Эпидемия вируса в Российском интернете!

От компании “Доктор Веб” поступило сообщение о том, что эпидемия троянцев семейства Trojan.Winlock набирает обороты.

Trojan.Winlock – вредоносная программа, которая выводит сообщение о блокировке операционной системы Windows и делает невозможной какую-либо работу на компьютере. Запустить какую-либо программу или открывать окна – невозможно.

Окно блокировки содержит сообщение о том, что компьютер заблокирован, дальнейшая работа невозможна, а для того, чтобы продолжить нормальную работу необходимо отправить SMS сообщение с каким-либо текстом на определенный номер.

Кстати, даже если Вы отправите дорогую SMS на указанный номер, в некоторых случаях, никакой код разблокировки Вы не получите.

Trojan.Winlock – набирает популярность среди злоумышленников. Издаются все новые его модификации, стоимость отправки сообщения возрастает. И если раньше троян через несколько дней сам удалялся с компьютера, то теперь этого, как минимум, не происходит. Удалить троян все сложнее. Его функционал так же расширяется.

Вредоносные программы семейства Trojan.Winlock распространяются через уязвимости в Windows (в частности, Internet Explorer), вредоносные сайты (скачиваемые кодеки), эксплойты iframe, а также ботнеты (владельцы ботнета продают установку какой-либо вредоносной программы на зараженном компьютере).

Только за январь число пострадавших в России от блокировщиков Windows составило несколько миллионов пользователей. С учетом того, что средняя стоимость SMS-сообщения — 300-600 рублей, предположительные потери россиян от этого вида вредоносного ПО только в первом месяце 2010 года составили сотни миллионов рублей. В связи с тем, что с каждым днем появляются новые модификации Trojan.Winlock, незащищенными остаются даже те пользователи, которые применяют постоянно обновляемые антивирусные решения различных производителей.

К счастью, “Доктор Веб” создала бесплатный сервис, где можно получить самую последнюю информацию об этих троянцах.

Также там расположена форма разблокировки – если Ваш компьютер заражен этим троянцем, необходимо сгенерировать код разблокировки:

http://www.drweb.com/unlocker/index/?lng=ru

Будьте бдительны!


  • Дмитрий

    Спасибо за оч.полезную статью,с этой проблемой пока проносит.У меня стоит AVAST будет ли он конфликтовать с Dr.Web?

  • Wale

    8 Сергей! За рекомендации по профилактике Troyan.Winlock и лечению вам,
    конечно же,благодарность от неопытных юзеров.
    Но вот далее ваша фраза: «…..и т.п. Я еще долго могу продолжать Это лишь малая часть.»
    — весьма удивила. Перед кем рисуешься то? Можешь долго продолжать, так продолжи!

  • Константин

    Я тоже ловил два раза эту дребедень, но удалял (правда не без труда): через диспетчер задач находил процесс и удалял. Без всяких генераторов кодов и СМС. Полностью согласен с Сергеем под №8. Всё это из-за нашей невнимательности и доверчивости. Будьте бдительны!!!

  • Александр

    Спасибо Сергей за ликбез! Может после этого поубавится «заболевших». Мне пачками несут зараженные компьютеры как винлокерами, так и другими троянами. Лечение происходит по разному и с разными последствиями. Иногда винлокер удаляется путем восстановления системы из контрольной точки (при желании можно запустить и при этом самом блокирующем окне) и последующем лечении утилитой Доктора Веба или KIS 2010. Иногда через вышеназванный генератор Др.Веба. Часто трояны повреждают реестр Windows и приходится переустанавливать систему. Поэтому УБЕДИТЕЛЬНАЯ ПРОСЬБА: НЕ заходите на сомнительные сайты и НЕ скачивайте что попало или хотя бы проверяйте скачанные файлы перед открытием или запуском антивирусом (кстати KIS 2010 в большинстве случаев помогает). Вы ведь не едите что попало, тем более с помойки, а интернет кишит «помойками»!!! Будьте бдительны и зараза минует вас, а уж если не повезло — ищите хорошего мастера — вылечит обязательно и не потеряете свои данные (по крайней мере у меня таких случаев не было, лечил и восстанавливал всё). Удачи вам! И ещё раз спасибо Сергею Зуеву!!!

  • Комп не выключается? А из розетки выдернуть нельзя? Жестоко — но можно. Оператива обнулится. Заходим через F8 в безопасном режиме и ищем паскудника руцями — вспоминаем че ставили, пробуем сделать откат на неделю — месяц. В безопасном режиме вирус не запустится.

  • Ильдус

    Интересно а Norton 360 видит эту заразу?

