Trojan winlock

  • автор:

Trojan.Winlock

Trojan.Winlock, или «Винлокер»

Полное название (Касперский) Тип

Троянская программа

Год появления Используемое ПО

EXE,
загрузочный

Описание Symantec

Описание Лаборатории Касперского

Окно Trojan.Winlock 19

Trojan.Winlock (Винлокер) — семейство вредоносных программ, блокирующих или затрудняющих работу с операционной системой, и требующих перечисление денег злоумышленникам за восстановление работоспособности компьютера, частный случай Ransomware (программ-вымогателей). Впервые появились в конце 2007 года. Широкое распространение вирусы-вымогатели получили зимой 2009—2010 годов, по некоторым данным оказались заражены миллионы компьютеров, преимущественно среди пользователей русскоязычного Интернета. Второй всплеск активности такого вредоносного ПО пришёлся на май 2010 года.

Ранее для перевода денег обычно использовались короткие премиум-номера, в настоящее время подобные программы также могут требовать перечисления денег на электронные кошельки (например, «Яндекс.Деньги»), либо баланс мобильного номера. Необходимость перевести деньги часто объясняется тем, что «Вы получили временный бесплатный доступ к сайту для взрослых, необходимо оплатить продолжение его использования», либо тем, что «на Вашем компьютере обнаружена нелицензионная копия Windows». Также возможен вариант «за просмотр и копирование и тиражирование видео с насилием над детьми и педофилии». Пути распространения Trojan.Winlock и подобных вирусов разнообразны, в значительной части случаев инфицирование происходит через уязвимости браузеров при просмотре заражённых сайтов, либо при использовании мошенниками специальных «связок», позволяющих заражать только необходимые компьютеры также через браузер.

Классификация различных вендоров

  • Trojan.Winlock – по классификации компании Доктор Веб.
  • Trojan-Ransom – по классификации компании Лаборатория Касперского.
  • Trojan.LockScreen – по классификации компании ESET.

Предыстория

Первая программа-вымогатель появилась в декабре 1989 года. Пользователи получили по почте дискетки с программой, предоставляющей информацию о СПИДе. После установки система приводилась в неработоспособное состояние, и за её восстановление с пользователей требовали денег. Первый SMS-блокер был зарегистрирован 25 октября 2007. Вымогатель инсценировал сбой системы (синий экран смерти). Практически полностью блокировал управление системой.

Описание

Trojan.Winlock, имитирующий синий экран смертиTrojan.Winlock, выдающий себя за онлайн-сканер Лаборатории Касперского

На данный период времени сотрудниками различных антивирусных компаний зафиксировано несколько тысяч различных видов винлокеров. Наиболее ранние типы требовали за разблокировку не более 10 рублей, а если пользователь оставлял включённым компьютер на некоторое время, то они самоуничтожались (к примеру Trojan.Winlock 19 сам удалялся без следа через 2 часа.) Однако позднее появились более опасные разновидности, которые не удалялись сами по себе и требовали за разблокировку уже от 300 до 1000 рублей.

Винлокеры ориентированы преимущественно на российских пользователей, позже появились и зарубежные версии. В них использованы методы социальной инженерии. Обычно необходимость выплаты денежной суммы объясняется использованием нелицензионного программного обеспечения или просмотром порнофильмов. Следует отметить, что в большинстве случаев заражение происходит именно с порносайтов. Достаточно часто причины необходимости отправки SMS или способы получения кода звучат абсурдно, например, «Ваш компьютер заблокирован за просмотр порнографии с несовершеннолетними и зоофилией. Для разблокировки компьютера необходимо пополнить баланс телефона в любом терминале оплаты. После оплаты код разблокировки должен появиться на чеке оплаты». Не редки орфографические ошибки. Более того, практически на всех баннерах написано предупреждение, о том, что попытка обмануть «систему оплаты» приведёт к нарушению работы компьютера или уничтожению данных. В некоторые из них даже встроен таймер обратного отсчёта, по истечении времени которого вирус обещает уничтожить все данные пользователя. Чаще всего, это простая угроза, убеждающая пользователя отдать злоумышленнику деньги. Однако, некоторые версии действительно снабжаются инструментами для уничтожения данных, но из-за низкого профессионализма авторов, особенностями установки или по другим причинам они чаще всего не срабатывают должным образом.

