Перейти к содержанию
AM_Bot

Новый Trojan.WinLock блокирует компьютеры украинских пользователей

Recommended Posts

AM_Bot

21 июня 2011 года

Компания «Доктор Веб» — ведущий российский разработчик средств информационной безопасности — предупреждает пользователей об участившихся случаях заражения компьютеров новой модификацией троянской программы Trojan.WinLock, рассчитанной, судя по содержимому блокирующего окна, на пользователей украинского сегмента сети Интернет.

За последние сутки в службу технической поддержки компании «Доктор Веб» уже обратилось несколько десятков пользователей, чьи компьютеры оказались заблокированы новой модификацией троянца Trojan.WinLock. Причем все они оказались жителями Украины.

Вредоносное ПО проникает в систему с одного из украинских сайтов. Trojan.WinLock, действуя по старой схеме, известной многим его жертвам в России, требует отправить SMS с текстом «win1732@ya.ru 1732! Activatе» (в другом случае – «win1732@yandex.ua 1732! Activate») на короткий номер 1010 оператора МТС, 010 оператора «Билайн» или 555 для абонентов «Киевстар», после чего на телефон жертвы, как обещают злоумышленники, должно прийти сообщение с реквизитами счета в системе «Единый кошелек». Для получения кода разблокировки пользователю предлагается пополнить этот счет на сумму 50 гривен либо 80 гривен, в противном случае троянец угрожает уничтожить хранящуюся на компьютере информацию.

На текущий момент специалистам компании «Доктор Веб» известно о двух модификациях данного троянца, различающихся оформлением блокирующего окна. Пользователям, ставшим жертвой злоумышленников, поможет предложенный ниже код разблокировки. Если нарушающее работу операционной системы окно выглядит так, как на скриншоте ниже, введите код разблокировки: 2641881427.

winlock_ukraine-01.jpg

Для пользователей, компьютеры которых подверглись атаке следующей модификации троянца (см. второй скриншот), подойдет код разблокировки: 68548211773.

winlock_ukraine-02.jpg

Сигнатуры данной угрозы уже добавлены в вирусные базы Dr.Web. Для профилактики заражения не забывайте регулярно проводить полное сканирование дисков вашего компьютера. Пользователи, уже пострадавшие от данной угрозы, могут воспользоваться бесплатными продуктами — Dr.Web CureIt! и Dr.Web LiveCD. Кроме того, коды для разблокировки новых модификаций Trojan.WinLock оперативно публикуются на сайте www.drweb.com/unlocker.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Регион-56

Хохл.. Украинцы в панике? :facepalm:

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
21 июня 2011 года

Компания «Доктор Веб» — ведущий российский разработчик средств информационной безопасности — предупреждает пользователей об участившихся случаях заражения компьютеров новой модификацией троянской программы Trojan.WinLock, рассчитанной, судя по содержимому блокирующего окна, на пользователей украинского сегмента сети Интернет.

Т.е., исходя их логики новости, получается, что до настоящего момента винлоки, в окнах которых были указаны российские операторы мобильной связи, не блокировали компьютеры украинских пользователей? :blink::lol::facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Так вроде с момента серьёзного распространения винлоков пятая их часть оседала в Украине, если правильно помню свои рассчёты.

(в лицензионных дисках со S.T.A.L.K.E.R., распространяемых в Украине где-то с год назад, никто вкладыши с этой статистикой не получал? А то у меня даже скана не осталось) :)

Кстати, и российские пользователи вполне ходят по русскоязычным украинским сайтам, среди которых есть весьма неплохие.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Так вроде с момента серьёзного распространения винлоков пятая их часть оседала в Украине, если правильно помню свои рассчёты.

Их не было, они не требовали за уплату украинские деньги, их можно было не учитывать. А блокировка экрана -- это ж тьфу!, что ты... :) Это ж только сейчас выяснилось, что винлоки умеют блокировать экраны украинских пользователей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Их не было, они не требовали за уплату украинские деньги, их можно было не учитывать.

На самом деле были, скриншоты с украинскими короткими номерами присылали, да и другие способы оплаты, заточенные на Украину, тоже были :)

Кстати, нашлись мои рассчёты по украинским винлокам за январь-2010 (сорри, некоторые цифири заменены на ?)