  • Ильдус

    Сергей. У меня к Вам такой вопрос. Сайт у Вас вроде бы про безопасность и т.д. но посмотрите на раздел Реклама от Google: прохожу по ссылке-начинается кокое-то сканирование моей системы и выдаётся результат:в такой-то директории столько-то вирусов, в таком-то разделе диска столько-то вирусов! И предлагается вылечить все это за 300 рублевую СМСку (кстати похоже на тему нашего разговора)Пробую пройти по другой ссылке- история та же, только другое кол-во вирусов (то 18, то 24, доходило даже до 32)и везде в условиях соглашения пишется, что я использую всё это дело НА СВОИ СТРАХ И РИСК и т.д. и т.п. Тут я уже не удержался от смеха: у меня Norton 360 v.3, а это не какой-то там касперский или NOD32. Короче все эти сайты- лохотрон или что-то вредоносное.
    А вопрос у меня такой: ВЫ ЧТО ПОМОГАЕТЕ В РАСПРОСТРАНЕНИИ ВРЕДОНОСНЫХ РЕСУРСОВ ДЛЯ ПРОДВИЖЕНИЯ СВОЕГО ПРОДУКТА?!
    Жду ответа.

  • Юрий

    Спасибо за информацию

  • Наталья

    NOD-отличная штука?! NOD32 пропускает всю эту пакость без какой-либо вообще реакции! Удалила NOD без капли сожаления, жаль что не сделала этого раньше. Установила Касперского 2010, долго ему пришлось потрудиться, прежде чем он удалил всю нечесть, которую «прошлепал» NOD.

  • Предохраняйтесь!

  • Сергей Зуев

    Абсолютно с Вами согласен!!!!!

  • Сергей Зуев

    Опишите проблему подробнее (на что ругается, какие ошибки и т.п.)

  • Сергей Зуев

    К сожалению, 100% защиты от этого нет, поэтому — стандартные меры: всегда держите включенным антивирус, архивируйте ценную информацию и следите за актуальностью вирусных баз.

  • Сергей Зуев

    Буду стараться информировать Вас как можно раньше, здесь на блоге!!!

  • Сергей Зуев

    Всплывающие окна на сайтах, типа «у Вас найдено xx вирусов» — это уже мошенничество. Никакие антивирусные лаборатории (настоящие!) НЕ рекламируют и НЕ распространяют таким образом свою продукцию!

    Надежные антивирусы на сегодня только тут:
    http://www.kaspersky.ru
    http://www.drweb.ru
    http://www.symantec.ru

    Просто приобретите один из этих продуктов и установите на компьютер.

  • Спасибо, установил. Во всех браузерах все работает, а в Трандерберд почему-то не установилась? Может что-то не доделал?

  • Сергей Зуев

    Скорее всего, сам скрипт не был заражен, НО содержал в себе уязвимость, через которую и проник вредоносный код (рекламный).
    По идее, должна помочь переустановка браузера…
    По возможности, проверьте наличие новой версии Mozilla на официальном сайте. Это важно. Т.к. в новых версиях устраняют какие-либо уязвимости и проблемы.

  • Сергей Зуев

    Тут можно посоветовать только одно — в настройках поднимите уровень защиты для файлового антивируса в положение «Высокий».

  • ИМХО! Каспером не пользуюсь из принципа, он порой блокирует то, что не надо и везде ищет шпиона! Порой работать невозможно, каждый третий сайт, на который я захожу обозначает как зараженный! Такое впечатление, что в инет вообще выйти невозможно, везде «черви» и «трояны»!!! Пользуюсь NOD32 и DrWeb, очень «гибкие» программы. Мне нравятся, опять же ИМХО!

  • Сергей Зуев

    Совершенно верно! 🙂

  • Сергей Зуев

    Да, возможно! DrWEB CureIt помогает именно в таких ситуациях.

  • Сергей Зуев

    Если Вы имеете в виду DrWeb CureIt — то конфликтовать не будет. А если Вы хотите установить DrWeb на компьютер — то да. Два антивируса будут конфликтовать между собой.

  • Сергей Зуев

    Конечно.

  • Не всегда работает, в моем случае даже в безопасном режиме не пустил к откату!

  • Сергей Зуев

    Вы несомненно попали на подставной сайт. Мы таким образом НЕ распространяем продукт! Наш сайт ОДИН — http://www.oborona-dvd.ru. И все ссылки с других каких-либо ресурсов (в т.ч. ссылки с рекламных баннеров) должны вести ТОЛЬКО на http://www.oborona-dvd.ru !!!

  • Alex

    Ну отличная штука или нет я не могу судить….сужу по результату

  • Интересно, чем тебе NOD не угодил? Каспер — понятно, полный отстой, я пользюсь NODом года три и ни разу он меня не подвел, при этом мне никто не пишет сколько и где у меня вирусов! Даже в Google. А по поводу твоего вопроса — сам-то понял что спросил?

