В России Trojan.Winlock заразил миллионы компьютеров

Эпидемия троянцев семейства Trojan.Winlock набирает обороты. В январе 2010 года количество россиян, пострадавших от вредоносных программ, требующих за разблокировку Windows отправить платное SMS-сообщение, составило несколько миллионов. Предположительные потери составляют сотни миллионов рублей.

----------------------<cut>----------------------

Первые модификации Trojan.Winlock появились около 3-х лет назад. На тот момент они не представляли серьезной угрозы: автоматически удалялись с компьютера через несколько часов после установки, не запускались в Безопасном режиме Windows, а стоимость SMS-cообщений, которые требовали отправить авторы троянца, была не столь высокой, как сейчас (в среднем около 10 рублей в сравнении c 300-600 рублями).

С ноября 2009 года эта схема отъема денег пользуется все большим успехом у злоумышленников – новые модификации Trojan.Winlock становятся все более опасными. За снятие сообщения о блокировке Windows, которое выскакивает поверх всех окон и делает невозможным нормальную работу на компьютере, вирусописатели требуют гораздо больше денег. Троянцы уже не удаляются автоматически из системы в прошествии некоторого времени, но приобретают дополнительный функционал. В частности, они препятствуют запуску некоторых программ в зараженной системе (файловых менеджеров, антируткитов, утилит сбора информации, которая может помочь в лечении системы).

Вредоносные программы семейства Trojan.Winlock распространяются через уязвимости в Windows (в частности, Internet Explorer), вредоносные сайты (скачиваемые кодеки), эксплойты iframe, а также ботнеты (владельцы ботнета продают установку какой-либо вредоносной программы на зараженном компьютере).

Только за январь число пострадавших в России от блокировщиков Windows составило несколько миллионов пользователей. С учетом того, что средняя стоимость SMS-сообщения – 300-600 рублей, предположительные потери россиян от этого вида вредоносного ПО только в первом месяце 2010 года составили сотни миллионов рублей.

В связи с тем, что с каждым днем появляются новые модификации Trojan.Winlock, незащищенными остаются даже те пользователи, которые применяют постоянно обновляемые антивирусные решения различных производителей.

microsoft windows, всем чесаться!

−812+

385

dotomator / Флуд-Док / на индексе / 7 февраля 2010, 16:49 / источник

Рейтинг: ↓2+

bk99 8 февраля 2010, 12:35 #

Лечимся:

http://samforum.ws/showthread.php?t=26229&page=8
http://support.kaspersky.ru/viruses/deblocker
http://www.drweb.com/unlocker/index/?lng=ru
Рейтинг: ↓0+

ValdemarK 8 февраля 2010, 12:31 #

походу у меня уже все корефаны в этом году умудрились словить ВинЛок . некоторые пошли заражаться по второму разу
цепляют заразу откуда угодно... например с какого-то форума преподователей...(уже ситуация напоминает баян с кактусом)
блокируется комп обычно на следующую загрузку после заражения.
на этой неделе уже пошли монстроидальные вирусы... код разблокировки меняется со временем... форматирование и переразбиение диска на другие логические диски не помогает
поиск ключа по антивирусным сайтам дает какой-то шанс найти код разблокировки:
http://www.drweb.com/unlocker/index/?lng=ru
http://support.kaspersky.ru/viruses/deblocker

поиск ключа по не антивирусным форумам может заразить комп этим же вирусом...

меня уже припарило бегать по "больным"
Владельцы СМС агрегаторов( основной — первый медиахолдинг http://www.alt1.ru/ ) тихо молчат в тряпочку, ведь им перепадает около 30% , сотовым операторам тоже достается жирный кусочек... очень жирный кусочек ... особенно если СМС стоит 300 рублей, иногда для разблокировки нужно отправлять и две СМСки

Халявные лечилки искать там :
http://www.freedrweb.com/livecd/
http://avptool.virusinfo.info/ru/index.htm
- Рейтинг: ↓2+
  
  tsr2k 8 февраля 2010, 13:14 #
  
  >форматирование и переразбиение диска на другие логические диски не помогает
  
  Конечно не поможет — сразу же после переустановки маздая нужно антивирь ставить и лечить все, а не ставить "эту новую екзешку весом в 25кб, которая интернет ускоряет")
- Рейтинг: ↓2+
  
