AM_Bot

Новый Trojan.WinLock блокирует компьютеры украинских пользователей

В этой теме 26 сообщений

21 июня 2011 года

Компания «Доктор Веб» — ведущий российский разработчик средств информационной безопасности — предупреждает пользователей об участившихся случаях заражения компьютеров новой модификацией троянской программы Trojan.WinLock, рассчитанной, судя по содержимому блокирующего окна, на пользователей украинского сегмента сети Интернет.

За последние сутки в службу технической поддержки компании «Доктор Веб» уже обратилось несколько десятков пользователей, чьи компьютеры оказались заблокированы новой модификацией троянца Trojan.WinLock. Причем все они оказались жителями Украины.

Вредоносное ПО проникает в систему с одного из украинских сайтов. Trojan.WinLock, действуя по старой схеме, известной многим его жертвам в России, требует отправить SMS с текстом «[email protected] 1732! Activatе» (в другом случае – «[email protected] 1732! Activate») на короткий номер 1010 оператора МТС, 010 оператора «Билайн» или 555 для абонентов «Киевстар», после чего на телефон жертвы, как обещают злоумышленники, должно прийти сообщение с реквизитами счета в системе «Единый кошелек». Для получения кода разблокировки пользователю предлагается пополнить этот счет на сумму 50 гривен либо 80 гривен, в противном случае троянец угрожает уничтожить хранящуюся на компьютере информацию.

На текущий момент специалистам компании «Доктор Веб» известно о двух модификациях данного троянца, различающихся оформлением блокирующего окна. Пользователям, ставшим жертвой злоумышленников, поможет предложенный ниже код разблокировки. Если нарушающее работу операционной системы окно выглядит так, как на скриншоте ниже, введите код разблокировки: 2641881427.

winlock_ukraine-01.jpg

Для пользователей, компьютеры которых подверглись атаке следующей модификации троянца (см. второй скриншот), подойдет код разблокировки: 68548211773.

winlock_ukraine-02.jpg

Сигнатуры данной угрозы уже добавлены в вирусные базы Dr.Web. Для профилактики заражения не забывайте регулярно проводить полное сканирование дисков вашего компьютера. Пользователи, уже пострадавшие от данной угрозы, могут воспользоваться бесплатными продуктами — Dr.Web CureIt! и Dr.Web LiveCD. Кроме того, коды для разблокировки новых модификаций Trojan.WinLock оперативно публикуются на сайте www.drweb.com/unlocker.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
21 июня 2011 года

Компания «Доктор Веб» — ведущий российский разработчик средств информационной безопасности — предупреждает пользователей об участившихся случаях заражения компьютеров новой модификацией троянской программы Trojan.WinLock, рассчитанной, судя по содержимому блокирующего окна, на пользователей украинского сегмента сети Интернет.

Т.е., исходя их логики новости, получается, что до настоящего момента винлоки, в окнах которых были указаны российские операторы мобильной связи, не блокировали компьютеры украинских пользователей? :blink::lol::facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Так вроде с момента серьёзного распространения винлоков пятая их часть оседала в Украине, если правильно помню свои рассчёты.

(в лицензионных дисках со S.T.A.L.K.E.R., распространяемых в Украине где-то с год назад, никто вкладыши с этой статистикой не получал? А то у меня даже скана не осталось) :)

Кстати, и российские пользователи вполне ходят по русскоязычным украинским сайтам, среди которых есть весьма неплохие.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Так вроде с момента серьёзного распространения винлоков пятая их часть оседала в Украине, если правильно помню свои рассчёты.

Их не было, они не требовали за уплату украинские деньги, их можно было не учитывать. А блокировка экрана -- это ж тьфу!, что ты... :) Это ж только сейчас выяснилось, что винлоки умеют блокировать экраны украинских пользователей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Их не было, они не требовали за уплату украинские деньги, их можно было не учитывать.

На самом деле были, скриншоты с украинскими короткими номерами присылали, да и другие способы оплаты, заточенные на Украину, тоже были :)

Кстати, нашлись мои рассчёты по украинским винлокам за январь-2010 (сорри, некоторые цифири заменены на ?)

