userinit.exe;
  10.  Перезагрузите компьютер;
  11. Удалите файл Winlock (путь к нему был указан в реестре)
  12. Готово.

Информация предоставлена компанией «ВирусБлокАда».

Версия для печатиВерсия для печати

Рубрики: 

  • 1
  • 2
  • 3
  • 4
  • 5
Всего голосов: 0
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!
 

Комментарии

очень актуально. завтра попробуем, спасибо))

Аватар пользователя mike

Инна, вы пошто форумы обижаете? Я эту залепу поутрянке в "хумор2" разместил. И ссылку дал.

Майк, люди мучаются, а вы смеётесь? Нет в вас солидарности.))

Аватар пользователя mike

Майк, люди мучаются... Нет в вас солидарности.))

Хехехе, солидарности с ператыми виндюками?!  Так им и надо. Тебе подсодють, а ты не воруй!

Аватар пользователя mike

Кто научил наших доморощенных борцов этим гадостям? ИМХО -- Майкрософт! Примерно так они поначалу блокировали через бэкдоры компы воришек, потом стали делать это изощрённее -- уже не блокировали, а просто размещали на рабстоле постер, что юзер -- ЧМО. Улавливаете? M$ специально  оставляет бэкдоры, чтобы наказывать пиратов. А следует из этого то, что ЗАКРЫТАЯ WINDOWS ВСЕГДА БУДЕТ ИМЕТЬ БЭКДОРЫ!

Аватар пользователя Al

Пусть мучаются. Может тогда нуачатся предохраняться. Ну и сисадминам копеечка. ))))

деньги, деньги дребедеееньги... позабыв покой и лень... ))))

Аватар пользователя Vola

спасибо.

только, чтобы проверить сначала действительно на гей-порно сходить? 

а если не ходишь туда - такого трояна не получишь?

может перестать наведывать такие сайты :) 

Аватар пользователя mental

Бред это всё, трояны гораздо легче подцепить, скачивая кейгены, чем на "взрослых" сайтах.