1. Количество пользователей Интернета: Россия - 50 млн. http://www.telecomru.ru/article/?id=5299 Украина - 10 млн: http://itc.ua/node/44040 2. Доля интернет-пользователей, от которых мы получаем статистику: Россия - ??? 902 / 50.000.000 * 100% = ?,35% (0,0?35 от общего числа) Украина - ?? 726 / 10.000.000 * 100% = ?,17% (0,0?17 от общего числа) Будем считать для простоты, что статистика, присылаемая от других стран, занимает в нашей статистике незначительный процент. Единственно что, Казахстан может влиять. Но там присутствие Trojan.Winlock незначительно. 3. Общее число станций, с которых отправляется статистика, в России и в Украине: ??? 902 + ?? 726 = ??? 628. (считаем для простоты, что основное распространение Trojan.Winlock - Россия и Украина). 4. Доля заражённых Trojan.Winlock компьютеров в нашей статистике: Россия: ??? 902 / ??? 628 * 100% = ??,44% (0,??44 от общего числа) Украина: ?? 726 / ??? 628 * 100% = ?,56% (0,0?56 от общего числа) 5. Коэффициент для Украины и России от общего числа детектов Trojan.Winlock: Общая формула: Количество детектов для страны = количество наших детектов * доля заражённых в нашей статистике / долю интернет-пользователей, от которых получаем статистику Для России: Общее количество детектов = количество наших детектов * 0,??44 / 0,0?35 = количество наших детектов * 72,18 (Вот на столько нужно было умножать, на 72, а не на 10, как мы делали при подсчёте размеров эпидемии. Но это ничего, т.к. компенсируется тем, что на каждой заражённой системе может быть до 10 детектов Trojan.Winlock. Поэтому наши цифры оказались адекватными) Для Украины: Общее количество детектов = количество наших детектов * 0,0?56 / 0,0?17 = количество наших детектов * 15,06 Фух. ======================== Теперь самое интересное. Эти коэффициенты (из п.5)  будут подходить для пересчёта всех цифр, которые завязаны на нашу статистику. Если мы предположим, что в России у нас за январь заразились 3.000.000 систем, то в нашей статистике это будет соответствовать 3млн. / ??,18 = ?? 562 системам. Значит, в Украине было заражено ?? 562 * ??,06 = 6?? 923 системы. Если мы предположим, что 20% пользователей отправили СМС-ку (мы так поступали для подсчёта ущерба для своих публикаций), то получается, что деньги отослали в Украине примерно: 6?? 923 = 185 124 человека. Стоимость SMS-ки - 300-700 рублей. Возьмём, что средняя стоимость - 450 рублей. 450*10/37,8139 = 119 гривен. Пусть будет 120 гривен. 185 124 * 120 = 22 214 880 гривен. ======================= Итого, за январь про Украину мы можем говорить о сотнях тысячах заражённых компьютеров и о десятках миллионов гривен дохода, который злоумышленники получили преступным путём.

А вообще заявлять "об участившихся случаях заражения компьютеров новой модификацией троянской программы Trojan.WinLock, рассчитанной, судя по содержимому блокирующего окна, на пользователей украинского сегмента сети Интернет" без конкретной статистики, насколько участились случаи, без даты начала распространения, без номеров модификаций... Это примерно как говорить, "да, много было мошеннических писем по поводу смерти Майкла Джексона" (я ни одного не получил). Да, много, но 500 тыс. или 500 млн... А кто его знает... И, главное, зачем? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
На самом деле были, скриншоты с украинскими короткими номерами присылали, да и другие способы оплаты, заточенные на Украину, тоже были :)

Но о них не говорилось с таким паническим апломбом, как сейчас.

Кстати, нашлись мои рассчёты по украинским винлокам за январь-2010 (сорри, некоторые цифири заменены на ?)...Итого, за январь про Украину мы можем говорить о сотнях тысячах заражённых компьютеров и о десятках миллионов гривен дохода, который злоумышленники получили преступным путём.

Эу как!... Срыв покровов прямо.