  • Alex

    Может он в тот момент обновился и уничтожил эту заразу а когда я им проверял он действительно ничего не обнаружил У меня официальная версия этого антивируса

  • Надо уметь пользоваться программами, они все-таки просто программы и без человека они мертвы!!!

  • Последние версии не дадут откатится даже в безопасном режиме!!! Уже проверено. Из розетки выдернуть можно, не криминал, но потом все повторится!

  • Во первых: непонятно к какому из Сергеев ты обратился, к автору блога или к автору коммента в блоге Сергея Зуева! Во вторых: хочешь получить ответ на свой вопрос — ставь его конкретно, на крайняк — попроси автора связаться с тобой приватно и оставь контакт. Удачи, «неопытный» юзер!

  • Sergey

    Для Firefox есть очень полезный плагин: https://addons.mozilla.org/ru/firefox/addon/722

    Позволяет блокировать все скрипты на веб странице и разрешать только для доверенных сайтов. Составляется «белый список» доверенных сайтов по ходу работы, а на остальных сайтах скрипты будут блокироваться. Куча настроек. Рекомендую.

  • Sergey

    Честно говоря, не знаю почему в Thunderbird не появляется в контекстном меню дополнительного пункта. Я пользуюсь Оперой. Можете спросить на форуме Доктор веба в разделе «Общие вопросы». В крайнем случае ссылку можно скопировать и проверить здесь: http://vms.drweb.com/online/

  • Sergey

    Ни перед кем не красуюсь и не собирался. Призвал всех юзеров в поддержку автору блога просто быть бдительней, так как сейчас просто повальная эпидемия этих винлоков, энкодеров и прочей дряни(личные примеры есть знакомых и статистику всегда отслеживаю). Сергей можете удалить мой коммент, раз это задевает некоторых чувствительных особ.

  • Sergey

    Полностью согласен.

  • Sergey

    Вот из-за подобных отправляльщиков СМС, как ваш приятель, живут и процветают эти мошенники пользуясь наивностью и/или компьютерной неопытностью простых юзеров. Когда самим не получается справиться с заразой, тогда нужно обращаться к специалистам. И за эти 600 руб. можно было и ПК вылечить(если спец толковый конечно) и мошенника с носом оставить. А отправляя СМС на короткие номера и мошенника поощряете и вирус в системе остается(хоть и не активный). Где гарантия что через N-ое количество времени он не активируется снова или будет втихаря воровать пароли с ПК? Нет никакой гарантии!

  • Ильдус

    Сергей. Вы меня неправильно поняли. Я имел ввиду рекламный баннер от Google вверхней части ЭТОЙ страницы справа (после вопроса о новом дизайне), где ссылки на xp-guard, po-defend и т.д. с их эмуляторами.
    Я понимаю что Вы здесь вроде бы и ни при чём, но появляются нездоровые ассоциации.

  • Sergey

    Приблизительную стоимость СМС можно проверить здесь: http://sms-price.ru/

    Да, позволяли мошенничать, ведь часть дохода со стоимости СМС на эти короткие номера получает оператор сотовой связи. Сейчас их немного растолкали и напрягли с этим делом.

  • Sergey

    …но вирус остался в системе.

  • Ильдус

    Против NODa я ничего не имею.Пользовался им как-то 1 год и остался доволен. Он для меня на втором месте после Norton 360.

  • На вкус и цвет, как говорится!-:)))

  • Абсолютно согласен! Однако не каждый вовремя об этом позаботится.

  • Sergey

    После удаления вредоносной программы, в случае если какие-то программы не запускаются (типа диспетчера задач, редактора реестра и т.п.)то можно попробовать утилиту Plastfix от Доктор Веба: ftp://ftp.drweb.com/pub/drweb/windows/plstfix.exe

    Есди не качается браузером, то качайте любым ФТП-клиентом.

    Она исправляет и восстанавливает наиболее часто повреждаемые троянами ключи реестра. После этого есть шанс что программы станут запускаться.

  • Не думаю что дело надо доводить до переустановки, скорее всего ОС — Vista, Она ругается на все-:))) Просто надо с настройками разобраться, с помощью более опытных товарищей!

  • Ильдус

    Дело не во вкусе и цвете. Дело в свойствах и возможностях продукта, а так же в сервисе.

  • Sergey

    Да! Безопасный «вирт» прежде всего! 😉

  • Ильдус

    А Вы каким NODом пользовались: антивирус или Smart Security?

  • Ильдус

    А какие антивирусные проги блокируют ботнетов?

  • Вот я иговорю: на вкус и цвет — товарища нет! Тебе нравится одно, другому — другое! Неужели непонятно?

  • Сергей, Аваст забыл добавить, http://www.avast.com