Что вирус делает с компьютером и каковы последствия

Винлокер (Trojan.Winlock) - это вредоносная программа, цель которой заблокировать или затруднить работу с компьютером. Ее используют злоумышленники для получения вознаграждения за разблокирование. По сути это программа-вымогатель (смс-вымогатель). Блокирование операционной системы обычно осуществляется при помощи баннера, занимающего практически весь экран, и который невозможно убрать.

Самое обидное в подобных ситуациях, что те, кто решают заплатить за разблокирование, не получают код. В итоге теряются деньги на выполнение требований вымогателей, а затем на оплату услуг сервисных центров для восстановления работоспособности компьютера.

Разновидности винлокеров

Начало подобным вирусам было положено в 2007 году, а уже в 2009-2010 годах миллионы в основном русскоязычных пользователей столкнулись с проблемой заблокированных операционных систем. С тех пор этот метод заработка киберпреступников стал очень популярным. Поэтому они систематически создают и размещают в сети все новые разновидности локеров. Создать вирус можно за считаные минуты при помощи специальной программы, даже не имея навыков программирования.

Суть программ-вымогателей остается неизменной - потребовать от пользователя деньги за разблокирование компьютера. При этом используются разные методы:

• пополнить счет мобильного телефона;
• послать платное СМС-сообщение на короткий номер;
• пополнить счет страницы социальной сети;
• перевести деньги через терминал экспресс-оплаты.

Воздействие вируса на операционную систему бывает разного характера. Легче всего удалить баннер, который появляется только в окне браузера. Другие виды закрывают почти весь рабочий стол даже после закрытия браузера, но при этом позволяют открывать другие программы, с помощью которых вирусы можно удалить (диспетчер задач, редактор реестра). Более опасные винлокеры, баннеры которых закрывают весь рабочий стол, блокируют клавиатуру, мышь, запуск программ и даже загрузку в безопасном режиме.

В зависимости от принципа действия подобные вирусы имеют разные названия:

• винлокеры;
• мбрлокеры;
• локеры с методами социальной инженерии.

Некоторые из них не выявляются даже антивирусными программами.

Принцип действия винлокеров

Принцип действия винлокера или Trojan.Winlock заключается в том, чтобы нарушить работу Windows путем подмены оболочки операционной системы. Интерфейс окна, которое блокирует рабочий стол, аналогичен окну активации Windows XP. Но при этом появляется сообщение об использовании нелицензионной версии операционной системы. Код активации можно получить путем отправки СМС-сообщения на короткий номер, в результате чего со счета мобильного телефона снимается определенная сумма.

Развитие программ-вымогателей

С первыми модификациями винлокеров справиться было довольно просто. Нужно было загрузить систему в безопасном режиме и воспользоваться встроенной утилитой восстановления системы. Или же удалить процесс вируса в Диспетчере задач и изменить значение оболочки в системном реестре по умолчанию.

На начальном этапе развития программы-вымогатели требовали небольшие суммы за разблокировку, и рассчитывались на то, что пользователю проще заплатить 10 рублей, чем бороться с вирусом. В некоторых случаях не нужно было прилагать никаких усилий. Достаточно было оставить включенным компьютер на некоторое время, и вредоносная программа самоуничтожалась. Например, для избавления от Trojan.Winlock 19 необходимо подождать 2 часа.

Со временем благодаря усилиям создателей программ-вымогателей излечение компьютера становилось все сложнее. Блокировались запуск диспетчера задач, утилиты восстановления системы, редактора реестра, панели управления, антивирусов, командной строки. Стало невозможным открывать сайты некоторых антивирусных программ. Да и суммы, которые вымогались за восстановление работоспособности Windows, исчислялись уже сотнями или тысячами рублей.

Многие пользователи выполняли требования винлокеров из-за угроз, содержавшихся на большинстве баннеров. В сообщении предупреждалось, что невыполнение условий повлечет за собой повреждение компьютера или данных. В некоторых программах использовался психологический ход, запускавший таймер обратного отсчета. Но в большинстве случаев это была просто угроза.

Интерфейс Trojan.Winlock бывает самый разнообразный. Но чаще всего окна вируса идентичны стандартным Windows. Нередко используются порнографические фото- и видеоматериалы. Можно встретить окно приветствия Windows либо так называемый синий экран смерти. В некоторых программах-вымогателях используется интерфейс схожий на антивирус.

Механизм заражения

Методы распространения винлокеров довольно разнообразны. Но в большинстве случаев заражение происходит следующими путями:

• через браузер во время загрузки инфицированных сайтов;
• через установочный файл какой-либо программы;
• через самораспаковывающиеся архивы.

Мбрлокеры

С разработкой эффективных методов лечения и профилактики операционных систем были созданы более опасные разновидности программ-вымогателей. Их действие основано на внесение изменений в Master Boot Record - главную загрузочную запись, из-за чего блокируется загрузка операционной системы. Вместо этого появляется сообщение с требованием пополнить счет указанного мобильного телефона. В отличие от винлокеров мбрлокеры представляют большую опасность за счет того, что запускаются до загрузки Windows.

Заражение Trojan.MBRlock обычно происходит путем скачивания инфицированного файла, например, под видом видеоролика. После обнаружения вируса иногда не нужно предпринимать каких-либо действий, так как через несколько дней происходит самостоятельная деактивация. Но этот вариант не актуален для тех, кто не может отложить использование компьютера на длительное время.

Методы социальной инженерии

Действие винлокеров или мбрлокеров с использованием социальной инженерии основано на психологии человека, на его слабостях. В сообщениях баннеров, блокирующих операционную систему содержаться обвинения, которые побуждают пользователя без сопротивления расстаться с деньгами. Например, некоторые из них предупреждают о просмотре порнографии, и за разблокирование требуют пополнить мобильный телефон.

Многие из тех, кто действительно просматривал подобные материалы, опасаясь огласки, выполняют указанные требования. Но при этом нужно учесть, что пополнение счета либо отправка платного SMS-сообщения не гарантирует получение кода. Иногда под авторством сообщения баннера подписаны известные компании, включая Microsoft.

Этот фактор в сочетании с предупреждением об использовании нелицензионной копии операционной системы и угрозой уничтожения данных также убеждает пользователя в необходимости незамедлительной отправки SMS. Подробнее о методах социальной инженерии мы рассказывали статье.

Что делать если компьютер заблокирован, способы разблокировки

Вместо того чтобы решать проблемы, созданные программой-вымогателем, лучше принять во внимание несколько советов, помогающих избежать заражения:

1. Установка качественного антивирусного продукта. Так как новые винлокеры появляются довольно часто, необходимо следить за регулярным обновлением антивирусных баз.
2. При скачивании файлов обращать внимание на их тип. Например, аудио и видеофайлы не должны быть с расширением.exe.
3. После загрузки файла проверять его на вирусы.