1. Количество пользователей Интернета: Россия - 50 млн. http://www.telecomru.ru/article/?id=5299 Украина - 10 млн: http://itc.ua/node/44040 2. Доля интернет-пользователей, от которых мы получаем статистику: Россия - ??? 902 / 50.000.000 * 100% = ?,35% (0,0?35 от общего числа) Украина - ?? 726 / 10.000.000 * 100% = ?,17% (0,0?17 от общего числа) Будем считать для простоты, что статистика, присылаемая от других стран, занимает в нашей статистике незначительный процент. Единственно что, Казахстан может влиять. Но там присутствие Trojan.Winlock незначительно. 3. Общее число станций, с которых отправляется статистика, в России и в Украине: ??? 902 + ?? 726 = ??? 628. (считаем для простоты, что основное распространение Trojan.Winlock - Россия и Украина). 4. Доля заражённых Trojan.Winlock компьютеров в нашей статистике: Россия: ??? 902 / ??? 628 * 100% = ??,44% (0,??44 от общего числа) Украина: ?? 726 / ??? 628 * 100% = ?,56% (0,0?56 от общего числа) 5. Коэффициент для Украины и России от общего числа детектов Trojan.Winlock: Общая формула: Количество детектов для страны = количество наших детектов * доля заражённых в нашей статистике / долю интернет-пользователей, от которых получаем статистику Для России: Общее количество детектов = количество наших детектов * 0,??44 / 0,0?35 = количество наших детектов * 72,18 (Вот на столько нужно было умножать, на 72, а не на 10, как мы делали при подсчёте размеров эпидемии. Но это ничего, т.к. компенсируется тем, что на каждой заражённой системе может быть до 10 детектов Trojan.Winlock. Поэтому наши цифры оказались адекватными) Для Украины: Общее количество детектов = количество наших детектов * 0,0?56 / 0,0?17 = количество наших детектов * 15,06 Фух. ======================== Теперь самое интересное. Эти коэффициенты (из п.5)  будут подходить для пересчёта всех цифр, которые завязаны на нашу статистику. Если мы предположим, что в России у нас за январь заразились 3.000.000 систем, то в нашей статистике это будет соответствовать 3млн. / ??,18 = ?? 562 системам. Значит, в Украине было заражено ?? 562 * ??,06 = 6?? 923 системы. Если мы предположим, что 20% пользователей отправили СМС-ку (мы так поступали для подсчёта ущерба для своих публикаций), то получается, что деньги отослали в Украине примерно: 6?? 923 = 185 124 человека. Стоимость SMS-ки - 300-700 рублей. Возьмём, что средняя стоимость - 450 рублей. 450*10/37,8139 = 119 гривен. Пусть будет 120 гривен. 185 124 * 120 = 22 214 880 гривен. ======================= Итого, за январь про Украину мы можем говорить о сотнях тысячах заражённых компьютеров и о десятках миллионов гривен дохода, который злоумышленники получили преступным путём.

А вообще заявлять "об участившихся случаях заражения компьютеров новой модификацией троянской программы Trojan.WinLock, рассчитанной, судя по содержимому блокирующего окна, на пользователей украинского сегмента сети Интернет" без конкретной статистики, насколько участились случаи, без даты начала распространения, без номеров модификаций... Это примерно как говорить, "да, много было мошеннических писем по поводу смерти Майкла Джексона" (я ни одного не получил). Да, много, но 500 тыс. или 500 млн... А кто его знает... И, главное, зачем? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
На самом деле были, скриншоты с украинскими короткими номерами присылали, да и другие способы оплаты, заточенные на Украину, тоже были :)

Но о них не говорилось с таким паническим апломбом, как сейчас.

Кстати, нашлись мои рассчёты по украинским винлокам за январь-2010 (сорри, некоторые цифири заменены на ?)...Итого, за январь про Украину мы можем говорить о сотнях тысячах заражённых компьютеров и о десятках миллионов гривен дохода, который злоумышленники получили преступным путём.

Эу как!... Срыв покровов прямо.