Заражение может произойти во время запуска программ, маскирующихся под инсталлятор какой-нибудь добросовестной программы или самораспаковывающиеся архивы. При этом в «лицензионном соглашении» (которое рядовой пользователь редко читает) оговаривается, что пользователь согласен установить на компьютер приложение «рекламного характера», которое он обязан просмотреть определённое количество раз, либо отказаться от просмотра, отправив SMS. Число требуемых просмотров обычно идёт на тысячи, поэтому пользователи предпочитают отправлять SMS злоумышленнику.

Вид «интерфейса» троянов очень красочен и разнообразен. Но в большинстве своём их объединяет либо схожесть со стандартными меню Windows, либо наличие порнографического материала (фото, гораздо реже анимации и видео, используя возможности Adobe Flash), а также окно для ввода кода разблокировки. Есть разновидности, очень похожие на синий экран смерти или стандартное окно приветствия Windows. Также не редки случаи, когда они маскируются под антивирусную программу (например Антивирус Касперского).

Trojan.Winlock условно можно разделить на 3 типа, в зависимости от того, насколько они затрудняют работу для пользователя:

  • 1 тип — это баннеры или порноинформёры, появляющиеся только в окне браузера. Наиболее легко удаляемый тип. Обычно они выдают себя за дополнительные плагины или надстройки для браузера.
  • 2 тип — это баннеры, которые остаются на рабочем столе после закрытия браузера и при этом закрывают большую его часть. Но у пользователей обычно остаётся возможность открывать другие программы, в том числе диспетчер задач и редактор реестра.
  • 3 тип — это тип баннеров, который загружается после полной загрузки рабочего стола Windows. Они закрывают практически весь рабочий стол, блокируют запуск диспетчера задач, редактора реестра, а также загрузку в безопасном режиме. Некоторые разновидности полностью блокируют клавиатуру, предоставляя пользователю лишь цифровые клавиши из своего «интерфейса», и рабочую мышь для ввода кода.