Если все же заражение произошло и компьютер заблокирован, не следует идти на поводу у вымогателей. Вероятность разблокировки таким способом практически равна нулю. Не впадайте в панику от предупреждения об уничтожении данных через определенное время, так как в большинстве своем винлокеры не имеют такого механизма. Радикальным способом восстановления работоспособности системы является переустановка Windows. Однако не многие захотят пользоваться им при каждом заражении.

Более простой способ - это подбор кода при помощи сервисов разблокировки, созданных разработчиками антивирусов. Наиболее популярные и эффективные из них - от компании Dr.Web, Eset и Kaspersky Deblocker.Во избежание повторной блокировки необходимо просканировать систему установленным антивирусом. Если же при помощи сервисов подбора кода не удалось устранить проблему, можно воспользоваться утилитами для аварийного восстановления от Kaspersky Lab либо Dr.Web (LiveCD, LiveUSB).

В случае когда запуск системы невозможен из-за повреждения загрузчика Windows, реестра либо системных файлов используйте консоль восстановления. Этот процесс происходит при помощи загрузочного диска с операционной системой и команды fixmbr.

Несмотря на регулярное появление новых вирусов, таких как винлокеры и мбрлокеры, избавиться от них возможно, используя антивирусное обеспечение, в котором для этого есть необходимые инструменты. Но следует помнить, что лучший способ избежать проблем из-за блокирования системы - это профилактика. Будьте осторожны на просторах интернета, придерживайтесь наших простых советов и эта проблема обойдет вас стороной.

Снимается он достаточно просто, уже давно такие антивирусные гиганты как Лаборатория Касперского и Dr.Web подготовили Live CD для этих целей. Рекомендую скачать и записать на диск на всякий случай. Итак наши действия:

1. Проверяем на сайтах производителей антивирусов возможность подбора кода для разблокировки. Если подходит, то переходим сразу к лечению.
2. Итак, наиболее частый вариант – ни чего не помогает. Тут-то нам и пригодится Live CD. Как с ним работать расписано у выбранного вами производителя. Если у нас под рукой не оказалось лечащего диска, то начинаем пробовать лечить самостоятельно.

Удаление и лечение trojan winlock

Перезагружаем компьютер, и нажимаем кнопку F8. В появившемся меню выбираем «Безопасный режим с поддержкой командной строки»

1. В консоли вводим regedit и у нас откроется редактор реестра. В нём находим ветку HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWinlogon и параметр Shell

2. Нажимаем на нём правой кнопкой мыши и выбираем пункт изменить. В высветившемся окне находим имя файла (чаще всего это бессмысленный набор чисел, чисел и букв с расширением.exe или.dll) и копируем его.

Не секрет, что многие пользователи настолько далеки от информационных технологий, что допускать их к работе за таким сложным устройством, как ЭВМ, чревато. Но как организовать ограничение доступа к ПК? Ведь включить компьютер нынче может любой, у кого хотя бы на 10% руки растут из плеч. К счастью, существует целый класс программ, помогающий ограничить пользователю доступ к различным компонентам операционной системы: от простого запрета играть в Косынку или Сапера, до полной блокировки Windows.

Как происходит заражение?

Однако не все пользователи соглашаются на добровольную блокировку своей системы (хочу сконцентрировать твое внимание на том факте, что в этой статье мы не станем рассматривать создание вредоносного ПО). Так вот, нередко подобный софт доставляется на их машины в виде вируса. Способов заразить жертву чрезвычайно много. Среди них наибольшей популярностью пользуются:

1. БАГИ БРАУЗЕРОВ. Ни для кого не секрет, что одна из целей современного вирусописателя - браузер пользователя. Полезных web-сервисов пруд пруди, и пользователи, конечно же, ими пользуются. Для многих браузер - самая часто используемая программа, которая очень редко закрывается (у меня так вообще не закрывается).

Не надо ходить к гадалке в поисках ответа на вопрос «через какую дверь лучше всего прорваться в систему пользователя?». Тут и так ясно: необходимо использовать уязвимости самых популярных браузеров. Чтобы применить этот способ, не нужно обладать особым интеллектом. Достаточно пошерстить по security-сайтам, найти (если он есть) подходящий сплоит и красиво оформить его для своих нужд. Быстро, просто и бесплатно.

2. FLASH. В последние месяцы компания Adobe регулярно лажает. Не успеют они выпустить новую версию flash-плеера, как хакеры умудряются обнаружить в нем критическую уязвимость. Находят, тыкают разработчиков носом, а те не спешат их исправлять.
Глупо полагать, что в это же время вирмейкеры будут тихо сидеть на пятой точке и ждать, когда же залатают багу. Они постоянно пытаются использовать в корыстных целях свежую уязвимость и выжать из нее максимальную выгоду. В результате получается, что после просмотра тобой забавного ролика система начинает вести себя странно.

3. ПОЛЬЗОВАТЕЛЬСКАЯ НАИВНОСТЬ. Когда я начал готовить эту статью, ради эксперимента загрузил ОС в виртуальной машине и попробовал побродить по «сомнительным» сайтам. Не поверишь, но я умудрился три раза подхватить Winlocker, согласившись на установку «последней версии» flash-плеера и «специальных» кодеков. Честно говоря, я был немного в шоке, так как думал, что подобные способы уже не катят.

На чем будем кодить?

Я долго размышлял над тем, на каком языке писать примеры к этой статье, и решил вспомнить проверенный временем Delphi. «Так у тебя же exe’шник получится под мегабайт!», возразишь ты. Отчасти твоя правда, но эту проблему мы решим еще на стадии зачатия проекта. Весь код будет приведен на чистом API. Соответственно, наш зверек в скомпилированном виде будет весить менее 100 Кб. Еще пару десятков кило мы сбросим за счет манипуляций архиватором байт-кода над полученным бинарником.

Основа любого Winlocker’а

Фундамент любого Winlocker’a - форма, растянутая почти на весь экран. Причем это не просто большая форма, а окно, которое собой перекрывает все остальные и совершенно не слушается никаких команд. Ни свернуть, ни изменить размер, ни уж тем более завершить процесс программы. На первый взгляд может показаться, что вирусописатели изобрели ноу-хау, но в реале все намного проще. По факту, это самое обычное окно, для которого установлен стиль отображения «поверх всех». Чтобы окно вело себя как партизан и не реагировало на просьбы юзера, разработчики слегка модифицируют процедуру обработки сообщений извне.

Модификация сводится к банальной обработке сообщения WM_SYSCOMMAND. Если быть еще точнее, то в процедуре обработки полученных сообщений нужно всего лишь объявить проверку на сообщение WM_SYSCOMMAND. Самое смешное, что в обработке этого сообщения можно вообще не писать код - форма и так перестанет реагировать на события внешней среды.