А вообще заявлять "об участившихся случаях заражения компьютеров новой модификацией троянской программы Trojan.WinLock, рассчитанной, судя по содержимому блокирующего окна, на пользователей украинского сегмента сети Интернет" без конкретной статистики, насколько участились случаи, без даты начала распространения, без номеров модификаций... Это примерно как говорить, "да, много было мошеннических писем по поводу смерти Майкла Джексона" (я ни одного не получил). Да, много, но 500 тыс. или 500 млн... А кто его знает... И, главное, зачем? :)

Это концепция "вирусная новость -- каждый день" (с)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Но о них не говорилось с таким паническим апломбом, как сейчас.

Ну... в игрушки-то вкладывали. Хотя я лично ни одного диска не видел, ибо нахожусь в России (раз) и не играю в S.T.A.L.K.E.R (два) :)

Это концепция "вирусная новость -- каждый день" (с)

Для этого есть "Горячая лента угроз". Там эта новость есть, и там ей бы было самое место, не на главной. Лента и создавалась для таких локальных новостей, когда непонятно, сколько в граммах и что вообще происходит, но предупредить пользователей желательно. Главное же - предостеречь пользователей, а не...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Для этого есть "Горячая лента угроз". Там эта новость есть, и там ей бы было самое место, не на главной. Лента и создавалась для таких локальных новостей, когда непонятно, сколько в граммах и что вообще происходит, но предупредить пользователей желательно. Главное же - предостеречь пользователей, а не...

Я немного о другом -- ты тогда ещё "вирусными новостями" не занимался. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Я немного о другом -- ты тогда ещё "вирусными новостями" не занимался. smile.gif

То да (загадочно сказал он и пошёл смотреть свежепереведённую серию Game of Thrones) :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
То да (загадочно сказал он и пошёл смотреть свежепереведённую серию Game of Thrones) :)

ага (сказал он, и продолжил играть в KasparovChess) :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А белорусских и узбекистанских пользователей еще не заблокировали? А то ДрВебу сообщать не о чем, вот они про Винлоки и бубнят.

Они сказали, что пользователи им обратились в техподдержку. Пора уже и статистику антивирусов пропускающих Винлоки сделать.

Видимо ДрВеб не ожидают большого количества новых модификация для Украины, если они в новостей два кода выложили.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Они сказали, что пользователи им обратились в техподдержку. Пора уже и статистику антивирусов пропускающих Винлоки сделать.

Видимо ДрВеб не ожидают большого количества новых модификация для Украины, если они в новостей два кода выложили.

Вы вроде бы K7 здесь продвигаете. Есть статистика по тому, сколько винлоков пропускает K7?

В Dr.Web обращаться по поводу винлоков могут бесплатно пользователю любых (и даже никаких) антивирусов, поэтому не показатель.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вы вроде бы K7 здесь продвигаете. Есть статистика по тому, сколько винлоков пропускает K7?

В Dr.Web обращаться по поводу винлоков могут бесплатно пользователю любых (и даже никаких) антивирусов, поэтому не показатель.

К7 детектирует Винлоки проактивно.

Если к нам в службу поддержки ([email protected]) обратятся пользователи любых и никаких антивирусов, то мы с радостью поможем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
К7 детектирует Винлоки проактивно.

Если к нам в службу поддержки ([email protected]) обратятся пользователи любых и никаких антивирусов, то мы с радостью поможем.

Ты закалебал со своим говнопиаром во всех темах.....по теме и без про какой-то мифический продукт.

Куда смотрят админГи?

---

не успели виталеГа вылечить еще одно чудо появилось

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
не успели виталеГа вылечить

А он разве не на форуме дрвебкома успешно обитает под ником Vindows?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
К7 детектирует Винлоки проактивно.

Это слово мы слышали, но посчитать из него, сколько в процентах - не могу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ты закалебал со своим говнопиаром во всех темах.....по теме и без про какой-то мифический продукт.

Куда смотрят админГи?

---

не успели виталеГа вылечить еще одно чудо появилось

Я тут сказал, т.к. Меня спросили, и я его в этой теме не пиарил.

А кто такой Виталег?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я словил Trojan.WinLock

До того как увидеть на вашем сайте новость в которой указан код разблокировки я проверил систему при помощи Dr.Web® LiveUSB. Нашелся вирус. Я его благополучно удалил. Теперь не загружается Windows. Загрузка доходит до отображения заставки на рабочем столе. Больше ничего не грузиться. Ни одной иконки. Диспетчер задач не запускается – выдается сообщение что действие или программа блокирована администратором. Командная строка не запускается. Попытка загрузиться в безопасном режиме приводит к «синему экрану».