  Crazy_Cooler 8 февраля 2010, 13:28 #
  
  А вы деньги берите за лечение! Может больше будут заботиться о наличии антивируса и его актуальности! :)
- Рейтинг: ↓0+
  
  m4s 8 февраля 2010, 16:06 #
  
  >форматирование и переразбиение диска на другие логические диски не помогает
  после взрыва ядерной бомбы, в эпицентре остались живые люди
  
  ЧУШЬ
Рейтинг: ↓4+

popupup 8 февраля 2010, 12:28 #

Люди в коментах интересуются "А где менты?", "А где отдел "К" ". Менты ловят на улице габстарбайтеров, сшибая по сотенке, а отдел "К" устраивает провокации вызывая на подставные квартиры установщиков софта и упрашивая их установить что нибудь подороже, типа Adobe . Да , забыл совсем, у них же еще эта... модернизация всего МВД. Так что они заняты, модернизируются.
Рейтинг: ↓-9+

vs_life 8 февраля 2010, 12:26 #

Комментарий скрыт
- Рейтинг: ↓3+
  
  Ioann 8 февраля 2010, 12:46 #
  
  не забывай что вирусы может написать чел более мозговитый и с более прямыми руками чем у тебя .
  - Рейтинг: ↓-2+
    
    vs_life 8 февраля 2010, 12:56 #
    
    ты сам понял, что написал?!
    что бы их предотвратить много мозгов и не надо...
- Рейтинг: ↓2+
  
  vkhein 8 февраля 2010, 13:47 #
  
  Т.е. каждый слесарь, пользующийся молотком, должен быть, по крайней мере, металлургом. Компьютер — инструмент для людей, а не для ITишников! Не должен пользователь (в идеале, конечно) разбираться в дырах Виндовз, он должен свое дело хорошо знать — музыку писать, документы в Ворде варганить, красивые картинки рисовать, а уж вы, господа хорошие, толкущиеся на здешних форумах, помогать остальным.
  Моя одна весьма пожилая знакомая, вынужденная работать на ненавистном компьютере (а жить-то надо!) жаловалась — на что ни нажмешь — порнуха выскакивает! А ей, в ее возрасте, это абсолютно ни к чему. Она пугается, нажимает не туда, куда надо — результат известен. Вы не представляете, что такое лечить у нее компьютер по телефону! Кстати, она и английски не знает. А носиться после работы на противоположный конец Москвы не самое приятное дело!
  - Рейтинг: ↓0+
    
    lusil 8 февраля 2010, 14:06 #
    
    Правильно я уже тоже кроме нонейма боюсь заходить на другие сайты,зайдешь на кино сайт а оттуда такое выскакивает,
    
    Рейтинг: ↓0+
    
    rawens 9 февраля 2010, 19:32 #
    
    ))))) Воистину страшно жить, товарищи )))
Рейтинг: ↓1+

turbolive 8 февраля 2010, 12:25 #

KIS 2010 и никаких проблем.
Для тех, у кого уже выскочили красавицы голые или что-то ещё — http://www.ixbit.ru/forum?open=1239364609_732&page=1692 тут найдёте ключ для любого окна.
Рейтинг: ↓-2+

blind_bard (berserk_ren) 8 февраля 2010, 12:12 #

чет навеяло: по аське один другому пишет:
xxx: — Здорова — твой акк вконтакте какой-то гад взломал.
yyy: — Ага, хай и аську я тоже взломал...

оч просто бороться с этими троянами... он как правило садится на один из жестких дисков в виде файла autorun.inf(ini) не помню расширения... просто у одноклассника малой брательник по порносайтам полазил подцепил нечто похожее... хотя в точности как садится этот троян не знаю, но это один из случаев... может засесть во временные файлы еще...
- Рейтинг: ↓3+
  
  blind_bard (berserk_ren) 8 февраля 2010, 12:14 #
  
  З.Ы. Вопрос только, как до сихпор не вычислили этого гада по короткому номеру, вроде как для короткого номера особая договорённость с оператором требуется и личные данные фирма должна иметь... либо регистрация по ложным\фальшивым документам была, либо фирма сотовой связи не разглашает данные пользователей...
Рейтинг: ↓-2+