Автостарт

Вирус должен загружаться вместе с операционной системой. Существует несколько способов обеспечить своей программе автозагрузку. Условно их можно разделить на две группы: простые и продвинутые. На рассмотрение продвинутых не хватит места в статье, поэтому рассмотрим лишь простые, основанные на использовании реестра. Итак, в реестре есть несколько уголков автостарта:

1. HKLM\Software\Microsoft\Windows\CurrentVersion\Run - отсюда стартуют программы, запускаемые при входе в систему любого юзера.
2. HKCU\Software\Microsoft\Windows\Current\Version\Run - место, аналогично предыдущему, за исключением того, что отсюда грузятся программы текущего пользователя.
3. HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices - список программ, запускаемых до входа пользователей в систему.
4. HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\ Run - этот раздел реестра отвечает за старт программ, добавленных в автозагрузку через групповые политики.
5. HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows - еще одно место, содержащее список программ, загружаемых вместе с Windows.
6. KHLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon - в этой ветке указывается ссылка на винлогон, но ничто не мешает указать и путь до своей программы.
7. Папка автозагрузки. Пожалуй, самый примитивный способ, но тем не менее, многие вирусописатели им пользуются.

Какое из предложенных мест автозагрузки выбрать для своего творения? Точного ответа нет, но крайне не рекомендуется ставить все на какой-то один их предложенных вариантов. Куда лучше использовать комбинацию, то есть прописываться сразу в несколько мест. Пример записи в автозагрузку на WinAPI приведен во второй врезке.

И тебя заблокируем, и меня заблокируем!

Например, ты запросто можешь назначить программу, которая будет запускаться после загрузки системы или заблокировать старт определенного приложения. Практически все операции, которые выполняются через эту оснастку, изменяют определенные ключи реестра. Если ты умудришься разузнать, какие именно ключи реестра модифицируются, то без проблем сможешь изменять их прямо из своей программы. Как это сделать? Существует два варианта: применить метод научного тыка, или воспользоваться утилитой ProcessMonitor от Марка Руссиновича. Второй способе явно круче, поэтому советуем скачать утилиту и приступить к исследованиям.

Редактор реестра

Большинство пользователей привыкли редактировать реестр с помощью встроенного в Windows редактора реестра regedit. Поскольку наш вирус будет вносить изменения в реестр, нам необходимо не допустить ковыряний в реестре со стороны нерадивого пользователя. Нечего ему совать свой любопытный нос куда не следует. Решить эту задачу проще всего путем блокировки запуска редактора реестра. Чтобы выполнить блокировку, достаточно создать ключ DisableRegistryTools со значением 1 в ветке HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System .

Диспетчер задач

Все без исключения винлокеры, которые я видел, блокировали запуск диспетчера задач. Что ж, не станем от них отставать. Реализуется эта фича созданием ключа DisableTaskMgr (тип dword) со значением 1 в той же самой ветке, где и DisableRegistryTools.

Установка и удаление программ

Особо мозговитые юзеры с помощью апплета «Установка и удаление программ» в случае заражения системы пытаются инсталлировать антивирусы. Это легко пресечь, если создать ключ NoAddRemovePrograms со значением 1 (тип dword) все в том же разделе, где и DisableRegistryTools.

Блокируем доступ к дискам

Чтобы полностью испортить пользователю настроение, можно вообще заблокировать доступ к присутствующим в системе дискам. Пусть юзер даже не пытается запустить антивирус со своей флешки! Реализуем этот трик путем создания ключа NoViewOnDrive (dword) в разделе HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows\CurrentVersion\Policies\Explorer. В качестве значения для ключа указываем битовою маску блокируемого диска. Например, для диска C это будет 4. В случае, если требуется заблокировать несколько дисков, то их маски придется сложить. Например, значение 12 будет соответствовать блокировке дисков C (4) и D (8).

Фишка №1: в любом месте веселее вместе

Заразил компьютер бедного пользователя? Не забудь позаботиться о его друзьях! Помни, чем шире распространится вирус, тем больше шансов получить деньги. Обосновавшись на вражеской машине, нужно не терять времени зря, а пытаться найти новый плацдарм. Как это сделать? Один из простых и самых действенных способов - мониторинг и заражение флешек. Поскольку пользователи постоянно пользуются флешками, нашему вирусу будет легко мигрировать из одной системы в другую. Определить факт подключения флешки легко. Достаточно написать код, обрабатывающий событие WM_DEVICECHANGE.

В коде из третьей врезки я использовал константы и структуры, описания которых нет в модулях, поставляемых вместе с Delphi. Их придется описывать самостоятельно. Я всю информацию брал с MSDN, но ты можешь не париться, а сразу взять исходник моего кода на DVD.

Фишка №2: ваши пассы будут наши!

Какими web-сервисами пользуется современный юзер? Не нужно быть семи пядей во лбу, чтобы назвать хотя бы несколько из них: почта, одноклассники, Вконтакте, facebook, twitter, etc. Список можно продолжать до бесконечности. К чему это я клоню? А к тому, что находясь на вражеской территории, было бы неплохо собрать все пароли. Авось, в будущем пригодятся. К тому же, имея на руках такие козыри, становится реальным простимулировать жертву. Например, получив пароли от всевозможных аккаунтов, автор вируса может воспользоваться ими для смены контактных данных и изменения паролей на свои. В результате реальный пользователь попадет в очень нехорошую ситуацию. Проще говоря, он лишается своего аккаунта. Это уже куда серьезней заблокированного рабочего стола, а раз так, то шансы оплаты твоих «услуг» возрастают.

Сразу возникает вопрос, а каким образом это проще всего сделать? Обычно юзеры хранят свои пароли прямо в браузере, поэтому сразу возникает идея угнать файлик хранилища паролей. Пример такого угона был продемонстрирован в статье «Злобный комп». Я же продемонстрирую тебе альтернативный способ. Идея заключается в банальном модифицировании hosts. В этом файле прописываются соответствия типа «символьный адрес сайта:ip». Наша программа должна уметь модифицировать этот файл и добавлять соответствия для популярных web-сервисов. «А куда будем перекидывать юзера?». Можешь для этого состряпать свой evil-сайт, на котором и будут располагаться скамы популярных сервисов. Этот способ прост в реализации, но при массовом заражении пользователей такие сайты наверняка не будут жить долго. В связи с этим откажемся от предложенного способа, а пойдем не совсем стандартным путем - встроим в вирус маленький webсервер. При таком раскладе пунктом назначения переадресации у нас будет localhost.

Например: 127.0.0.1 www.odnoclassniki.ru

Рассматривать правку файла hosts не будем, лучше сразу взглянем на то, как с помощью Delphi поднять свой WEB-сервер. Если ты постоянный читатель нашего журнала, то должен хорошо ориентироваться в Winsock API. В свое время в рубрике Кодинг проскакивали статьи про написание всевозможных клиентов (FTP, PROXY, IRC и т.д.) с использованием лишь api-функции. Рекомендую тебе поднять подшивку и хорошенько ознакомиться с сабжевой темой (масло масляное - прим. ред.).