Как я понимаю я «лоханулся» удалил тело вируса, но где-то в реестре остались записи, что типа с этого тела и нужно начинать загрузку.

Есть варианты спасти windows без переустановки системы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Я словил Trojan.WinLock

До того как увидеть на вашем сайте новость в которой указан код разблокировки я проверил систему при помощи Dr.Web® LiveUSB. Нашелся вирус. Я его благополучно удалил. Теперь не загружается Windows. Загрузка доходит до отображения заставки на рабочем столе. Больше ничего не грузиться. Ни одной иконки. Диспетчер задач не запускается – выдается сообщение что действие или программа блокирована администратором. Командная строка не запускается. Попытка загрузиться в безопасном режиме приводит к «синему экрану».

Как я понимаю я «лоханулся» удалил тело вируса, но где-то в реестре остались записи, что типа с этого тела и нужно начинать загрузку.

Есть варианты спасти windows без переустановки системы?

Скорее всего Dr.Web удален userinit. На вебовском форуме есть видео лечения и восстановления userinit, "как восстановить и как найти покореженный файл" http://forum.drweb.com/index.php?showtopic=293348

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Цитата

Я тут сказал, т.к. Меня спросили, и я его в этой теме не пиарил.К7 детектирует Винлоки проактивно.

Если к нам в службу поддержки ([email protected]) обратятся пользователи любых и никаких антивирусов, то мы с радостью поможем.

Конец цитаты

Любое заявление я всегда прошу подтверждать фактами - а их здесь нет. Второе - про качество вашей замечательной службы поддержки я не слышал ничего, поэтому я не буду никому рекомендовать туда обращаться.

Теперь не взыщите - вы продолжаете пиарить свой продукт в чужих темах и не вняли моим предупреждениям!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Скорее всего Dr.Web удален userinit

Справедливости ради: или винлок подменил собой userinit.exe, а оригинальный переименовал или удалил (такое сейчас бывает).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Любое заявление я всегда прошу подтверждать фактами - а их здесь нет. Второе - про качество вашей замечательной службы поддержки я не слышал ничего, поэтому я не буду никому рекомендовать туда обращаться.

Теперь не взыщите - вы продолжаете пиарить свой продукт в чужих темах и не вняли моим предупреждениям!

Могу тебе сказать -- некоторый опыт есть -- в течение двух дней ответили (фолс устранили). Естественно, я обращался в головной офис. Дополнительным затруднением для "массового зрителя" может оказаться тот факт, что общение будет происходить сугубо на английском. А вот эффективность региональной поддержки -- сам знаешь, что вопрос нонче скользкий, ибо зачастую это -- сугубо перевалочный пункт, высокий КПД которого заключается только в сваливании работы на головной офис как из рога изобилия.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Могу тебе сказать -- некоторый опыт есть -- в течение двух дней ответили (фолс устранили). Естественно, я обращался в головной офис. Дополнительным затруднением для "массового зрителя" может оказаться тот факт, что общение будет происходить сугубо на английском. А вот эффективность региональной поддержки -- сам знаешь, что вопрос нонче скользкий, ибо зачастую это -- сугубо перевалочный пункт, высокий КПД которого заключается только в сваливании работы на головной офис как из рога изобилия.

Большинство вопросов мы стараемся решать сами, в трудных случаях мы сами обращаемся в головной офис и нашему пользователю на русском говорим.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Jerkol, вы никак не угомонитесь? Это не ваша тема и никто васпро вашу техподдержку здесь не спрашивал.... При вашем количестве пользователей в России вы можете делать все, что угодно. В этом форуме это мало кому интересно.

Миша, я полагаю, что центральные офисы оказывают техюподдержку. Я высказал сомнение в том, что товарищ объявил, что ВСЕ Winlock блочатся проактивно.....Потому как из моих немногих сэмплов первый же прошел и спокойно встал в систему. Кроме того, в этом форуме пиара К7 не будет ни под каким видом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS