«Доктор Веб»: Trojan.Winlock достучался до ЖЖ - Современные угрозы и защита от них - Форумы Anti-Malware.ru Перейти к содержанию
AM_Bot

«Доктор Веб»: Trojan.Winlock достучался до ЖЖ

Автор AM_Bot, в Современные угрозы и защита от них

Recommended Posts

AM_Bot    48

AM_Bot
Опубликовано

3 февраля 2011 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает о новом способе распространения троянцев, блокирующих Windows, — через комментарии в «Живом Журнале» (LiveJournal, LJ) — сервисе блогов, особо популярном у русскоязычных пользователей. Жертва, нажимая на полученный комментарий, попадает на сайт фотохостинга, откуда направляется на интернет-ресурс с порнографическим контентом, где ей предлагается загрузить exe-файл, за которым скрывается Trojan.Winlock.

Социальные сети всегда были лакомым кусочком для вирусописателей. Тем не менее, до недавнего времени модификации Trojan.Winlock через них активно не распространялись. Объясняется это, в частности, тем, что активно использовались другие каналы: сайты для взрослых, файлообменники и другие интернет-ресурсы с сомнительным контентом.

В последние месяцы финансовая схема, которой пользуются авторы Trojan.WinlockВё претерпела некоторые изменения. Прежде всего, это связано с трудностями использования злоумышленниками в тех же объемах коротких номеров, на которые жертвы должны были присылать платные SMS-сообщения. Кроме того, вирусописатели начали активно искать новые каналы распространения, одним из которых с недавнего времени стал «Живой Журнал».

В конце января 2011 года российские пользователи этого популярного сервиса блогов начали получать комментарии (с темой «Немного насущного оффтопа» или «Немного о насущном в оффтоп»), содержащие картинку, при клике на которую попадали на сайт фотохостинга, с которого уже отправлялись на интернет-ресурс с порнографическим контентом. Именно там им предлагалось скачать exe-файл, за которым скрывался печально известный Trojan.Winlock.

comment-mini.png

Если пользователь попадал в эту ловушку и загружал предлагаемый объект, Trojan.Winlock блокировал его компьютер, выдавая сообщение с требованием перевести на специальный номер определенную сумму денег (как правило, 300-400 рублей).

На сегодняшний день порядка половины всех обращений в службу технической поддержки «Доктор Веб» связано с проблемой заражения Trojan.Winlock. Чтобы вы не попали на удочку злоумышленников, специалисты компании «Доктор Веб» рекомендуют вам установить лицензионный антивирус с актуальными обновлениями, а также избегать посещения сомнительных интернет-ресурсов.

При заражении Trojan.Winlock рекомендуем посетить специальный сайт компании "Доктор Веб" - www.drweb.com/unlocker, созданный для помощи пользователям в разблокировке компьютеров.

Источник

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

OlegAndr    236

OlegAndr
Опубликовано

Получал такую картинку, и даже кликал на нее, но винлок не словил.

Даже не заподозрил неладного.

понял почему не словил.

adblock почему-то блокирует скрипт на этом сайте

http://212.150.XXX.117/under.php?id=7466&site=182047.

Этот скрипт выдает document.write, с pop UP, там уже открывается окошко с якобы ютубовыми роликами и уже там предлагается скачть exe для просмотра.

Каспер говорит: Threat detected:

object infected Trojan-Ransom.Win32.HmBlocker.bbb

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Современные угрозы и защита от них

  • Сообщения

    • santy
      Новые функции в Universal Virus Sniffer (uVS)

      От santy · Опубликовано

      Может, стоит включить команды заморозки потоков и выгрузки процессов с измененным кодом при формировании скрипта в режиме "Автоскрипт"? Если были обнаружены процессы с измененным кодом.
    • Ego Dekker
      Актуальные версии антивируса 18-го поколения

      От Ego Dekker · Опубликовано

      Домашние антивирусы для Windows были обновлены до версии 18.2.17.
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Так как, по сути нет возможности проверить расширения браузеров Chrom\ium при работе с образом - то, что-то нужно с этим делать. Отправлять все расширения на V.T. - в момент генерации образа, или упаковывать их в отдельный архив к\с образом автозапуска, или загружать... в облако. Возможно добавить пункт в меню: "Создать полный образ автозапуска с проверкой расширений браузеров".      
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      RC4 переименован в релиз v5.0 с небольшим дополнением, v5.0 доступна для скачивания с сайта и через обновление.
      ---------------------------------------------------------
       5.0
      ---------------------------------------------------------
       o Новый параметр в settings.ini
         [Settings]
         ; Задает количество выводимых в лог процессов, возможно причастных к внедрению подозрительного потока в процесс.
          TopCount (Допустимые значения 0-20, по умолчанию 5, 0 - отключено).
       
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      Проблема оказалась в редакции windows, для home нужно дополнительно прописывать флаг в реестр, в RC4 теперь это делается автоматически.
        Добавил функцию для образов.

      ---------------------------------------------------------
       5.0.RC4
      ---------------------------------------------------------
      o Добавлена поддержка включения отслеживания командной строки процессов для "Home" редакций Windows.
        Теперь при включении отслеживания в лог печатается статус этой опции.

      o Функция "Распечатать в лог топ-10 процессов пересекающихся по времени с этим процессом" теперь доступа и при работе с образом,
        если образ сделан при активном отслеживании процессов.

      o Исправлена критическая ошибка при создании файла описания для скопированного в Zoo большого текстового файла (vbs/cmd и т.д.).

       
×