_foxh0und (sanson) 8 февраля 2010, 12:03 #

Просто работаешь под пользователем на компе и не подхватишь даже если антивируса нет.
- Рейтинг: ↓0+
  
  exmist 8 февраля 2010, 12:18 #
  
  про уязвимости, позволяющие повысить привилегии пользователя слышал когда-нибудь?
  - Рейтинг: ↓0+
    
    fadarm 8 февраля 2010, 13:28 #
    
    Могу вас с уверенностью сказать, что если стоит антивирус — не важно НОД, Каспер или еще какой-то — то этот троян может только с вашей помощью попасть на комп, например вам скажут что нужно установить плагин, кодек или еще каку-то фигню, а то неоткрывается голая девка.
Рейтинг: ↓1+

isp_28 (Ispanec) 8 февраля 2010, 12:02 #

Совсем недавно тоже попался на эту удочку, на мыло с однокласников. ru от знакомой пришла фотка разрешение JPG, размер где то 500 кб. естественно скачал открыл, ну и дальше рассказывать думаю не надо.... :)
Проблему решаю просто, установил дополнительную 2 — ю ОС, при вне штатной ситуации соответственно перехожу в не заражённую систему, ну а с неё уже гораздо проще всё почистить. Поступаю так уже года 3-4 потому как раньше через запускаемую программу поймал червя, да такого ссука что 5 часов убивал, он прыгал с места на место, антивирь отдуплился только когда уже процес пошол.... в итоге получается что ни фаер ни нод не помогли.
P.S кстати многим общим знакомым пришло подобное письмо именно с однокласников хотя " хозяйка " ящика ни сном ни духом, да с её уровнем знаний компа это и невозможно, так что будьте на страже :) Всем держать ухо востро, враг не спит !
Рейтинг: ↓0+

wound65 8 февраля 2010, 11:43 #

это только в Рунете происходит ?
- Рейтинг: ↓0+
  
  for_denis 8 февраля 2010, 11:46 #
  
  матрица вокруг нас :))))
Рейтинг: ↓0+

ratan524 (ВЛ) 8 февраля 2010, 11:40 #

Лечение с запихиванием инсталяшки в дисковод и далее успешный откат оськи заняли не более 10мин. Сюда же, в это время, вошли и потуги с безопасным режимом... Действительно, у товарищей из "К" не нашлось время посмотреть на эту проблему пристально, а заодно разобраться и с ОПСОСами? Наивно считать, что они не при делах.
Рейтинг: ↓0+

tilsit 8 февраля 2010, 11:39 #

AVZ+ComboFix+LiveCD или DrWeb CureIT+ComboFix+LiveCD — отличные варианты при отсутствии возможности прицепить винт к другой машине
- Рейтинг: ↓0+
  
  mcvito (kakbyanatole) 8 февраля 2010, 12:23 #
  
  сталкивался с таким вирем, при открытии папки с екзешником avz комп сразу перезагружается))) лучше решать при помощи лайв CD!
  - Рейтинг: ↓0+
    
    tilsit 8 февраля 2010, 12:29 #
    
    есть вариант полиморфного AVZ — http://gjf.hotbox.ru/monk.pif
    
    Рейтинг: ↓0+
    
    tilsit 8 февраля 2010, 12:30 #
    
    ..... или http://z-oleg.com/avz.exe
  - Рейтинг: ↓0+
    
    remon50 8 февраля 2010, 12:51 #
    
    В чём вопрос? Переименовываешь avz.exe в game.exe и проблема решена!
    
