Описание. При попытке запуска любого исполняемого файла на экране появляется симпатичное окошко в стиле антивируса от Касперского с заголовком Internet Security и сообщением о куче найденных вирусов, которые могут быть устранены если активировать эту замечательную программу:)
Активация разумеется не бесплатна и осуществляется отправкой sms на номер 4460. Вирус блокирует редактор реестра, редактор групповых политик windows, диспетчер задач, панель управления. В общем классно сделан должен признать - высокие технологии. Антивирусные утилиты не запускались даже в безопасном режиме. Найденный на компьютере клиента Nod 32 видимо был побежден потому как не работал.
Мои действия:
- Сканирование Dr.Web live CD - нашел около 20 разновидностей различных троянов, результат 0.
- Сканирование утилитой Dr. Web Cure It - запустилась только в безопасном режиме, причем только после прохождения live CD. Найдено еще 17 разновидностей и среди них наконец появилось убитое тело trojan.winlocker.649. Лечение помогло минут на 10. Через 10 минут к моему удивлению он себя восстановил ...
- Лечение антируткитными утилитами Hi Jack This и RKU эффект тот же - помогло на 10 -15 мин. Он себя восстанавливает причем полностью.
- Обновление ядра windows через режим восстановления - 20 минут до полной реинкарнации засранца.
Где взять код?
- Пробить компанию регистратора короткого номера. Чаще всего у них есть код активации. Слышал это неоднократно, плюс ко всем на последнем вебинаре Dr. Web эту информацию подтверждают.
- Компания Dr. Web открыли специальный раздел по разблокированию Troyan.WinLocker Перейти по ссылке.
- Похожий сервис появился и у Касперского. Перейти по ссылке.
Важно! После ввода кода активации сделайте полную проверку компьютера так как вирус может через некоторое время проявить себя. Так что добивайте гада сразу.
P.S. WinLocker вирус, работающий на уровне ядра системы, выполнен по руткит технологиям, поэтому современные модификации, как в моем случае, могут плохо поддаваться лечению антивирусными средствами.
По сведениям компании недельной давности Dr. Web поражено около 700000 компьютеров, при этом докладчик отметил, что они располагают только 10% статистики. Если данные Web'a умножить на 10 получается что поражено 7000000 машин и доход вымогателей составил 10000000 Евро.
Иногда отправки 1-й sms недостаточно и злоумышленники требуют отправить еще одну, а затем еще ... Через несколько sms код присылают. Так что думайте сами плясать под дудку мошенников или побороться.
Распространяется вирус по каналам ICQ, сайтам бесплатного порно, где предлагают поставить кодеки для просмотра, через всплывающие окна браузеров(думайте прежде чем включать заблокированное содержимое всплывающих окон ...)
Меры предостережения:
- Регулярно ставить обновления безопасности Windows и браузеров,
- Не ходить в интернет без антивируса и регулярно обновлять антивирусные базы,
- Не ставьте кодеки на бесплатных порносайтах, качайте порно с торрентов:) Осторожно относитесь к пиратским сайтам - вместе с крэком на программу Вы не редко получаете заражение компьютера. В связи с этим смотрите следующий пункт.
- Включайте firewall - хотя бы на модеме или стандартный брэндмауэр Windows.
P.S. 3. Неплохой материал по этой теме есть здесь: перейти по ссылке
Желаю удачи!
Комментариев нет:
Отправить комментарий