Что делать в случае заражения Trojan.Winlock

  • Ни в коем случае нельзя выполнять требования злоумышленников. Следует помнить, что стоимость SMS может доходить до нескольких десятков долларов независимо от указанной в «интерфейсе» вируса. Практически во всех случаях после отправки SMS обещанный код разблокировки не приходит.
  • В случае предлагаемой оплаты по SMS можно позвонить в службу поддержки контент-аггрегатора, которому принадлежит номер. Часто они могут сообщить код разблокировки.
  • При возможности воспользоваться онлайн-сервисами подбора кода разблокировки на сайтах производителей антивирусного ПО.
  • Произвести полное сканирование компьютера антивирусной утилитой со свежими обновлениями антивирусной базы (например, «одноразовым» антивирусом Dr.Web CureIt или Kaspersky Virus Removal Tool, скачать его желательно со «здорового» компьютера, даже в случае успешной разблокировки системы подбором кода).
  • Если вирус блокирует доступ к определённым ресурсам Интернет (обычно к популярным социальным сетям и сайтам с антивирусным ПО), необходимо удалить лишние записи (кроме строки «127.0.0.1 localhost») из файла C:\WINDOWS\System32\drivers\etc\hosts и очистить кэш DNS (командой ipconfig /flushdns от имени администратора), а также очистить cookies и кэш в браузере.
  • В некоторых случаях помогает перестановка даты в BIOS на пару лет назад.
  • При полной блокировке можно загрузиться в систему с помощью LiveCD и попытаться удалить трояна при помощи антивирусов.
  • Открыть диспетчер задач (если это возможно). Посмотреть процессы на предмет подозрительных. Попробовать завершить процесс. Скорее всего, процесс перезапустится. Перезагрузиться в безопасном режиме и удалить программу вручную.
  • Если троян блокирует обычный безопасный режим, то при нажатии клавиши F8 необходимо выбрать безопасный режим с поддержкой командной строки. На данный момент времени большинство винлокеров не способны его заблокировать. После загрузки надо запустить редактор реестра при помощи команды regedit и искать там подозрительные записи. В первую очередь необходимо проверить ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, в частности в параметре Shell должно быть написано explorer.exe, а в параметре Userinit — C:\WINDOWS\System32\userinit.exe, (обязательно с запятой). Если там всё в порядке, необходимо проверить этот же путь, но в ветке HKEY_CURRENT_USER. Также желательно проверить ветки, в которых прописаны автозагружаемые программы, например HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. В случае обнаружения подозрительных записей, их необходимо заменить на стандартные значения (в случае с автозагрузкой удалить). После перезагрузки и входа в систему трояна можно удалить вручную по уже известному пути. Этот способ хоть и эффективен, но подходит только для опытных пользователей.
  • Кроме того, некоторые трояны заменяют собой один из файлов userinit.exe, winlogon.exe и explorer.exe в соответствующих каталогах. Рекомендуется восстановить их из дистрибутива или каталога C:\WINDOWS\System32\DLLCACHE.
  • Троян может создавать раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe, где прописывает вызов своего исполняемого файла (чаще всего debug.exe), а для возобновления работы системы необходимо удалить данный раздел.
  • Одна из последних версий трояна не делает ничего из вышеперечисленного, а создает файл с именем по типу 0.5887702400506266.exe в корневой папке профиля пользователя и прописывает в реестре по адресу любой ветки, откуда может производится автозапуск (например, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options) раздел с непонятным именем. Если на компьютере есть второй профиль администратора, то его легко вычистить зайдя из под другого профиля, просто удалив файл и ветку реестра. Однако было замечено, что бесплатные и платные антивирусы не реагируют на файл. Также можно найти и удалить этот файл войдя в Windows через безопасный режим.

См. также

  • Мобильное мошенничество
  • Короткий номер
  • Троянская программа
  • Компьютерный вирус
  • Вымогательство
  • Ransomware

Примечания

  • AntiWinLocker — Специальный LiveCD для удаления вируса-вымогателя
  • Eset LiveCD — Загрузочный диск для удаления вредоносного ПО
  • Dr.Web — Бесплатный разблокировщик
  • Kaspersky Lab — Бесплатный разблокировщик
  • ESET — Бесплатный разблокировщик
  • Новая волна Trojan.Winlock пришлась на середину мая 2010
  • Кибервымогательство
  • Способы борьбы с программами-вымогателями класса Trojan-Ransom

Вредоносное программное обеспечение

Инфекционное вредоносное ПО

Компьютерный вирус (список) · Сетевой червь (список) · Троянская программа · Загрузочный вирус · Хронология

Методы сокрытия

Бэкдор · Компьютер-зомби · Руткит

Вредоносные программы
для прибыли

Adware · Privacy-invasive software · Ransomware (Trojan.Winlock) · Spyware · Бот · Ботнет · Веб-угрозы · Кейлогер · Формграббер · Scareware (Лжеантивирус) · Порнодиалер

По операционным системам

Вредоносное ПО для Linux · Вирусы для Palm OS · Макровирус · Мобильный вирус

Защита

Defensive computing · Антивирусная программа · Межсетевой экран · Система обнаружения вторжений · Предотвращение утечек информации · Хронология антивирусов