    Рейтинг: ↓0+
    
    tilsit 8 февраля 2010, 13:00 #
    
    Полиморфный идет одним файлом
Рейтинг: ↓-1+

aero-b (baG) 8 февраля 2010, 11:28 #

Снова на лохах срубили деньжат..........забавно знаете ли........
Рейтинг: ↓3+

isaef 8 февраля 2010, 11:26 #

мозги и прямые руки — лучшие антивирусы!
Рейтинг: ↓0+

for_denis 8 февраля 2010, 11:27 #

Вчера принесли ноут. На рабочем столе надпись "онлайн Антивируса" :))) и страшный такой текст с надписью даже не пытайтесь что-либо предпринимать лучше введите код за соответствующую плату ...
Профиль пользака блокирован , запуск диспетчера задач отключен.
Для владельцев контейнеров Mobile Rack эта проблема решается за 10 минут , путем прогона антивирусом винта на стационаре .
У меня получилось решить проблему путем перезапуска в режиме защиты от сбоев и беглым осмотром модифицированных файлов за последнюю дату. Правда были проблемы с запуском диспетчера задач.
Эта зараза создала 2 (DOS) ехе-шника в корне с:\ , выложила библиотечку в system32 и в профиле пользака в каталоге рабочий стол лежал запускаемый модуль (та самая картинка о введении кода). Какая-то хня лежала в sistemVolumInfomation, но это вычищал уже антивирем ....
В общем 15 минут и машина готова к работе. Дальше ручками включаем отключенные функции в реестре и все.
На машине стоял NOD Antivirus без фаера , что скорее всего и дало возможность запуска такой вот чудилки :)))
Рейтинг: ↓0+

Debugger2005 8 февраля 2010, 11:24 #

На DrWeb.ru есть Кей-Ген для таких вирусов!!!!!!
Рейтинг: ↓1+

caspersan 8 февраля 2010, 11:18 #

это мошенничество в сфере информационных технологий,
вот интересно, почему соответствующая структура мвд ничего не делает,
неужто никто не заявы не пишет?
- Рейтинг: ↓2+
  
  ratan524 (ВЛ) 8 февраля 2010, 11:35 #
  
  А зачем? Здесь не настрижёшь на булку с маслом.
Рейтинг: ↓1+

ivtip 8 февраля 2010, 11:15 #

Легко можно вылечить таким способом:
1. Звонишь товарищу у которого есть выход в интернет,
2. просишь товарища набрать в любом поисковике "смс с текстом на номер 3649" или "смс с текстом 4128800256 на номер 3649", т.е. то что предлагает вирус,
3. товарищ, просматривая ответы, обязательно наткнется на то как лечить этот вирус или какой код ввести,
например набрав "смс с текстом 4128800256 на номер 3649", я по второй ссылке получил в ответ код 4420864, а также достаточно грамотный ответ.
- Рейтинг: ↓-1+
  
  tilsit 8 февраля 2010, 11:21 #
  
  ~5% вероятность нахождения информации о коде по каждому конкретному случаю
  - Рейтинг: ↓0+
    
    ivtip 8 февраля 2010, 11:46 #
    
    не согласен. вероятность больше 50%,
    по той же ссылке находится специальный сервис и достаточно грамотная инструкция как удалить вирус вручную.
    http://netler.ru/pc/trojan-winlock.htm
    
    Рейтинг: ↓1+
    
    tilsit 8 февраля 2010, 12:23 #
    
    http://virusinfo.info/deblocker/
    http://support.kaspersky.ru/viruses/deblocker
    http://www.drweb.com/unlocker/index/?lng=ru
Рейтинг: ↓0+

tilsit 8 февраля 2010, 11:10 #

RansomHide( http://samforum.ws/showthread.php?p=781711#post781711 ) — пару раз прокатывал вариант с подбором кодов
Рейтинг: ↓2+

FaustOVO (Агент кровавой Гебни) 8 февраля 2010, 11:09 #

FireFox + AdBlock Plus + NoScript и все я забыл что такое реклама и вирусы :)
- Рейтинг: ↓0+
  
  petrovich308 8 февраля 2010, 11:20 #
  
  KIS2010+мозги в голове-и никаких проблем с такой фигней не будет
- Рейтинг: ↓0+
  
  Cap_Hawk 8 февраля 2010, 11:25 #
  
  +1000
- Рейтинг: ↓0+
  
  lokki25 8 февраля 2010, 15:09 #
  
  до кучи-Yet Another Remove it Permanently и WOT и Adblock Plus: Element Hiding Helper и FireFox 3.0.17
Рейтинг: ↓-3+

abm1968 8 февраля 2010, 11:01 #

Нет Винды — нет проблем...
- Рейтинг: ↓0+
  
  caspersan 8 февраля 2010, 11:16 #
  
  этих проблем :)