А вообще заявлять "об участившихся случаях заражения компьютеров новой модификацией троянской программы Trojan.WinLock, рассчитанной, судя по содержимому блокирующего окна, на пользователей украинского сегмента сети Интернет" без конкретной статистики, насколько участились случаи, без даты начала распространения, без номеров модификаций... Это примерно как говорить, "да, много было мошеннических писем по поводу смерти Майкла Джексона" (я ни одного не получил). Да, много, но 500 тыс. или 500 млн... А кто его знает... И, главное, зачем? :)

Это концепция "вирусная новость -- каждый день" (с)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Но о них не говорилось с таким паническим апломбом, как сейчас.

Ну... в игрушки-то вкладывали. Хотя я лично ни одного диска не видел, ибо нахожусь в России (раз) и не играю в S.T.A.L.K.E.R (два) :)

Это концепция "вирусная новость -- каждый день" (с)

Для этого есть "Горячая лента угроз". Там эта новость есть, и там ей бы было самое место, не на главной. Лента и создавалась для таких локальных новостей, когда непонятно, сколько в граммах и что вообще происходит, но предупредить пользователей желательно. Главное же - предостеречь пользователей, а не...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Для этого есть "Горячая лента угроз". Там эта новость есть, и там ей бы было самое место, не на главной. Лента и создавалась для таких локальных новостей, когда непонятно, сколько в граммах и что вообще происходит, но предупредить пользователей желательно. Главное же - предостеречь пользователей, а не...

Я немного о другом -- ты тогда ещё "вирусными новостями" не занимался. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Я немного о другом -- ты тогда ещё "вирусными новостями" не занимался. smile.gif

То да (загадочно сказал он и пошёл смотреть свежепереведённую серию Game of Thrones) :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
То да (загадочно сказал он и пошёл смотреть свежепереведённую серию Game of Thrones) :)

ага (сказал он, и продолжил играть в KasparovChess) :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
jerkol

А белорусских и узбекистанских пользователей еще не заблокировали? А то ДрВебу сообщать не о чем, вот они про Винлоки и бубнят.

Они сказали, что пользователи им обратились в техподдержку. Пора уже и статистику антивирусов пропускающих Винлоки сделать.

Видимо ДрВеб не ожидают большого количества новых модификация для Украины, если они в новостей два кода выложили.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Они сказали, что пользователи им обратились в техподдержку. Пора уже и статистику антивирусов пропускающих Винлоки сделать.

Видимо ДрВеб не ожидают большого количества новых модификация для Украины, если они в новостей два кода выложили.

Вы вроде бы K7 здесь продвигаете. Есть статистика по тому, сколько винлоков пропускает K7?

В Dr.Web обращаться по поводу винлоков могут бесплатно пользователю любых (и даже никаких) антивирусов, поэтому не показатель.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
jerkol
Вы вроде бы K7 здесь продвигаете. Есть статистика по тому, сколько винлоков пропускает K7?

В Dr.Web обращаться по поводу винлоков могут бесплатно пользователю любых (и даже никаких) антивирусов, поэтому не показатель.

К7 детектирует Винлоки проактивно.

Если к нам в службу поддержки (support@k7security.ru) обратятся пользователи любых и никаких антивирусов, то мы с радостью поможем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr.Belyash
К7 детектирует Винлоки проактивно.

Если к нам в службу поддержки (support@k7security.ru) обратятся пользователи любых и никаких антивирусов, то мы с радостью поможем.

Ты закалебал со своим говнопиаром во всех темах.....по теме и без про какой-то мифический продукт.

Куда смотрят админГи?

---

не успели виталеГа вылечить еще одно чудо появилось

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
не успели виталеГа вылечить

А он разве не на форуме дрвебкома успешно обитает под ником Vindows?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
К7 детектирует Винлоки проактивно.

Это слово мы слышали, но посчитать из него, сколько в процентах - не могу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
jerkol
Ты закалебал со своим говнопиаром во всех темах.....по теме и без про какой-то мифический продукт.

Куда смотрят админГи?

---

не успели виталеГа вылечить еще одно чудо появилось

Я тут сказал, т.к. Меня спросили, и я его в этой теме не пиарил.

А кто такой Виталег?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vilki

Я словил Trojan.WinLock

До того как увидеть на вашем сайте новость в которой указан код разблокировки я проверил систему при помощи Dr.Web® LiveUSB. Нашелся вирус. Я его благополучно удалил. Теперь не загружается Windows. Загрузка доходит до отображения заставки на рабочем столе. Больше ничего не грузиться. Ни одной иконки. Диспетчер задач не запускается – выдается сообщение что действие или программа блокирована администратором. Командная строка не запускается. Попытка загрузиться в безопасном режиме приводит к «синему экрану».