Контрмеры

Anti-Spyware Coalition · Computer surveillance · Honeypot · Operation: Bot Roast

Обзор моего вируса trojan.winlock, который был написан в школьные года

В этой статье я бы хотел вам рассказать про мой компьютерный вирус, который я писал когда был в 9 классе.
Дело началось примерно в начале декабря 2012 года. У меня было чудесное новогоднее настроение. На улице мели метели и шел снег. Тогда среди школьников было очень популярно кидать друг другу вирусы под видом интересных программок. Особенно популярен был вирус trojan.winlocker, который полностью блокировал работу компьютера до ввода пароля.
Настала пятница, конец учебной недели, да и новый год скоро, поэтому настроение было просто отличное. В этот день мой одноклассник хвастался всем, что вчера у него произошла одна очень интересная история, которую он заснял на видео.
Он увидел на одном из форумов, где обсуждают читерство в онлайн играх тему, где кто-то просил скинуть работающий чит на онлайн игру War Face. Мой друг ответил, мол, пиши мне в скайп, я тебе скину чит и расскажу как им пользоваться забесплатно. Начался разговор в скайпе, но вместо чита для онлайн-игры мой друг отправил ему винлокер, который скачал из интернета и начал его шантажировать. В обмен на пароль он заставлял его выполнять его то, что он скажет и все это снимал на камеру. Пароль он ему так и не отдал.
Однако в том винлокере, который использовал друг, я увидел много недостатков. Во первых он ‘палится’ антивирусами и он не работает в безопасном режиме. Я решил написать собственный винлокер, который будет лишен этих недостатков.
Но несмотря на популярность этого вируса, в то время статей на тему его создания было очень мало, и поэтому его создание затянулось на две недели, или даже чуть дольше.
Когда работа по созданию и тестированию была закончена, я был очень доволен результатом. Антивирусы к нему не приставали, и даже, когда особо опытные пользователи пытались через безопасный режим убрать его, то их ждало разочарование.
В точности я не могу описать, с какими проблемами столкнулся при разработке, поскольку уже не помню, но вот недавно я нашел под шкафом флешку, в которой нашел .rar архив с исходниками. Сам вирус я писал на C# и забыл сказать, что он полностью работает на Windows 8.
Цель этой статьи было рассказать, чем я занимался в школьные годы и поделится своим творчеством. Сейчас я подобными вещами уже давно не занимаюсь. В данным момент я разрабатываю софт для ios и android.
Сейчас я приведу несколько наиболее интересных строчек кода.
Заблокировать диспечер задач.

Этот код делает так, чтобы при загрузке системы вместо explorer.exe запускался файл вируса.

Закрыть процесс explorer.exe.

Проверка на наличие прав администратора (для работы вируса они обязательны).

Блокировка и разблокировка системы.

Вот так выглядит форма винлокера.

Ну а вот событие которое происходит при нажатии на кнопочку разблокировки.

Вот ссылка на скачивание исходников: https://yadi.sk/d/0tf29s8QbhR7R.

Вирус Trojan.Winlock

Эта программа — типичный «троянский конь». Она чаще всего попадает в компьютер под видом видеофайла, музыкального ролика или аудиокниги, которые Вы скачали из интернета. Она устанавливает в систему вирус, который блокирует работу операционной системы Windows. После чего мошенники требуют отправить SMS на платный номер и получают деньги с вашего счёта.

Если вы видите сообщение о блокировке Windows:

  • ни в коем случае не отправляйте SMS на указанный номер;
  • чтобы разблокировать Windows, зайдите на сайт одного из разработчиков антивирусного ПО, например, Лаборатории Касперского. На главной странице сайта находится сервис, позволяющий получить код разблокировки. Просто введите номер телефона и текст сообщения, которое просят отправить злоумышленники;
  • сообщите нам короткий номер мошенников, чтобы мы его заблокировали;
  • после разблокировки компьютера проверьте его на наличие вирусов. Регулярно обновляйте свою антивирусную программу;
  • чтобы оградить свой компьютер от попадания вирусов, не скачивайте ничего с незнакомых сайтов.

