Trojan/Winlock

Материал из ТХАБ.РФ
Перейти к: навигация, поиск
Trojan.Winlock - дайте бой смс-троянам.


Предыстория

В последнее время значительно возросло число вредоносных программ-вымогателей, требующих отправить SMS-сообщения (Trojan.Winlock, Trojan-Ransom) для получения доступа к системе или к пользовательским документам. За 6 месяцев появилось около 50 разных модификаций этого вируса, и это еще не предел. Почти все из них успешно распознаются последними качественными антивирусными продуктами, но здесь мы рассмотрим ситуацию реального заражения ПК одной из модификаций этого вируса.


Среда обитания

Чаще всего вирус можно подцепить следующим способом:

1) Сайты "Вконтакте" и "Одноклассники" - очень много модификаций этого вируса пользователи подцепляют именно там. Не рекомендуется открывать ссылки или файлы, присланные вам от незнакомцев.

2) Сайты с бесплатными рефератами - много среди нас студентов. Идеальное место разместить такой вирус.

3) Сообщение в ICQ - да, как ни странно, но через "аську" тоже можно подцепить такой вирус. Схема проста - вам приходит сообщение "Никого не узнаешь на этой фотографии?" (или похожее на это) с прикрепленным файлом в формате gif или jpeg (или ссылка на такой файл). Как только пользователь открывает файл - вирус загружается в систему и после перезагрузки блокируется система с предложением отправить смс для разблокировки.

4) Малопопулярные новостные сайты - советуем не пользоваться новостными сайтами, которые вам не известны.

5) Информеры и баннеры - бывали случаи заражения системы после перехода по ссылкам из баннеров и информеров, которые предлагают "бесплатную антивирусную защиту", "взлом аккаунтов" почты\аськи\вконтакте, "вечно работающий Антивирус Касперского". И это далеко не все типы развода, из-за которого вы можете заразить свой ПК.

Как с этим бороться, если система заражена

Вариант 1

Вариант 1 - есть доступ к другому компьютеру с доступом в интернет. Или на зараженном компьютере есть доступ в интернет и "Рабочий стол".

Итак, ваш ПК все же заразился этим вирусом. Рассмотрим что можно сделать:

1. Заходим на новый проект компании Dr.Web - читаем эту статью, подбираем решение под свою модификацию вируса. Или же пробуем найти ответы на сайте Касперского. Или ищем ответ на сайте ESET NOD32. Недавно "Доктор Веб" запустил еще одну службу поддержки для всех пользователей - тут

2. Скачиваем антивирусный сканнер и используем его для сканирования зараженного ПК в "Безопасном режиме". Для входа в "Безопасный режим" нужно во время загрузки ОС нажать клавишу F8.

3. Скачиваем LiveCD записываем на диск, загружаемся с него и проводим сканирование вашего зараженного ПК.

4. Если вы пользователь продукта Kaspersky Internet Security 2010 - сведения защиты средством "Контроль программ" вы можете найти в этой статье.

5. Ознакомьтесь с Основными правилами безопасной работы на компьютере

Вариант 2

Вариант 2 - нет доступа к другому компьютеру с доступом в интернет. Или на зараженном компьютере нет доступа в интернет и "Рабочий стол".

Блокировка на стадии входа в систему (нет доступа к "Рабочему столу"):

1. Нажать комбинацию WIN-U на клавиатуре — появится окно активации специальных возможностей (в большинстве случаев, есть редкие модификации, которые блокируют эту возможность).

Trojan1.jpg


2. Запускаем из этого окна экранную лупу. Запустившись, она выводит свое окошко, в котором есть гиперссылка «Веб-узел Майкрософт». Если нажать её, то запускается IE (или другой браузер по умолчанию).

Файл:Trojan2.jpg


3. Получаем доступ в интернет с помощью вызванного IE (или другого браузера по умолчанию). Дальше можно действовать по схеме, указанной в Варианте 1.


Что делать после успешной зачистки от этого вируса?

Рекомендуется закачать портативный сканнер и\или качественный анти-троян и анти-шпион для сканирования системы перед установкой полноценного качественного антивируса. Более подробно о видах сканнеров и анти-троянов вы можете прочитать тут.


Как себя защитить от такого типа заражений

Это можно сделать следующим образом:

1) Всегда пользоваться КАЧЕСТВЕННЫМ антивирусом последней версии с актуальными антивирусными базами и максимальными параметрами защиты.
2) Использовать актуальную операционную систему Windows с последними обновлениями.
3) Отключать в системе автозапуск со сменных носителей.
4) Проверять регулярно свои сменные носители на наличие вирусов и ВСЕГДА проверять сменные носители своих знакомых\родственников, которые приносят свои флешки для вашего компьютера.
5) Не переходить по подозрительных ссылках, баннерах, информерах.
6) Держать при себе LiveCD с качественными антивирусами. Такой диск можно скачать в интернете или же сделать самому.


Ссылки

Dracula87