Вирус-вымогатель

[AM_Bot 48]

В последнее время участились случаи заражения компьютеров пользователей операционной системы Windows разновидностью вируса «Trojan.Winlock», являющегося вредоносной программой «Трояном-вымогателем», которая блокирует работу с операционной системой и требует перечисления денег злоумышленником за восстановление работоспособности компьютера. Только за последний месяц в органы внутренних дел Брестской области трижды обращались граждане, компьютеры которых были выведены из строя такими вредоносными программами, причем как находящиеся в личном пользовании, так и на рабочих местах.

Приведем типичный пример: в милицию с заявлением обратился работник одной из АЗС Брестского района, в котором указал, что компьютер на его рабочем месте по непонятной причине был заблокирован якобы за посещение порнографических интернет-ресурсов, а для разблокировки владельцу необходимо перевести деньги в сумме 200 тысяч рублей на электронный кошелек электронной платежной системы WebMoney, указанный в появившемся на мониторе сообщении. Так как без работоспособного компьютера выполнять свою непосредственную работу заявитель не мог, он взял и перечислил необходимую сумму на указанный электронный кошелек. Однако никакого кода разблокировки, разумеется, не получил.

По просьбе сотрудников отдела по раскрытию преступлений в сфере высоких технологий УВД Брестского облисполкома вирус, обнаруженный на компьютерном оборудовании одного из заявителей, был исследован в ОДО «ВирусБлокАда» в Минске. Специалисты установили, что он представляет собой исполняемую программу, написанную на языке программирования Borland Delphi.

Вирус размещает окно со своим сообщением поверх окон других программ, не дает перемещать курсор мыши за пределы своего окна, что блокирует нормальную работу с другими программами. Программа не завершается обычными методами закрытия программ в операционных системах и изменяет одну из системных веток реестра с целью последующего автоматического запуска при перезагрузке компьютера, т.е. возможна работа данной программы без участия пользователя.

«Троян-вымогатель» также автоматически закрывает окно приложения “Диспетчер задач”, что лишает пользователя возможности аварийно или принудительно закрывать программы. При своем запуске программа случайным образом выбирает один из двух номеров B218975566411 и B251686074239 электронного кошелька платежной системы WebMoney и отображает на создаваемом окне. Вирус не обладает функционалом по порче, удалению, передаче информации или других программ по компьютерной сети, сети Интернет или иным способом. При введении кода 753753 в окно программа завершает свою работу, удаляет себя с жесткого диска и восстанавливает изменения, внесенные в системный реестр, т.е. возвращает компьютер в первозданный вид.

Различные модификации вредоносной программы отличаются лишь номерами электронных кошельков, кодами разблокировки и указанными суммами для оплаты.

О массовости «заражения» компьютеров пользователей свидетельствует анализ денежных сумм, перечисляемых на указанные вредоносной программой электронные кошельки. Так, например, за период активации указанных электронных кошельков (два дня) от пользователей различных регионов республики на данные кошельки были перечислены денежные суммы – 2,5 миллиона рублей и 4,5 миллиона рублей соответственно.

С большой долей вероятности данный вирус «можно подцепить» при скачивании различного контента (фильмы, музыка, программное обеспечение) с популярных российских торрент-трекеров.

Как обезопасить себя от получения подобных вредоносных программ и что делать, если все же ваш компьютер был ими заражен?

Конечно, чтобы обезопасить себя от подобных и других неприятностей, на своем компьютере необходимо иметь установленное и постоянно обновляемое антивирусное программное обеспечение.

В случае если все же ваш компьютер был заражен, не паниковать. Естественно, никаких денег никуда не перечислять, так никакого кода разблокировки вы не получите хотя бы по той причине, что получатель ваших денег даже не знает, куда этот код разблокировки высылать. Данный код в некоторых случаях можно найти в Интернете в советах различных пользователей сети. Если не получается, следует обратиться к специалистам. Как правило, при полной блокировке можно загрузиться в систему с отдельного загрузочного диска.

По одному из заявлений граждан по фактам заражения их компьютеров данной вредоносной программой возбуждено уголовное дело по ст.354 ч.1 УК РБ «Разработка, использование либо распространение вредоносных программ». По другим случаям проводится проверка. Правда, затрудняет проведение необходимых оперативно-розыскных мероприятий и следственных действий то, что практически все следы противоправной деятельности ведут на территорию другого государства – в Российскую Федерацию.

Андрей ГОЛОДКО, начальник отдела по раскрытию преступлений в сфере высоких технологий

Источник публикации 

Подробнее

[Celsus 60]

У АЗС Брестского района нет людей, разбирающихся в винлоках?

[priv8v 960]

нужно по пятибальной шкале оценить дизайн порно-блокера? потому нужен ценитель...

[sergey ulasen 200]

У АЗС Брестского района нет людей, разбирающихся в винлоках?

Не поверите, но на этой планетке хватает и куда более значимых и серьезных организаций, где НИКТО не разбирается в винлоках. И куда уж там какой-то АЗС в Брестском районе.

[Rustock.C 110]

Немного сверну от темы. Интересует информация от представителя данного вендора.

Кто, и на чём основываясь, даёт такой детект (Trojan-Ransom.Win32.PornoBlocker.sd)?

Файл не имеет никакого отношения к Ransom'у.

http://www.virustotal.com/file-scan/report...d0dc-1319049436

[Danilka 678]

Rustock.C, предполагаю, что такой детект был у ЛК, но потом когда мы фолсу убрали, то убрали ее не все.

[Rustock.C 110]

Danilka, у меня тоже были подобные мысли.

P.S. Вот, что значит "воровать" детект.

[Oleg Kupreev 0]

Лучше было в новую тему запостить, их и так у нас не много.

Ложняк закрыл, в следующем обновлении детектировать перестанем.