Добро пожаловать на независимую площадку Stop Malware.
Показано с 1 по 10 из 10

Тема: Winlock по-белорусски

Понравилась статья? Поделись с друзьями!
  1. #1
    Аватар для Александр
    Александр
    Александр на форуме

    Администратор
    Регистрация
    21.03.2011
    Адрес
    Казахстан
    Сообщений
    5,421
    Поблагодарил(а)
    3,531
    Благодарностей
    2,028
    Записей в дневнике
    23

    Восклицание Winlock по-белорусски

    Компания ВирусБлокАда сообщает о появлении «национального» Trojan.Winlock, ориентированного на белорусских пользователей Windows и требующего у них передать злоумышленникам некоторую сумму в белорусских рублях на электронный кошелек WebMoney.



    Скриншот:

    Winlock по-белорусски


    Trojan.Winlock - семейство вредоносных программ, которые блокируют или затрудняют работу с операционной системой и требуют перечисления денег злоумышленникам за восстановление работоспособности компьютера. Впервые появились в конце 2007 года. Широкое распространение трояны-вымогатели получили зимой 2009-2010 года, когда по данным российских антивирусных компаний оказались заражены десятки тысяч компьютеров, преимущественно среди пользователей русскоязычного Интернета. Второй всплеск активности такого вредоносного ПО пришелся на весну 2010 года, об этом говорит и количество обращений в службу технической поддержки нашей компании.
    С точки зрения архитектуры программирования, Trojan.Winlock реализован достаточно примитивно, что характерно для всех вредоносных программ этого семейства.

    Белорусский Winlock представляет собой исполняемый файл, написанный на языке высокого уровня Borland Delphi, упакован криптором на языке программирования Visual Basic. Попадая в систему, троян записывает ссылку на самого себя в ветке системного реестра, которая отвечает за автозагрузку приложений. После этого троянская программа завершает процесс explorer.exe (Рабочий стол) и taskmgr.exe (Диспетчер задач). В результате блокируется нормальная работа Windows как в обычном, так и в безопасном режиме.

    Окно программы, блокирующее Рабочий стол Windows, сообщает о том, что:
    Ваш компьютер был заблокирован за просмотр, копирование и тиражирование видео материалов содержащих элементы педофилии и насилия над детьми.
    Для разблокирования компьютера Вам необходимо заплатить штраф в размере 100000 белорусских рублей через терминал для оплаты сотовой связи, или в любом салоне сотовой связи, либо в пользу нашего партнера WebMoney на счет ВXXXXXXXXXXXX (в разделе "Другое" или "Электронные деньги") В случае оплаты суммы равной штрафу либо превышающей ее на фиксированном чеке терминала будет напечатан код разблокировки. Его нужно ввести в поле в нижней части окна и нажать кнопку "Разблокировать".

    Если в течение 12 часов штраф не будет оплачен, все данные на Вашем персональном компьютере будут безвозвратно удалены, а дело будет передано в суд для разбирательства по статье 242 ч.1 УК Белоруссии.

    Статья 242.1 Изготовление и оборот материалов или предметов с порнографическими изображениями несовершеннолетних.

    Наказывается лишением свободы на срок от двух до четырех лет, либо без такового.
    Следует отметить, что это — редкий случай появления именно «белорусского» троянца-блокировщика, требующего от пользователя перевести некоторую сумму на электронный кошелек WebMoney. Код разблокировки троянца – 079156005.


    Напоминаем еще раз, что делать в случае заражения Trojan.Winlock:
    • Ни в коем случае нельзя выполнять требования злоумышленников. Практически во всех случаях после отправки SMS обещанный код разблокировки не приходит.
    • В случае предлагаемой оплаты по SMS можно позвонить в службу поддержки контент-аггрегатора, которому принадлежит номер. Часто они могут сообщить код разблокировки.
    • Если троянская программа блокирует доступ к определенным ресурсам Интернет (обычно к популярным социальным сетям и сайтам с антивирусным ПО), необходимо удалить лишние записи (кроме строки «127.0.0.1 localhost») из файла C:\Windows\System32\drivers\etc\hosts и очистить кэш DNS (командой «ipconfig /flushdns» от имени администратора), а также очистить cookies и кэш в браузере.
    • При полной блокировке можно загрузиться в систему с помощью спасательного образ Vba32 Rescue, который можно бесплатно скачать, записать на компакт диск и удалить троян при помощи антивирусной программы.
    • Открыть диспетчер задач (если это возможно). Посмотреть процессы на предмет подозрительных. Попробовать завершить процесс. Скорее всего, процесс перезапустится. Перезагрузиться в безопасном режиме и удалить программу вручную.

  2. 2 пользователей сказали cпасибо Александр за это полезное сообщение:

    Bern (29.07.2011), Ксения (30.07.2011)

  3. #2
    Аватар для Aibolit
    Aibolit
    Aibolit вне форума

    Администратор
    Регистрация
    22.03.2011
    Сообщений
    941
    Поблагодарил(а)
    690
    Благодарностей
    304



    Цитата Цитата


    Сообщение от Александр Посмотреть сообщение
    Компания ВирусБлокАда сообщает о появлении «национального» Trojan.Winlock, ориентированного на белорусских пользователей Windows
    Вот и Белорусы отличились)))

  4. #3
    Аватар для Александр
    Александр
    Александр на форуме

    Администратор
    Регистрация
    21.03.2011
    Адрес
    Казахстан
    Сообщений
    5,421
    Поблагодарил(а)
    3,531
    Благодарностей
    2,028
    Записей в дневнике
    23



    Цитата Цитата


    Сообщение от Александр Посмотреть сообщение
    Попадая в систему, троян записывает ссылку на самого себя в ветке системного реестра, которая отвечает за автозагрузку приложений. После этого троянская программа завершает процесс explorer.exe (Рабочий стол) и taskmgr.exe (Диспетчер задач). В результате блокируется нормальная работа Windows как в обычном, так и в безопасном режиме.
    Простенький winlock...



