Волны заражений ПК российских пользователей
вредоносными программами семейства Trojan.Winlock, первая из которых
пришлась на конец 2009 – начало 2010 года, а вторая — на лето 2010 года,
уже давно миновали, однако в настоящее время наблюдается тенденция к
распространению угроз подобного типа за пределами России. Компания
«Доктор Веб» — ведущий российский разработчик средств информационной
безопасности — предупреждает о новой модификации этой троянской
программы, получившей название Trojan.Winlock.3846 и рассчитанной в
первую очередь на зарубежную аудиторию. Говорить об эпидемии
пока преждевременно, однако это уже вторая подобная угроза, выявленная
специалистами «Доктор Веб» в текущем
месяце.
В России от троянцев семейства
Trojan.Winlock пострадали миллионы
пользователей. На сегодняшний день волна заражений пошла на убыль: в
частности, этому помог проект ,
а также сотрудничество «Доктор Веб» с ведущими российскими мобильными
операторами. Тем не менее, сейчас проблема троянцев-блокировщиков стала
актуальна и для зарубежных
пользователей.
В отличие от троянца
Trojan.Winlock.3794, о котором мы
, новая
модификация программы-вымогателя записывает ссылку на себя в разделе
системного реестра
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\userinit,
который отвечает за запуск программ системным процессом winlogon в
момент входа пользователя Windows в систему. Благодаря этому
операционная система оказывается заблокированной при первой же после
заражения перезагрузке компьютера.
Вместо привычного интерфейса Windows на
экране инфицированного
компьютера появляется сообщение о сбое некоего системного процесса по
адресу 0x3BC3. Для его устранения пользователю предлагается позвонить по
одному из указанных телефонных номеров и ввести код разблокировки в
соответствующее поле. Звонок на эти номера, естественно, является
платным.
Данная модификация «винлокера» имеет одну характерную
особенность: в
ресурсах троянца содержится несколько языковых версий блокирующего
компьютер окна для различных локализаций Windows. Как минимум имеются
варианты сообщения на английском, французском и русском
языках.
Для разблокировки операционной системы, пострадавшей от
действий троянца Trojan.Winlock.3846
воспользуйтесь следующим кодом
разблокировки:
754-896-324-589-742
Как и прежде, компания «Доктор Веб»
настоятельно рекомендует
пользователям воздерживаться от запуска приложений, загруженных из
неблагонадежных источников, и вложений в сообщения электронной почты,
полученных от неизвестных отправителей. Следует с осторожностью
относиться к возникающим в процессе просмотра веб-страниц сообщениям
браузеров с предложением установки каких-либо модулей или плагинов. Если
вы стали жертвой троянца
Trojan.Winlock.3846, воспользуйтесь
средством аварийного восстановления системы Dr.Web LiveCD и лечащей
утилитой Dr.Web CureIt!.
