В прошлом году белорусская антивирусная компания «ВирусБлокАда» сообщала о появлении «национального» Trojan.Winlock, ориентированного на белорусских пользователей Windows и требующего у них передать злоумышленникам некоторую сумму в белорусских рублях на электронный кошелек WebMoney.

Сегодня наблюдается новый всплеск активности троянов-вымогателей. Увеличилось количество обращений с проблемой блокировки ОС Windows в службу технической поддержки антивирусной компании «ВирусБлокАда». В большинстве случаев заражение произошло после посещения таких популярных социальных сетей, как odnoklassniki.ru, vk.com и др. Используя методы социальной инженерии, злоумышленники вынуждают пользователя действовать по собственному сценарию: открывать зараженные файлы (документ, Flash-ролик), переходить по сомнительным ссылкам и устанавливать на компьютер вирусное ПО под видом легальных приложений, вводить данные своих учётных записей или кредитных карт на поддельных сайтах.

Для того, чтобы попасть в систему, троян-вымогатель использует уязвимость в Adobe Flash. Несвоевременное обновление сторонних приложений (Adobe Flash, Java и др.) стало главной причиной заражения компьютеров с ОС Windows вредоносными программами.

Белорусские пользователи в последние дни жалуются на новый троян-вымогатель: он блокирует компьютер и предлагает перевести на счёт EasyPay 100 000 рублей. Номер счёта выбирается случайным образом из 32013809, 32016695, 32018493.

В диалоговом окне сообщается, что компьютер заблокирован якобы за просмотр детского гей-порно. Деньги предлагается перевести в течение 12 часов — в этом случае хозяин «избежит» удаления данных с жёстких дисков, и «дело» владельца ПК будет удалено из архива МВД Республики Беларуси.

Ввести подходящий код разблокировки для данного трояна-вымогателя невозможно (код разблокировки отсутствует), поэтому любой перевод денежных средств мошенникам является вдвойне бессмысленным действием.

Как же можно избавиться от данного трояна-вымогателя? В общих чертах алгоритм лечения такой:

1. Загрузитесь с любого спасательного компакт-диска (например, с VBA32 Rescue);
2. Переименуйте файл X:\windows\system32\userinit.exe в userinit.ex_ (здесь X: - имя диска с пострадавшей системой);
3. Скопируйте файл X:\windows\system32\cmd.exe в X:\windows\system32\userinit.exe;
4. Перезагрузите компьютер;
5. После загрузки системы у вас должна появится командная строка, в которую следует ввести regedit;
6. Исправьте ключ реестра (с путём HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, ключ Shell), предварительно запомнив или записав путь к файлу Winlock (значение ключа), и замените его значение на explorer.exe;
7. Закройте редактор реестра и выполните в командной строке explorer;
8. Удалите файл X:\windows\system32\userinit.exe;
9. В той же папке переименуйте userinit.ex_ в userinit.exe;
10.  Перезагрузите компьютер;
11. Удалите файл Winlock (путь к нему был указан в реестре)
12. Готово.

Информация предоставлена компанией «ВирусБлокАда».