Теперь, вместо одноклассников.ру, жертва попадет не на настоящий сайт популярной социальной сети, а прямо в лапы нашего evil-сервера. Само собой, web-сервер должен быть вежливым и отобразить реальную страницу одноклассников (читай - скам сайта, его нужно заранее подготовить). Ну а дальше все просто: юзер вбивает свои данные для входа, после чего наш web-сервер их сохраняет. Чтобы откровенно не палиться, желательно сделать редирект на страницу с предупреждением о том, что сайт в данный момент закрыт на профилактические работы. Или, как вариант - сохранив, форвардить введенные данные на реальные одноклассники.

Фишка №3: экстази для пользователя

Как зло-программеры стимулируют пользователя на расставание с кровными платными SMS? По-разному. Например, шифруя ценные для него файлы. На какие файлы обращать внимание? Лучше всего на те, от которых может зависеть работа/учеба жертвы, например: документы (doc, xls, mdb, ppt, txt), изображения (jpeg, png, bmp), исходные тексты (php, pas, c, h, cpp, dpr, py и т.д.). Если жертва писала дипломную работу или какой-нибудь сверхважный отчет, который завтра сдавать, то у злоумышленника есть все шансы получить денежное вознаграждение.

Теперь поговорим о технической реализации этой штуки. Поиск файлов осуществляется с функциями FindFirs() и FindNext() из модуля Sysutils. Работать с ними легко, но простота такого фастфуда отрицательно отразится на фигуре нашего приложения. Поскольку набирать лишний вес нам ни к чему, мы воспользуемся более диетическими продуктами: FindFirstFile() и FindNextFile(). Работать с ними чуть сложнее (см. пример поиска файлов на диске), но красота требует жертв.

Шифрование файлов средствами Delphi также осуществляется достаточно просто. Все зависит от выбранного способа шифрования. Можно просто воспользоваться готовыми модулями, которых пруд пруди на torry.net и на других сайтах. Например, мне попался неплохой вариант от одного из разработчиков Delphi. В этом модуле реализованы следующие функции:

//Шифрование файла
function FileEncrypt(InFile, OutFile: String;
Key: TWordTriple): boolean;
//Расшифровка файла
function FileDecrypt(InFile, OutFile: String;
Key: TWordTriple): boolean;
//Шифрование текста
function TextEncrypt(const s: string;
Key: TWordTriple): string;
//Расшифровка текста
function TextDecrypt(const s: string;
Key: TWordTriple): string;
//Шифрование "памяти"
function MemoryEncrypt(Src: Pointer; SrcSize:
Cardinal;
Target: Pointer; TargetSize: Cardinal;
Key: TWordTriple): boolean;
//Расшифровка «памяти»
function MemoryDecrypt(Src: Pointer;
SrcSize: Cardinal; Target: Pointer;
TargetSize: Cardinal; Key: TWordTriple): boolean;

Полный текст этих функций, а также примеры их использования ты найдешь на нашем диске.

Фишка №4: размножайся!

Фишка №5: играй в прятки по максимуму

Как показала практика, авторы Winlocker’ов не сильно заботятся о безопасности своих детищ. Защита большинства представителей этой группы вирусов, попадавшихся мне на глаза, сводилась к банальному присвоению неприметного имени файла. Например: system.exe, user32.exe, csrss.exe, eplorer.exe и так далее. Я не думал, что подобные способы еще катят, но как выяснилось, я заблуждался.
Рекомендую тебе не пренебрегать безопасностью, а предусмотреть несколько разных алгоритмов:

1. Давай файлу вируса неприметное имя. Хоть это и примитивное правило, но соблюдать его крайне желательно.
2. Удали вирус из списка процессов. Этого можно добиться, разобравшись с перехватом API функций. Мы уже много раз писали про перехват API. Обязательно перечитай эти статьи!
3. Используй несколько способов автозагрузки.

Фишка №6: убить на старте

Не поленись и напиши процедуру принудительного завершения процессов. Она обязательно поможет тебе уберечь свое детище от злобных антивирусов, которые пользователь будет пытаться запустить. В идеале вообще организовать перехват функций, использующихся для запуска программ, и не допускать, чтобы они нормально работали.

Work complete

Написать WinLocker и срубить на нем несколько сотен баксов - более чем реально. Пользователи по-прежнему не думают о безопасности и при возникновении щепетильной ситуации готовы отправить заветную смс’ку, нежели напрягать свои извилины. Я показал тебе самый примитивный скелет Winlocker’a. В принципе, довести его до боевого состояния - дело нескольких часов. Только нужно ли это делать? Выбор за тобой! Главное не забывай о том, что написание и распространение вирусов - уголовнонаказуемое деяние, за которое можно словить реальный срок. Само собой, исходник полноценного вируса я не дам. Нет, не потому что я жадный. Эти вирусы и так всех достали, поэтому я чертовски не хочу, чтобы после этой статьи их стало еще больше. Вдобавок, мне не хочется читать новости про то, как правоохранительными органами были задержаны очередные создатели ужасных вирусов:).

Самопальный web-сервер

var
_buff: array of char;
_request:string;
_temp: string;
_path: string;
_FileStream: TFileStream;
begin
Recv(_client, _buff, 1024, 0);
_request:=string(_buff);
_path:= GetFilePath (Copy
(_request, 1, pos(#13, _request)));
_path:= ReplaceSlash(_path);
if ((_path = "") or (_path = "\")) Then
_path:= DocumentRoot + "\" + DirectoryIndex;
{ else
if ((_path ="\")) Then
_path:= DocumentRoot + "\" +
DirectoryIndex; }
if (FileExists(_Path)) Then
begin
_FileStream:=
TFileStream.Create(_Path, fmOpenRead);
SendStr(_Client, "HTTP/1.0 200 OK");
SendStr(_Client, "Server: xSrV");
SendStr(_Client, "Content-Length:" +
IntToStr(_FileStream.Size));
SendStr(_Client, "Content-Type: "
+ GetTypeContent(_Path));
SendStr(_Client, "Connection: close");
SendStr(_Client, "");
SendFile(_Client, _FileStream);
_FileStream.Free;
End
//Вырезано

Ограничиваем запуск приложений

С помощью реестра реально определить список одобренных для запуска программ. Если этот список задан, то пользователь не сможет запустить приложения, которых в нем нет. Список одобренных к запуску приложений задается здесь: HKEY_CURRENT_USER\Microsoft\Windows\CurrentVersion\Policies\Explorer\ RistrictRun. Создав этом разделе ключи (тип REG_SZ) для каждой разрешенной программе, тебе нужно будет подняться на один уровень выше и добавить параметр RestrictRun типа dword со значением 1.

