В ноябре Microsoft пополнила базу MRST (Malicious Software Removal Tool, средство удаления вредоносных программ) сигнатурами Win32/Weelsof ― обширного семейства троянских блокировщиков, обосновавшихся в Западной Европе и США.

Weelsof распространяется путем drive-by загрузок с зараженного сайта или с помощью эксплойт-паков и вредоносных iframe. При запуске он определяет версию ОС и создает свою копию с произвольным именем в папке %APPDATA% или %windir%. Затем производит модификации записей в системном реестре в обеспечение запуска этой копии при каждом старте Windows (включая безопасный режим). Наконец, подключается к стороннему узлу на порту 80 и загружает страницу-заставку с требованием выкупа, данные о географическом местоположении и IP-адрес зараженного компьютера, сообщает securelist.com.

После этого Weelsof приступает к основной части своей программы: блокирует доступ к рабочему столу и выводит во весь экран локализованную страницу с поддельным сообщением от местных блюстителей порядка, якобы обнаруживших на машине пиратский контент. «Правонарушителю» предлагается в кратчайшие сроки заплатить штраф, чтобы вернуть компьютер в рабочее состояние. По свидетельству экспертов, структура воспроизводимой зловредом страницы периодически меняется ― во избежание обнаружения. Уплата выкупа далеко не всегда дает желаемый эффект, посему уступать требованиям вымогателей не рекомендуется.

Обновленный MRST начал с усердием вычищать Weelsof на местах, и к концу ноября число этих детектов, фиксируемых защитными решениями Microsoft, уменьшилось вполовину. Большое количество локальных заражений Weelsof обнаружено в США и Германии (по 19% общей популяции), а также во Франции (15%), Великобритании (12%) и Голландии (8%).