Как я понимаю я «лоханулся» удалил тело вируса, но где-то в реестре остались записи, что типа с этого тела и нужно начинать загрузку.

Есть варианты спасти windows без переустановки системы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Я словил Trojan.WinLock

До того как увидеть на вашем сайте новость в которой указан код разблокировки я проверил систему при помощи Dr.Web® LiveUSB. Нашелся вирус. Я его благополучно удалил. Теперь не загружается Windows. Загрузка доходит до отображения заставки на рабочем столе. Больше ничего не грузиться. Ни одной иконки. Диспетчер задач не запускается – выдается сообщение что действие или программа блокирована администратором. Командная строка не запускается. Попытка загрузиться в безопасном режиме приводит к «синему экрану».

Как я понимаю я «лоханулся» удалил тело вируса, но где-то в реестре остались записи, что типа с этого тела и нужно начинать загрузку.

Есть варианты спасти windows без переустановки системы?

Скорее всего Dr.Web удален userinit. На вебовском форуме есть видео лечения и восстановления userinit, "как восстановить и как найти покореженный файл" http://forum.drweb.com/index.php?showtopic=293348

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

Цитата

Я тут сказал, т.к. Меня спросили, и я его в этой теме не пиарил.К7 детектирует Винлоки проактивно.

Если к нам в службу поддержки (support@k7security.ru) обратятся пользователи любых и никаких антивирусов, то мы с радостью поможем.

Конец цитаты

Любое заявление я всегда прошу подтверждать фактами - а их здесь нет. Второе - про качество вашей замечательной службы поддержки я не слышал ничего, поэтому я не буду никому рекомендовать туда обращаться.

Теперь не взыщите - вы продолжаете пиарить свой продукт в чужих темах и не вняли моим предупреждениям!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Скорее всего Dr.Web удален userinit

Справедливости ради: или винлок подменил собой userinit.exe, а оригинальный переименовал или удалил (такое сейчас бывает).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Любое заявление я всегда прошу подтверждать фактами - а их здесь нет. Второе - про качество вашей замечательной службы поддержки я не слышал ничего, поэтому я не буду никому рекомендовать туда обращаться.

Теперь не взыщите - вы продолжаете пиарить свой продукт в чужих темах и не вняли моим предупреждениям!

Могу тебе сказать -- некоторый опыт есть -- в течение двух дней ответили (фолс устранили). Естественно, я обращался в головной офис. Дополнительным затруднением для "массового зрителя" может оказаться тот факт, что общение будет происходить сугубо на английском. А вот эффективность региональной поддержки -- сам знаешь, что вопрос нонче скользкий, ибо зачастую это -- сугубо перевалочный пункт, высокий КПД которого заключается только в сваливании работы на головной офис как из рога изобилия.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
jerkol
Могу тебе сказать -- некоторый опыт есть -- в течение двух дней ответили (фолс устранили). Естественно, я обращался в головной офис. Дополнительным затруднением для "массового зрителя" может оказаться тот факт, что общение будет происходить сугубо на английском. А вот эффективность региональной поддержки -- сам знаешь, что вопрос нонче скользкий, ибо зачастую это -- сугубо перевалочный пункт, высокий КПД которого заключается только в сваливании работы на головной офис как из рога изобилия.

Большинство вопросов мы стараемся решать сами, в трудных случаях мы сами обращаемся в головной офис и нашему пользователю на русском говорим.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

Jerkol, вы никак не угомонитесь? Это не ваша тема и никто васпро вашу техподдержку здесь не спрашивал.... При вашем количестве пользователей в России вы можете делать все, что угодно. В этом форуме это мало кому интересно.

Миша, я полагаю, что центральные офисы оказывают техюподдержку. Я высказал сомнение в том, что товарищ объявил, что ВСЕ Winlock блочатся проактивно.....Потому как из моих немногих сэмплов первый же прошел и спокойно встал в систему. Кроме того, в этом форуме пиара К7 не будет ни под каким видом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×