Управление компьютером

Много нехороших дел сможет натворить пользователь, если у него имеется доступ к запуску оснастки «Управление компьютером». Полностью отключить оснастку с помощью реестра нельзя, но удалить ссылку на ее запуск из контекстного меню ярлыка «Мой компьютер» - проще пареной репы. Всего лишь требуется создать параметр NoManageMyComputerVerb типа dword со значением 1 в разделе HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer.

Вырубаем службы

Используя возможности реестра, ты без проблем сможешь отключить ненужные пользователю службы (например, антивирусы). Полный список установленных в системе служб находится в ветке HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services. Для деактивации службы отредактируй значение ключа start. Например, чтобы установить службе «Тип запуска» значение «вручную», ключу start необходимо присвоить 3. Если желаешь, чтобы твое ПО протянуло во вражеской системе дольше, то советую вести в своем творении базу служб антивирусов. То есть тебе необходимо четко опознавать сервисы антивирусов и менять им тип запуска.

А что еще нам надо?

Типичные функции любого Winlocker’а мы рассмотрели, теперь самое время подумать о том, как улучшить наше детище. Честно говоря, я не понимаю, почему профессиональные вирусописатели не встраивают в подобные вирусы дополнительные полезные функции. Ведь нет никакой гарантии, что юзер дотянется до мобилы и отправит заветную смс’ку на короткий номер, тем самым обогатив автора вируса. Зато всегда есть шанс увести с тачки пользователя полезную информацию: пароли на различные сервисы, документы, записанные skype переговоры и т.д. Мы не будем вводить каких-то ограничений, а проапгрейдим нашу софтину по полной программе. Итак, ниже я описал шесть фишек, которые было бы полезно реализовать в подобном «проекте».

Мониторим флешки

var
disk:DWORD;
begin
case Msg.WParam of
DBT_DEVICEARRIVAL: //Если подключили флешку


begin
//Пытаемся определить букву диска
disk:= PDEV_BROADAST_VOLUME(Msg.LParam" ")^
.dbcv_unitmask;
//Выполняем свой зловредный код
end;
DBT_DEVICEREMOVECOMPLETE: //Если флешку извлекли
if (PDEV_BROADCAST_HDR(Msg.LParam)^
.dbch_devicetype = DBT_DEVTYP_VOLUME) then
begin
//Флешку отмонтировали
end;

Незакрываемое окно на WINDOWS API

wc.cbSize:=sizeof(wc);
wc.style:=cs_hredraw or cs_vredraw;
wc.lpfnWndProc:[email protected];
wc.cbClsExtra:=0;
wc.cbWndExtra:=0;
wc.hInstance:=HInstance;
wc.hIcon:=LoadIcon(0,idi_application);
wc.hCursor:=LoadCursor(0,idc_arrow);
wc.hbrBackground:=COLOR_BTNFACE+1;
wc.lpszMenuName:=nil;
wc.lpszClassName:=’win_main’;
RegisterClassEx(wc);
leftPos:=20;
topPos:=0;
windowWidth:=Screen.Width;
WindowHeight:=Screen.Height;
MainWnd:=CreateWindowEx(
0,
‘win_main’,
‘test’,
ws_overlappedwindow,
leftPos,
topPos,
windowWidth,
windowHeight,
0,
0,
Hinstance,
nil
);
SetWindowLong(MainWnd, GWL_HWNDPARENT,
GetDesktopWindow);
SetWindowPos(MainWnd, HWND_TOPMOST,
0, 0, 0, 0, SWP_NOMOVE or SWP_NOSIZE);
ShowWindow(MainWnd, CmdShow);
While GetMessage(Mesg,0,0,0) do
begin
TranslateMessage(Mesg);
DispatchMessage(Mesg);
end;

WINAPI для работы с реестром

var
Key: HKey;
begin
//Сюда можешь подставить один из путей
автозагрузки.
RegOpenKey(HKEY_LOCAL_MACHINE,
PChar(‘’), Key);
RegSetValueEx(Key,PChar(paramstr(0)),
0, REG_SZ,
pchar(paramstr(0)),
lstrlen(pchar(paramstr(0)))+1);
RegCloseKey(Key);
end;

В последнее время участились случаи заражения компьютеров вирусом Trojan.Winlock . Да не просто участились, а началась целая эпидемия! В России заражено несколько миллионов компьютеров, и их количество с каждым днем растет. Постараемся объяснить вам как удалить вирус Trojan.Winlock.

Для начала, немного информации о самом вирусе: как он попадает на компьютер, что делает и каковы последствия от его пребывания на ПК пользователя.

Вирус Trojan.Winlock является мошеннической троянской программой для вымогания денег у пользователей ПК. Попадает этот вирус на компьютер, в основном, через сайты для взрослых. Да-да, именно посетители данных сайтов и состоят в группе риска. Даже можно сказать, что их 98% от всех пострадавших. Остальные 2% – это посетители социальных сетей, типа одноклассники, и т.д. Эти цифры взяты, отнюдь, не из головы, а из опыта работы с пострадавшими от этого вируса.

Как вирус попадает на компьютер?

Самый частый способ попадания вируса на компьютер: к примеру, вы часто посещаете сайты для взрослых. Вы заходите на такой сайт, собираетесь посмотреть какое-нибудь видео. Нажимаете кнопку воспроизведения видео и перед вами появляется окно с предложением обновить кодек или драйвер или Adobe Flash Player. Конечно же это уловка. В окне обычно присутствует 2 кнопки — ДА и НЕТ. Некоторые сразу же жмут ДА, а другие, подумав хорошенько, ведь у них уже все установлено, жмут НЕТ. Главное правило: ПЕРЕД ТЕМ КАК ЧТО-ТО УСТАНАВЛИВАТЬ, ПРОВЕРЬТЕ, ДЕЙСТВИТЕЛЬНО ЛИ У ВАС ОТСУТСТВУЕТ ЭТО. И в первом и втором случаях вы все равно попались на уловку мошенников. Только в первом случае вы сразу получить вирус на свой компьютер, а втором случае, если вы нажали НЕТ, данное окно появится снова. Эту проблему можно решить. Так как всплывающее окно является приоритетным по сравнению с самим браузером, вы не сможете закрыть вкладку с открытым сайтом или сам браузер. В этом вам поможет сочетание клавиш CTRL + ALT + DEL. В появившемся «Диспетчере задач Windows», перейдите на вкладку «Приложения», выделите в списке запущенный приложений свой браузер, а затем нажмите «Снять задачу». Так же можно сделать и на вкладке «Процессы», просто здесь нужно будет найти процесс под именем «имя_вашего_браузера.exe» и нажать кнопку «Завершить процесс».

Вот некоторые примеры распространения вируса Trojan.Winlock.

А что же делать тем, кто нажал все-таки кнопку ДА и получил зловредный вирус на свой компьютер? Далее вы найдете решение как удалить троян Trojan.Winlock с вашего ПК.

Что вирус делает с компьютером и каковы последствия?