    Цитата Цитата


    Сообщение от Aibolit Посмотреть сообщение
    Вот и Белорусы отличились)))
    кто-то решил написать «национальный» Trojan.Winlock!

  5. #4
    xcore4u вне форума

    Модератор
    Регистрация
    08.07.2011
    Сообщений
    593
    Поблагодарил(а)
    0
    Благодарностей
    20
    Наглая ложь

    У меня есть уже несколько винлоков...множество из них требубт деньги на вебмоней с украинским кршельком,другие требуют на русский,а эти на белоруский.

    Так вот..для вебмоней нет никакой разницы потом сменить и вывести в нужной для тебя валюте.

    Я помог человечку разблокировать машину он кинул мне на вебмоней на русский кошелек..говорит на пиво тебе друг...В сервисе не смогли справиться.

    Я спокойно с wmr перевел в украинскую валюту и вывел у себя.
    То же самое с беларуским вебмоней.

    Злоумышленники подстраиваются под пользователя..чтобы ему было удобно отправить деньги...и все.
    А вот кода разблокировки они и не увидят.

  6. 2 пользователей сказали cпасибо xcore4u за это полезное сообщение:

    Aibolit (30.07.2011), Александр (30.07.2011)

  7. #5
    Аватар для Александр
    Александр
    Александр на форуме

    Администратор
    Регистрация
    21.03.2011
    Адрес
    Казахстан
    Сообщений
    5,421
    Поблагодарил(а)
    3,531
    Благодарностей
    2,028
    Записей в дневнике
    23
    Цитата Сообщение от mrbelyash Посмотреть сообщение
    Наглая ложь
    почему же?
    На то его и назвали первый «национальный» Trojan.Winlock! потому как впервые попалось перевод суммы на белорусский кошелек webmoney. Все когда то в первый раз!
    Следует отметить, что это — редкий случай появления именно «белорусского» троянца-блокировщика, требующего от пользователя перевести некоторую сумму на электронный кошелек WebMoney. Код разблокировки троянца – 079156005.

    Цитата Сообщение от mrbelyash Посмотреть сообщение
    А вот кода разблокировки они и не увидят.
    как написано на офф. сайте и мной скопипастено оттуда:



    Цитата Цитата


    Сообщение от Александр Посмотреть сообщение
    Код разблокировки троянца – 079156005.

  8. #6
    xcore4u вне форума

    Модератор
    Регистрация
    08.07.2011
    Сообщений
    593
    Поблагодарил(а)
    0
    Благодарностей
    20
    Ты не понимаешь..глобально-это один и тот же генератор винлоков.
    Подставляй любой кошелек....Вымогатели упрощают доение... (вымогатели могут быть все те же ..они упростили для себя получение бабулетов).

    Сам винлок и генератор там не причем...просто изменили одну строчку текста и после этого это стало национальным Винлоком?

    Пиар на чистом месте (VBA,Dr.Web)

    P.S.
    vazonez

  9. 1 пользователь сказал cпасибо xcore4u за это полезное сообщение:

    Александр (30.07.2011)

  10. #7
    Аватар для Александр
    Александр
    Александр на форуме

    Администратор
    Регистрация
    21.03.2011
    Адрес
    Казахстан
    Сообщений
    5,421
    Поблагодарил(а)
    3,531
    Благодарностей
    2,028
    Записей в дневнике
    23
    Цитата Сообщение от mrbelyash Посмотреть сообщение
    просто изменили одну строчку текста и после этого это стало национальным Винлоком?
    мдя... Логичный пиар
    Цитата Сообщение от mrbelyash Посмотреть сообщение
    Пиар на чистом месте
    тяжело с этим не согласиться

  11. #8
    Аватар для Rustock.C
    Rustock.C
    Rustock.C вне форума

    Пользователь
    Регистрация
    11.07.2011
    Сообщений
    67
    Поблагодарил(а)
    33
    Благодарностей
    63
    Винлок слепили обычным нагло палевным генератором винлоков. Национальное в нём то, что есть одна строчка, где упоминается белорусский вебмани и УК Белоруссии
    Последний раз редактировалось Rustock.C; 30.07.2011 в 22:54.

  12. #9
    Аватар для x-sis
    x-sis
    x-sis вне форума

    Местный
    Регистрация
    11.07.2011
    Адрес
    Россия, Волгоград
    Сообщений
    185
    Поблагодарил(а)
    52
    Благодарностей
    124
    И всё, это точно делает его белорусским
    http://ProvisionSecurity.ru - об информационных технологиях, о жизни, обо всём.

  13. #10
    xcore4u вне форума

    Модератор
    Регистрация
    08.07.2011
    Сообщений
    593
    Поблагодарил(а)
    0
    Благодарностей
    20
    Винлок для Беларуси....Могу сделать и для Мексики...пиариться надо ведь.

    ---------

    А все их большинство сделано на базе исходника на дельфи.отсюда http://www.delphisources.ru/
    Последний раз редактировалось xcore4u; 30.07.2011 в 23:40.

 

 

Похожие темы

  1. Trojan.WinLock.3300 или Trojan.WinLock.3278
    от Ксения в разделе Винлоки - анализ, рассмотрение и коды разблокировки
    Ответов: 0
    Последнее сообщение: 05.12.2011, 16:48

Социальные закладки

Социальные закладки

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •