Беларускі Winlock блакуе камп’ютары, нібыта за прагляд парнаграфіі. Для разблакавання ён патрабуе пераводу 100 тысяч рублёў на пэўны электронны кашалёк WebMoney.
Кампанія «ВірусБлакАда» паведаміла пра з’яўленне «чыста беларускага» Trojan. Winlock.
Trojan. Winlock — сямейства шкодных праграм, якія блакуюць ці абцяжарваюць працу камп’ютара і патрабуюць пералічэння грошай зламыснікам за аднаўленне яго працаздольнасці.Упершыню такія з’явіліся пры канцы 2007 года. Некаторыя вірусы заражалі дзясяткі тысяч камп’ютараў.
Беларускі траян блакуе Працоўны стол Windows і паведамляе збянтэжанаму карыстальніку:
«Ваш камп’ютар быў заблакаваны за прагляд, капіяванне і тыражаванне відэаматэрыялаў з элементамі педафіліі і гвалту над дзецьмі.
Для разблакавання камп’ютара Вам неабходна заплаціць штраф памерам 100 000 беларускіх рублёў праз тэрмінал для аплаты сотавай сувязі, або ў любым салоне сотавай сувязі, альбо на карысць нашага партнёра WebMoney на рахунак ВXXXXXXXXXXXX. У выпадку аплаты сумы роўнай штрафу альбо большай за яе на фіксаваным чэку тэрмінала будзе надрукаваны код разблакоўкі. Яго трэба ўвесці ў поле ў ніжняй частцы акна і націснуць кнопку „Разблакаваць“. Калі цягам 12 гадзін штраф не будзе аплочаны, усе звесткі на Вашым персанальным камп’ютары будуць незваротна выдаленыя, а справа будзе перададзена ў суд для разгляду па артыкуле 242 ч.1 КК Беларусі. Артыкул 242.1 Выраб і абарот матэрыялаў або прадметаў з парнаграфічнымі малюнкамі непаўналетніх.
Караецца пазбаўленнем волі на тэрмін ад двух да чатырох гадоў альбо без такога».
Кампанія, якая спецыялізуецца на антывірусных праграмах, раіць
у выпадку заражэння Trojan. Winlock ні ў якім разе не выконваць патрабаванні зламыснікаў. Практычна ва ўсіх выпадках пасля адпраўкі SMS абяцаны код разблакавання не прыходзіць.
Кампанія дае шэраг тэхнічных парадаў, як дзейнічаць у выпадку атакі траяна.
* * *
Беларускі Winlock уяўляе сабой выкананы файл, напісаны на мове Borland Delphi, спакаваны крыптаром на мове праграмавання Visual Basic. Трапляючы ў сістэму, траян запісвае спасылку на самога сябе ў галінцы сістэмнага рэестра, якая адказвае за аўтазагрузку дадаткаў. Пасля гэтага траянская праграма завяршае працэс explorer.exe (Працоўны стол) і taskmgr.exe (Дыспетчар задач). У выніку блакуецца нармальная праца Windows як у звычайным, так і ў бяспечным рэжыме. Код разблакавання траянца — 079156005.