Trojan.Winlock блокирует операционную систему Windows так, чтобы пользователь не смог предпринять какие-нибудь действия по уничтожению вируса. Обычно, это окно на весь экран монитора с липовым предупреждением о том, что вы используете не лицензионное ПО (кстати, грамотный ход – бьёт на психику россиянина моментально, большинство ПО на компьютерах в России – не лицензионное), или ваш доступ к любимому сайту истек, что-то вроде этого (вариаций вируса сотни). Также бывает окно посередине экрана монитора (не на весь экран). Но, расположено оно так, что пользователю будет очень неудобно производить работы по удалению вируса, или по поиску информации в интернете. Также, в окне присутствует просьба отправить смс на определенный короткий номер для разблокировки системы. Первая ошибка жертвы – выполнение требований злоумышленников. Люди отправляют смс, с их счета снимается определенная сумма денег (обычно это 300 – 500 руб.) и вводят полученный код в специальное текстовое поле. Только вот есть одно «но». Некоторым приходит код, они вводят его и система разблокируется. Но вирус все равно остаётся на компьютере жертвы и через некоторое время опять становится активным. Остальным да же код не приходит, а деньги пропадают бесследно.

Примеры блокировки.

Вирус усложняет работу пользователя всевозможными запретами, например: запрещается редактор реестра, диспетчер задач, апплеты панели управления, меню «Выполнить», командная строка и многое другое. Сам троян, тем временем, прописывается в реестре, копирует себя в определенные каталоги, некоторые разновидности блокирует интернет . Было время, когда Trojan.Winlock только начал выходить на просторы рунета. Тогда существовали самые примитивные версии вируса: они удалялись сами через несколько часов работы компьютера, в некоторых версиях достаточно было ввести семь нолей и система освобождалась, они не появлялись в Безопасном режиме Windows! Если к вам «залетел» такой троян – задача по его уничтожению упрощается, а если троян более новой модификации, соответственно, задача усложняется. Последствия от пребывания на компьютере Trojan.Winlock могут быть разными: от затрат на отправление смс злоумышленникам, затрат на вызов мастера, который удалит вам этот вирус, до потери некоторых данных (например, если придётся переустанавливать ОС Windows) и нерабочего интернет-подключения. Всё зависит от случая, как повезёт вам с «питомцем».

Удаление вируса Trojan.Winlock

Итак, вы стали жертвой вируса Trojan.Winlock. Что делать?

Описанные способыудаления trojan winlock вируса требуют хотя бы начальные компьютерные знания, поэтому если вы «чайник» в компьютерах, то сразу рекомендуем вам обращаться в компьютерную помощь!

1. Первый способ. Подходит, если окно трояна в системе растянуто на весь экран. Запрещены: Редактор реестра, Диспетчер задач (CTRL + ALT + DEL), «Выполнить» (WIN + R). Вы не можете переключиться ни на какое окно в системе. При загрузке в Безопасном режиме (при загрузке ПК, в момент перед показом заставки Windows, нажмите F8 и выберите Безопасный режим), точно такая же картина что и в обычном режиме работы системы. Вирус активен и там. Требуется загрузочный диск (BootCD, LiveCD). Это единственный минус данного способа, потому что не у всех есть такие диски. Но, лично для меня, более удобный и быстрый. Можно да же отбросить всё выше сказанное о данном способе и вывести одно условие – у вас должен быть загрузочный CD/DVD.

2. Второй способ. Подходит, если у вас нет загрузочного диска. А так же: окно троянской программы растянуто на весь экран или посередине, запрещено всё что перечислялось в первом способе (или частично запрещено). Если вам удалось загрузить Безопасный режим и вирусная программа в нем не отображается – этот способ для вас.

3. Третий способ. Подходит, если у вас нет загрузочного диска. А так же: окно троянской программы растянуто на весь экран или посередине, запрещено всё что перечислялось в первом способе (или частично запрещено). В Безопасном режиме Windows вирус активен.

После того, как мы определились со способом, приступаем к удалению.

Первый способ удаления вируса

Берём загрузочный диск, не сильно важно его название, главное чтобы была аварийная операционная система (конечно можно воспользоваться и Norton Commander с дискеты если повезёт, но у нас все таки 21 век).

Итак, нам нужно включить загрузку с привода до загрузки с жесткого диска. Это делается в настройках BIOS. При включении компьютера, в самом начале вы увидите надпись «Press DEL to enter Setup» (у ноутбуков в основном написано вместо DEL -> F2). После того как вы нажали нужную клавишу загрузится настройка BIOS. При помощи стрелок на клавиатуре и клавиши Enter нужно зайти в раздел Advanced BIOS Features. Далее, всё зависит от фирмы изготовителя BIOS. В некоторых нужно найти пункт Boot Device Priority, зайти в него и там настроить приоритет загрузки устройств. В других вы сразу найдете настройки приоритета когда зайдете в раздел Advanced BIOS Features. Если вы хоть чуть-чуть обладаете английским языком – вы разберётесь без проблем. Итак, вам надо найти что-то вроде этого:

1st Boot Device
2nd Boot Device
3rd Boot Device

1st Boot Device – устройство, которое загружается первым, обычно там стоит жесткий диск (HDD). Нажав Enter (или другую клавишу – смотрите нижнюю панель в BIOS) выберите CD-ROM.
2nd Boot Device – устройство, которое загружается вторым. Нажав Enter (или другую клавишу – смотрите нижнюю панель в BIOS) выберите HDD.

Устройство выбрано. Теперь нужно сохранить изменения. Для этого возвратитесь в стартовое меню и выберите Save and exit Setup. В появившемся окошке введите «Y» и нажмите Enter. Вставьте диск в дисковод. В нужный момент загрузки компьютера начнется запуск загрузочного диска. Аварийные ОС на таких дисках бывают разными. Некоторые практически полностью выглядят как и обычная Windows, в них есть проводник. В некоторых вместо проводника используется файловый менеджер (например Total Commander). Суть не в этом – главное, чтобы вы могли перемещаться по каталогам и удалять файлы.