Пример:

Вирус trojan.winlock

Trojan winlock — это один из самых распространенных вирусов, попадающих на компьютеры пользователей. В принципе, ничего страшного в нём нет. Самое главное, если у вас на компьютере вдруг появился этот «паразит», ни в коем случае, не отправлять никаких смс и не пополнять счёт мошенникам.

Снимается он достаточно просто, уже давно такие антивирусные гиганты как Лаборатория Касперского и Dr.Web подготовили Live CD для этих целей. Рекомендую скачать и записать на диск на всякий случай. Итак наши действия:

  1. Проверяем на сайтах производителей антивирусов возможность подбора кода для разблокировки. Если подходит, то переходим сразу к лечению.
  2. Итак, наиболее частый вариант – ни чего не помогает. Тут-то нам и пригодится Live CD. Как с ним работать расписано у выбранного вами производителя. Если у нас под рукой не оказалось лечащего диска, то начинаем пробовать лечить самостоятельно.

Удаление и лечение trojan winlock

Перезагружаем компьютер, и нажимаем кнопку F8. В появившемся меню выбираем «Безопасный режим с поддержкой командной строки»

1. В консоли вводим regedit и у нас откроется редактор реестра. В нём находим ветку HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWinlogon и параметр Shell

2. Нажимаем на нём правой кнопкой мыши и выбираем пункт изменить. В высветившемся окне находим имя файла (чаще всего это бессмысленный набор чисел, чисел и букв с расширением .exe или .dll) и копируем его.

3. Удаляем параметр Shell, при этом обязательно записав или запомнив путь к троянцу.

4. Открываем ветку HKEY_USERS и используя меню правка à найти находим все параметры связанные с именем нашего трояна. И удаляем их из реестра.

5. Закрываем редактор и в консоли пишем explorer.exe появится рабочий стол

6. Заходим в панель управления à свойства папки (или параметры папки) и открываем меню Вид.

7. Ставим галочку напротив «показывать скрытые файлы и папки»

8. Затем переходим к месту расположения нашего троянца и удаляем его.

Перезагружаем компьютер в обычном режиме.

Если вы не уверены в своих силах или после проведения данных манипуляций на вашем компьютере проблема сохранилась — настоятельно рекомендуем обратиться к специалистам. Мы работаем уже более 7 лет.

Срочное удаление вируса winlock

Обратившись в нашу компанию «Компутест» прямо сейчас, уже через пару часов получите полностью рабочий компьютер/ноутбук. Наши мастера срочно выезжают на дом так и в офис в любой район в СПб! Звоните — (812) 942-66-64, (812) 942-46-84. Или заполните онлайн-заявку. Мастер приедет к Вам уже сегодня!

Разблокировка trojan winlock с гарантией!

Услуга Стоимость (руб.)
Удаление SMS-вируса от 400 до 1200
Установка антивируса от 400
Удаление winlock trojan от 400 до 1200
Переустановка Windows от 800

Winlocker.Trojan (Winlocker) — вирус, который впервые использовался в 2007 году для вымогания денег.

Его можно часто скачать на разных неофициальных сайтах с вохможностью скачать что-либо.

А также помимо денег, винлокеры использовались для наказания читеров.

Действия вируса Править

Стадии отсутствуют Править

  • Вирус блокирует компьютер. Чтобы найти код, нужно обратится к тому, кто вам написал. Но никак не по номеру! Если он вас заблокирует и там где вы у него просили пароль, то читайте следующий заголовок.

Как избавится от вируса Править

1 способ Править

  • Перезагрузите компьютер, если это не какой-то мудрёный винлокер.

2 способ Править

  • Нажмите Alt+Ctrl+Del и нажмите «Запустить диспетчер задач», потом найдите процесс винлокера и закройте его в диспетчере. (Тоже винлокер немудрён)

3 способ Править

  • Перезагрузите компьютер и ещё до начала загрузки нажать F8 и зайти в безопасный режим.
    • Если не получается войти в обычный безопасный режим войдите в безопасный режим с поддержкой коммандной строки.
  • Вычистите вирус самостоятельно

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *