Янв
10

Подхватил на днях блокиратор Windows (Trojan.Winlock.6426 по классификации Dr.Web)

Автор Flashback    Рубрики Блог     Теги

Наверное, главным, но не единственным минусом Windows является обилие вредоносных программ для него. Да… за популярность надо платить. Но как же я умудрился подхватить блокиратор? Тут, конечно, только моя вина. Кстати, сразу скажу во вступлении, что, конечно же, не шлите никаких смс и не пополняйте никаких счетов, ибо очень-очень велика вероятность, что это все равно никак не поможет вам удалить блокриатор Windows.
На ПК у меня стоит Windows XP (не шибко лицензионная). В качестве антивируса и фаерволла выступает Kaspersky Internet Security, а это на его скорости работы отражается не в лучшую сторону. За многие годы продукты Лаборатории Касперского показывали мне отличные результаты, в то время как у знакомых мне пользователей Авиры, NOD32 и т.п. бывали различные заражения машин.
На ноуте же у меня стоит Windows 7 (слегка лицензионная) и я подумал, а чего бы не поставить Microsoft Security Essentials, который бесплатен для владельцев лицушной Винды. Я бы, конечно, наслышан о том, что это еще то «решето».
На что же я надеялся?
1) На внутреннюю защиту Windows. Только вот на что? Сидел-то я с правами админа со всеми вытекающими.
2) На браузер Opera. Вроде, прошли уже те дни, когда под него было много эксплоитов, как под того же IE, но факт остается фактом блокиратор Windows сам подгрузился и запустился, когда я посетил небезопасную страницу. Об этом напишу ниже.
3) На то, что «малварь» будет в списке сигнатур антивирусника от «Майкрософт».
Конечно, зря это я на это надеялся.
Но, винлокер был отлично закриптован. Во время проверки на вирустотале лишь 3 антивируса из 44 почуяли неладное: ByteHero, Kaspersky и Symantec. Затем я отправил сэмпл Microsoft и их антивирус стал тоже детектить, а сейчас данный сэмпл определяется большей частью антивирусов, но только какой от этого толк, если его снова перекриптуют и он снова не будет определяться подавляющим большинством.
Что же делать, если вы подхватили блокиратор Windows?
До эпидемий винлокеров злоумышленниками вымогались деньги по средствам порнобаннеров, встраивающихся в браузерах. Вроде, их называли информерами, но не суть. Они не прижимали так конкретно пользователей, как блокираторы, потому что все работало, был лишь порнобаннер, который мазолил глаза, но тут же можно было бы скачать антивирус или нагуглить «как удалить порнобаннер». И вот уже проблема решена.
Тут же, если у вас нет второго компьютера и winlocker застал вас врасплох, то остается надеяться только на чудо. Возможно, вы сможете с телефона найти код для разблокировки на сервисе от Лаборатория Касперского или Dr. Web. Но на чудо надеяться не стоит. У меня блокиратор просил положить 1000 рублей на номер 79878704022, но сервисы ничего не нашли. Код же был 079630720. Кстати, в поиске блокираторов по изображению Trojan.Winlock.6426 занимает гордое первое место, и код там такой есть. Так, что если вы найдете подхваченный вами блокиратор по изображению, то попробуйте поперебирать все коды из списка. Но тот блокиратор, что я подхватил, автоматически после ввода кода не удаляется и при следующей загрузке операционки снова выскочит окно с требованием пополнить счет. Поэтому следует использовать лечащие утилиты, как Dr.Web CureIt! или Kaspersky Removal Tool.
Лучше же иметь загрузочную флешку или диск. Я бы вам посоветовал Kaspersky Rescue Disk 10, но, по сути, я ничего другого и не пробовал. Возможно, есть и более лучшие решения, но несколько раз меня выручал именно Kaspersky Rescue Disk.
Как я все-таки подхватил Trojan.Winlock.6426?
Я уже говорил выше, что во время серфинга с Opera. Скорее всего, эксплоит использовал Java, которая предустановленна в Windows 7. Все руки не доходили удалить Яву, но теперь точно ее удалю. Также еще очень популярны PDF-эксплоиты под Acrobat Reader, хотя данный ридер сейчас стал побезопаснее, если верить утверждениям Adobe.
Ну, так вот. Общаюсь я в асе с одним человеком, допустим, его имя П***. И тут мы с ними обсуждаем один ресурс. И тут он говорит, что его посещалка составляет 7000 в сутки. Но никаких счетчиков я на нем не увидел. Была лишь кнопка рейтинга Mail.ru. В статистике цифры были какие-то странные. Даже лень было разбираться в принципах этой статистики. Я решил перейти на сайт выше и ниже по рейтингу, чем интересующий меня сайт, чтобы на них посмотреть счетчики и прикинуть его посещалку, но уже буквально через несколько секунд у меня пропал рабочий стол вместе со всеми программами, а затем появилось вот такое окно:

winlocker

Только сумма и телефон были другими. Если бы не этот случай, то общее число подхваченных мною винлокеров равнялось бы нулю. На этом все. Наверное, потом напишу вторую часть статьи.
© Flashback, RCE.SU

7 комментариев к “Подхватил на днях блокиратор Windows (Trojan.Winlock.6426 по классификации Dr.Web)”

  • Flashback 10.01.2013 в 12:25

    Добавлю, что этот блокиратор довольно неопасный. Скорее всего, его можно удалить даже без загрузочного диска/флешки, но все равно тогда надо:
    1) записать специальный софт на флешку/диск
    2) должна быть включена автозагрузка с флешки/диска

    • дмитрий 11.01.2013 в 09:15

      Я пока ни разу ни цеплял блокировщик.
      для удаления иногда просто можно зайти под другой учеткой если такая имеется и удалить его

      • Flashback 11.01.2013 в 15:18

        Сам же впервые подхватил. У меня не было других учеток. Но это явно не панацея.

  • Vasar 13.01.2013 в 15:42

    а с безопасного режима лень запуститься( жать кнопочку f8 при включении), если вирус его не удалил. А вообще майкрософтский «антивирус» если можно так назвать единственный не прошёл тестирование из всех антивирусов. я вообще пользуюсь Dr.Web Security Space 8.0 отличная штука несколько раз спасала от подобных случаев!

  • ximerus 30.01.2013 в 01:56

    Я недавно разбирался с компом у которого в MBR был локер :)

  • Александр 22.04.2013 в 10:44

    Вообщем ловил я такой же баннер и не раз ! Загружается он ТОЛЬКО ЧЕРЕЗ ОПЕРУ !
    Почему так ? мне самому интересно знать ! в тихаря загружается обычно на всяких варезниках. но он простейший. из безопасного режима удаляешь его и всё. он находится в папке юзерс. и никакие фаерволы не спасают кстати.

  • soarin 22.04.2013 в 11:41

    «Скорее всего, эксплоит использовал Java, которая предустановленна в Windows 7»
    Статья пропитана бредом. С какого она предустановлена?
    А java плагин в браузере отключать ясно дело надо.

Написать комментарий

XHTML: Вы можете использовать эти теги: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>