Приступим к чистке системы. Самые распространенные каталоги, куда копируется наш троян, это:

в Windows XP

C:\Documents and Settings\ИМЯ_ВАШЕЙ_УЧЕТНОЙ_ЗАПИСИ\Local Settings\Application Data
C:\Documents and Settings\ИМЯ_ВАШЕЙ_УЧЕТНОЙ_ЗАПИСИ\Local Settings\Temp
C:\Documents and Settings\ИМЯ_ВАШЕЙ_УЧЕТНОЙ_ЗАПИСИ\Local Settings\Temporary Internet Files

в Windows Vista/Windows 7

C:\Users\ИМЯ_ВАШЕЙ_УЧЕТНОЙ_ЗАПИСИ\AppData\Roaming
C:\Users\ИМЯ_ВАШЕЙ_УЧЕТНОЙ_ЗАПИСИ\AppData\Local\Temp
C:\Users\ИМЯ_ВАШЕЙ_УЧЕТНОЙ_ЗАПИСИ\AppData\Local\Microsoft\Windows\Temporary Internet Files

В корне 1-го пути ищем незнакомые нам exe, tmp файлы. Далее переходим к самым обитаемым местам вируса – 2 и 3-й пути. В папке Temp выделяем все файлы и папки и удаляем. Этот так, чтоб наверняка. В папке Temporary Internet Files выделяем все файлы и удаляем. Если там будут папки, то удаляйте файлы внутри этих папок. Так же можно просмотреть пути C:\, C:\Program Files, C:\Documents and Settings\ИМЯ_ВАШЕЙ_УЧЕТНОЙ_ЗАПИСИ\Local Settings\Cookies, C:\WINDOWS (часто в C:\WINDOWS бывает вредоносный файл cmon.exe, удалите его), но обычно хватает чистки 2-го и 3-его пути. Если на компьютере несколько пользователей, то произведите для профилактики такие же действия и с их учетными записями. Всё, чистка завершена. Теперь перезагружаемся, вытаскиваем загрузочный диск и ждём момента «Х». Вот экран приветствия, начинает грузиться Рабочий стол и всё, окно вируса не появилось. Вы все сделали правильно. Ну а если появилось, значит плохо чистили, загрузите опять загрузочный диск, и пройдитесь опять по всем путям, может что-то пропустили. Для тех, у кого «пропал» троян : сами файлы мы удалили, но вирус мог оставить записи в реестре. Нам нужно дочистить систему. Входим в Пуск -> Выполнить (WIN + R) и набираем команду regedit а затем жмем Enter. Если выводится сообщение «Редактирование реестра запрещено администратором системы «, то смотрите раздел статьи «Запреты». Если все нормально, то перейдите к ключу HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. В этом разделе хранятся записи автозагружаемых программ текущего пользователя. Эти записи отображаются справа. Конечно, все имена программ и системных файлов вы не можете знать, поэтому, я советую вам обратить внимание на пути к этим файлам, которые отображаются в поле «Значение». Вы сможете понять что это вирус по пути, он может вести к папке Temp или Temporary Internet Files, а так же к Application Data. По имени файла в пути то же можно понять что это вирус. Файл может называться так: ~DFFE93.tmp или так 16A8.exe. Сама запись может называться как угодно. Очень часто её называют Microsoft Audio Driver или что-то вроде этого. Главное не название, а путь и имя файла, запомните это. Итак, допустим, что мы здесь ничего подозрительного не нашли. Теперь переходим к разделу HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Здесь, обычно побольше записей. Проверяем раздел на наличие записей вирусов. И проверьте еще 3 пути (они все рядом):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

Далее переходим к HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Здесь есть несколько значений, куда троян мог прописаться: Userinit, UIHost и Shell. Сейчас приведем примеры, как эти записи должны выглядеть по умолчанию:

Userinit = C:\WINDOWS\system32\userinit.exe,
UIHost = logonui.exe
Shell = explorer.exe

Сверьте наши и ваши записи. Если что – исправляем. Ну вот и всё. Если всё сделали правильно, то вирус удалён с компьютера. Но, помните одно – разновидностей Trojan.Winlock очень много. Мы привели пример того, как и куда прописывается и копируется большинство этих троянов , но различия могут быть.

Второй способ удаления вируса

В данном способе у нас нет возможности воспользоваться загрузочным диском, но, вирус не активен в Безопасном режиме Windows. Здесь все просто. Загружаем Безопасный режим (как это сделать написано выше). У нас практически полноценная ОС. Теперь делаем всё то же самое, что и в Первом способе, начиная со слов: «Итак, приступим к чистке системы. Самые распространенные каталоги, куда копируется наш троян , это:». После проделанных действий перезагружаем компьютер и радуемся жизни (если всё сделали правильно).

Третий способ удаления вируса

Этот способ для тех, кому не повезло. У вас нет загрузочного диска, в Безопасном режиме вирус активен. Что же делать? Мучиться! Это самый долгий способ удаления вируса. Если у вас окно вируса посередине экрана, меню «Пуск» видно и части Рабочего стола видны. Вам нужно попасть в Мой компьютер. Далее, меню Сервис -> Свойства папки -> Вид -> Показывать скрытые файлы и папки -> OK. Если скрытые файлы не отобразились, значит вирус запретил показывать скрытые файлы… Для этого смотрите раздел статьи «Запреты». Предположим, что скрытые файлы и папки отобразились. Теперь вам нужно сделать то же самое что и в Первом способе, после слов: «Итак, приступим к чистке системы. Самые распространенные каталоги, куда копируется наш троян , это:». Но, есть одна загвоздка, окно вируса так мешает отображению папок… Вам придётся изменять размер окон, перетаскивать их туда-сюда, смотреть содержимое по частям. В общем, очень неудобно! Но тут уж ничего не поделаешь. Вызвать Диспетчер задач? Да же если он разрешен, все равно вы его не увидите, потому что он будет под окном вируса. Очень неприятная ситуация. Если у вас есть программа Process Explorer от Sysinternals – можете попытаться запустить её. Она показывает все процессы, да же скрытые. Можно попытаться убить процесс вируса через неё. Но, опять же, некоторые разновидности вообще запрещают запуск файлов. Так что, как повезёт (если запустится, переключитесь на неё с помощью сочетания клавиш ALT + TAB. Она, в отличии от Диспетчера задач покажется поверх окна вируса). И вот так, в таких условиях нужно почистить систему от вируса. Затем перезагрузитесь и почистите реестр. Всё должно получиться, крепитесь. Следующая ситуация, это когда окно вируса растянуто на весь экран. Еще худшая ситуация. Все вызываемые окна остаются позади вируса (если вам повезет и попадется старая разновидность, то знайте, у них были проблемы со скрытием вызываемых окон, и чуть-чуть помучившись, можно будет вызвать желаемое окно на передний план. Используйте ALT + TAB, WIN + D и смекалку). Есть еще одна хитрость: зажмите WIN + U. Появится диспетчер служебных программ. Здесь вы сможете включить Экранную лупу или Экранную клавиатуру, без разницы. Главное то, что при запуске покажется справочное окошко, а в нем ссылка на Веб-Узел Майкрософт, тем самым вы запустите браузер. Если интернет подключен, то вы сможете поискать какую-нибудь информацию в интернете по вирусу или скачать программу Dr.Web CureIt!, точнее, выбирайте не «Сохранить», а «Запустить». Просканируйте систему этой программой, может она что-нибудь и найдёт, хотя эта фишка проходила так же со старыми версиями трояна. Если б был такой антивирус, который засекает и уничтожает Trojan.Winlock , цены б ему не было… Попробуйте восстановить систему, в некоторых случаях помогает. Для этого вам нужно запустить Безопасный режим с поддержкой командной строки. Нажмите клавишу F8 во время загрузки Windows (до появления логотипа и строки прогресса). Выберите Безопасный режим с поддержкой командной строки. В командной строке вам нужно ввести C:\WINDOWS\system32\Restore\rstrui.exe. Далее выполняйте все указания, которые появятся на экране. Так же, можете отредактировать реестр Windows, запустив команду regedit.exe. Что удалять в реестре написано выше. Но, всё это может быть запрещено вирусом. Попытайтесь сделать всё вышеописанное, если уж совсем худо, то спасет только переустановка ОС. А лучше позвоните в какую-нибудь службу по ремонту компьютеров, потратитесь немного, но решите проблему.

