Перейти к содержанию
AM_Bot

Новый винлокер насмешил специалистов

Recommended Posts

AM_Bot

19 февраля 2013 года

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — уже неоднократно публиковала новостные материалы, посвященные вредоносным программам семейства Trojan.Winlock. Подобные троянцы-вымогатели, блокирующие нормальную работу операционной системы и требующие у жертвы заплатить определенную сумму за ее разблокировку, известны уже довольно давно. Тем не менее, одна из недавно обнаруженных версий данного троянца удивила даже повидавших всякое специалистов «Доктор Веб».

Троянцы-блокировщики семейства Trojan.Winlock демонстрируют своим жертвам требования об оплате на разных языках: например, в феврале 2012 года специалистами компании «Доктор Веб» была обнаружена вредоносная программа Trojan.Winlock.5490, угрожающая шариатским судом арабским пользователям, незадолго до этого в вирусные базы были добавлены винлоки на французском, немецком и итальянском языках. Однако вредоносная программа, получившая обозначение Trojan.Winlock.8026, озадачила вирусных аналитиков «Доктор Веб» прежде всего тем, что они так и не смогли определить, на каком языке написано отображаемое на экране заблокированного компьютера сообщение:

shaitanama.1.png

Троянец представляет собой примитивную форму, созданную с использованием среды разработки Delphi, код которой содержит не меньше нелепых ошибок, чем демонстрируемый на экране текст. Форма разработана с помощью стандартного конструктора Delphi, ничем не упакована, исполняемый файл вредоносной программы занимает более 7 Мб, а все ресурсы (включая код разблокировки) хранятся в приложении в открытом виде. По всей видимости, коварный злоумышленник создавал эту грозную вредоносную программу второпях, пока родители не вернулись с работы и не заставили его делать домашнее задание по русскому языку. В качестве альтернативы можно предположить, что перед нами проявление итогов либерализации российского законодательства в области миграционной политики, благодаря которому трудовые мигранты из ближнего зарубежья, пока еще не в достаточной степени владеющие русским языком, постепенно осваивают все новые и новые специальности.

Сигнатура Trojan.Winlock.8026 успешно добавлена в вирусные базы, и потому троянец не представляет опасности для пользователей антивирусного ПО Dr.Web. Впрочем, он не представляет серьезной опасности и сам по себе: если по ошибке или в силу роковой случайности вы запустили данную вредоносную программу на своем компьютере, то, хорошенько отсмеявшись, воспользуйтесь кодом 141989081989 для его разблокировки.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

воспользуйтесь кодом 141989081989 для его разблокировки.

14 августа 1989 года. Ну не такой уж и школьник, кстати.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

на второй год 10 раз оставался? .. ))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Milord

Блокер легко закрывается по Alt+F4) и самое странное, что в самом сообщении блокера, работает поиск)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
B .
14 августа 1989 года. Ну не такой уж и школьник, кстати.

Значит, второй вариант. Есть еще ненулевая вероятность, что аффтар троянца был конкретно упорот. Кстати, если в окошке локера набрать неправильный код, то он вот так делает:

5e1d73c9203e41949a41b01baa9c3ce4.png

[x] не смотреть на работе

[x] страшный албанский вирус

[x] ржали фсем офесом

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 17.2.7.
    • demkd
      ---------------------------------------------------------
       4.15.7
      ---------------------------------------------------------
       o Исправлена старая ошибка проверки ЭЦП: "Not a cryptographic message or the cryptographic message is not formatted correctly"
         проявляющаяся в некоторых системах.

       o Обновлена база известных файлов.

       
    • demkd
      ---------------------------------------------------------
       4.15.6
      ---------------------------------------------------------
       o Исправлена ошибка из-за которой автоматически не замораживались потоки внедренные в uVS,
         если их код НЕ принадлежал одной из загруженных DLL.

       o Добавлена поддержка английского интерфейса при запуске под Win2k.

       
    • demkd
      Иногда спрашивают, как загрузиться в командную строку без диска, я постоянно забывают дополнить Общий FAQ.
      И вот наконец-то я про это вспомнил:
      Q: Как запустить uVS с командной строки Windows без использования загрузочного диска/флешки для работы с НЕактивной системой.
         (!) Для текущей версии uVS работа с командной строки доступна только для 32-х битных систем. (что бы работало в x64 системах, нужно делать uVS x64 и это запланировано).
         1. Если у вас Windows 8 и старше, то запустите start.exe и нажмите кнопку "Перезагрузить систему в меню дополнительных параметров загрузки".
         2. Далее в меню "Поиск и устранение неисправностей->Дополнительные параметры->Командная строка"
         3. Выберите админскую учетную запись и введите для нее пароль.
         4. Запустите start.exe из каталога uVS с командной строки.
            (!) Обычно система расположена на диске D.
                Например: uVS лежит в каталоге С:\uvs (в командной строке это будет D:\uvs)
                Для запуска uVS необходимо последовательно набрать 3 команды, завершая каждую нажатием клавиши Enter.
                1. d:
                2. cd d:\uvs
                3. start.exe
         5. Выбрать каталог Windows (обычно D:\Windows).
         Если у вас Windows 7 и младше, то в меню вы можете попасть только нажав F8 при перезагрузке системы
         (!) Использовать msconfig для этого не рекомендуется, система может не загрузиться после его использования.
         Для младших систем доступен только безопасный режим с поддержкой командной строки, т.е. система будет активна.
       
    • demkd
      ---------------------------------------------------------
       4.15.5
      ---------------------------------------------------------
       o Обновлена функция трансляции переменных окружения USERPROFILE, HOMEPATH, LOCALAPPDATA, APPDATA.
         Значения этих переменных теперь зависят от того где физически находится lnk файл.
         Теперь с разбором lnk файлов будет меньше проблем, но я все же рекомендую удалять ссылки
         на отсутствующие объекты только под текущем пользователем.

       o Исправлена функция разбора путей не содержащих букву диска.

       o Исправлена функция разбора аргументов rundll32.

       o Обновлен start.exe.
         o Обновлен интерфейс.
         o Изменена кнопка по умолчанию, теперь это "запуск под текущим пользователем".
         o Исправлена ошибка: при определенных параметрах повторный запуск uVS в режиме "до запуска эксплорера" был невозможен.
         
×