Окно Trojan.Winlock 19

Trojan.Winlock (Винлокер ) - семейство вредоносных программ , блокирующих или затрудняющих работу с операционной системой, и требующих перечисление денег злоумышленникам за восстановление работоспособности компьютера, частный случай Ransomware (программ-вымогателей). Впервые появились в конце 2007 года. Широкое распространение вирусы-вымогатели получили зимой 2009-2010 годов, по некоторым данным оказались заражены миллионы компьютеров, преимущественно среди пользователей русскоязычного Интернета. Второй всплеск активности такого вредоносного ПО пришёлся на май 2010 года.

Ранее для перевода денег обычно использовались короткие премиум-номера, в настоящее время подобные программы также могут требовать перечисления денег на электронные кошельки (например, «Яндекс.Деньги»), либо баланс мобильного номера. Необходимость перевести деньги часто объясняется тем, что «Вы получили временный бесплатный доступ к сайту для взрослых, необходимо оплатить продолжение его использования», либо тем, что «на Вашем компьютере обнаружена нелицензионная копия Windows». Также возможен вариант «за просмотр и копирование и тиражирование видео с насилием над детьми и педофилии ». Пути распространения Trojan.Winlock и подобных вирусов разнообразны, в значительной части случаев инфицирование происходит через уязвимости браузеров при просмотре заражённых сайтов, либо при использовании мошенниками специальных «связок», позволяющих заражать только необходимые компьютеры также через браузер.

Классификация различных вендоров

• Trojan.Winlock – по классификации компании Доктор Веб.
• Trojan-Ransom – по классификации компании Лаборатория Касперского.
• Trojan.LockScreen – по классификации компании ESET.

Предыстория

Первая программа-вымогатель появилась в декабре 1989 года. Пользователи получили по почте дискетки с программой, предоставляющей информацию о СПИДе. После установки система приводилась в неработоспособное состояние, и за её восстановление с пользователей требовали денег. Первый SMS-блокер был зарегистрирован 25 октября 2007. Вымогатель инсценировал сбой системы (синий экран смерти). Практически полностью блокировал управление системой.

Описание

Trojan.Winlock, имитирующий синий экран смерти

На данный период времени сотрудниками различных антивирусных компаний зафиксировано несколько тысяч различных видов винлокеров. Наиболее ранние типы требовали за разблокировку не более 10 рублей, а если пользователь оставлял включённым компьютер на некоторое время, то они самоуничтожались (к примеру Trojan.Winlock 19 сам удалялся без следа через 2 часа.) Однако позднее появились более опасные разновидности, которые не удалялись сами по себе и требовали за разблокировку уже от 300 до 1000 рублей.

Винлокеры ориентированы преимущественно на российских пользователей, позже появились и зарубежные версии. В них использованы методы социальной инженерии . Обычно необходимость выплаты денежной суммы объясняется использованием нелицензионного программного обеспечения или просмотром порнофильмов. Следует отметить, что в большинстве случаев заражение происходит именно с порносайтов . Достаточно часто причины необходимости отправки SMS или способы получения кода звучат абсурдно, например, «Ваш компьютер заблокирован за просмотр порнографии с несовершеннолетними и зоофилией . Для разблокировки компьютера необходимо пополнить баланс телефона в любом терминале оплаты. После оплаты код разблокировки должен появиться на чеке оплаты». Не редки орфографические ошибки. Более того, практически на всех баннерах написано предупреждение, о том, что попытка обмануть «систему оплаты» приведёт к нарушению работы компьютера или уничтожению данных. В некоторые из них даже встроен таймер обратного отсчёта, по истечении времени которого вирус обещает уничтожить все данные пользователя. Чаще всего, это простая угроза, убеждающая пользователя отдать злоумышленнику деньги. Однако, некоторые версии действительно снабжаются инструментами для уничтожения данных, но из-за низкого профессионализма авторов, особенностями установки или по другим причинам они чаще всего не срабатывают должным образом.

Заражение может произойти во время запуска программ, маскирующихся под инсталлятор какой-нибудь добросовестной программы или самораспаковывающиеся архивы . При этом в «лицензионном соглашении» (которое рядовой пользователь редко читает) оговаривается, что пользователь согласен установить на компьютер приложение «рекламного характера», которое он обязан просмотреть определённое количество раз, либо отказаться от просмотра, отправив SMS. Число требуемых просмотров обычно идёт на тысячи, поэтому пользователи предпочитают отправлять SMS злоумышленнику.

Вид «интерфейса» троянов очень красочен и разнообразен. Но в большинстве своём их объединяет либо схожесть со стандартными меню Windows, либо наличие порнографического материала (фото, гораздо реже анимации и видео, используя возможности Adobe Flash), а также окно для ввода кода разблокировки. Есть разновидности, очень похожие на синий экран смерти или стандартное окно приветствия Windows. Также не редки случаи, когда они маскируются под антивирусную программу (например Антивирус Касперского).

Trojan.Winlock условно можно разделить на 3 типа, в зависимости от того, насколько они затрудняют работу для пользователя:

• 1 тип - это баннеры или порноинформёры, появляющиеся только в окне браузера. Наиболее легко удаляемый тип. Обычно они выдают себя за дополнительные плагины или надстройки для браузера.
• 2 тип - это баннеры, которые остаются на рабочем столе после закрытия браузера и при этом закрывают большую его часть. Но у пользователей обычно остаётся возможность открывать другие программы, в том числе диспетчер задач и редактор реестра.
• 3 тип - это тип баннеров, который загружается после полной загрузки рабочего стола Windows. Они закрывают практически весь рабочий стол, блокируют запуск диспетчера задач, редактора реестра, а также загрузку в безопасном режиме. Некоторые разновидности полностью блокируют клавиатуру, предоставляя пользователю лишь цифровые клавиши из своего «интерфейса», и рабочую мышь для ввода кода.

Что делать в случае заражения Trojan.Winlock

См. также

Примечания

Ссылки

• AntiWinLocker - Специальный LiveCD для удаления вируса-вымогателя
• Способы борьбы с программами-вымогателями класса Trojan-Ransom

Вредоносное программное обеспечение
Инфекционное вредоносное ПО