Теги → trojan.winlock
Быстрый переход

Троянец-блокировщик делает скриншот с веб-камеры и демонстрирует его пользователю

Специалисты компании «Доктор Веб» провели анализ одного из плагинов, устанавливаемых на инфицированный компьютер троянцем Trojan.Gapz.1, заражающим Windows по-новому. Результаты исследования показывают, что за плагином скрывается троянец-блокировщик, способный перехватывать изображение с подключенной к зараженному ПК веб-камеры.

Данный блокировщик, добавленный в вирусные базы под именем Trojan.Winlock.7384, не хранит в себе графических изображений и текстов: вместо этого троянец использует для формирования содержимого блокирующего Windows окна файл в формате XML, получаемый с удаленного управляющего сервера. Запустившись на зараженной машине, Trojan.Winlock.7384 расшифровывает собственный конфигурационный файл, в котором описано, с какими странами и платежными системами работает этот троянец.

В основном это ваучерные системы Ukash, Moneypack и Paysafecard. Затем на основании аппаратной конфигурации ПК вредоносная программа генерирует уникальный идентификационный номер и отправляет его на удаленный командный сервер вместе с другой информацией об инфицированном компьютере. В ответ Trojan.Winlock.7384 получает WHOIS-информацию об IP-адресе зараженного ПК, в которой среди прочего обозначено местоположение жертвы. Получив указанные сведения, троянец сверяет эти данные с хранящимся в своем конфигурационном файле списком стран и блокирует компьютер только в том случае, если инфицированная машина располагается в Канаде, Испании, Германии, Франции, Италии, Португалии, Австрии, Швейцарии, Великобритании, Австралии или США. Выполнив такую проверку, Trojan.Winlock.7384 отправляет новый запрос и получает в ответ подтверждение регистрации бота на управляющем сервере. Наконец, в качестве ответа на последний запрос с командного центра загружается несколько XML-файлов, на основе которых формируется изображение и текст блокирующего окна на соответствующем языке.

Примечательной особенностью данной версии винлока является то, что Trojan.Winlock.7384 способен перехватывать изображение с подключенной к зараженному компьютеру веб-камеры и демонстрировать ее в блокирующем систему окне с целью запугивания пользователя. В тексте сообщения, написанного якобы от имени государственных правоохранительных структур, упоминается о том, что все действия жертвы на данном компьютере записываются, а ее портрет, полученный с помощью веб-камеры, сохраняется для последующей идентификации и получения дополнительной персональной информации.


Для разблокировки компьютера троянец требует ввести код ваучера платежной системы — этот код обычно размещается на чеке, выдаваемом платежным терминалом при внесении какой-либо суммы. Введенный жертвой код передается на принадлежащий злоумышленникам управляющий сервер и проверяется на подлинность. В случае подтверждения факта оплаты управляющий центр отправляет троянцу команду на разблокировку компьютера. Сумма, которую требуют заплатить за эту услугу злоумышленники, составляет 100 евро или 150 долларов США.

Изучение угроз, поступающих в антивирусную лабораторию компании «Доктор Веб» в последнее время, показывает, что злоумышленники понемногу отказываются от создания «традиционных» винлоков с использованием стандартных «конструкторов», прибегая к разработке все более сложных троянцев-блокировщиков с разнообразными функциями.

Материалы по теме:

Источник:

Trojan.Winlock нацелился на зарубежных пользователей

Специалисты компании «Доктор Веб» сообщили о распространении нового троянца-блокировщика из нашумевшего семейства Trojan.Winlock – Trojan.Winlock.7372. От других винлоков этот троянец отличается тем, что не содержит в себе каких-либо текстов или графических изображений – он загружает их на инфицированный компьютер по сети. В качестве основной цели Trojan.Winlock.7372 избрал зарубежных пользователей.

Первые троянцы-винлоки, ориентированные на зарубежных пользователей, получили распространение осенью 2011 года, а до этого данная схема криминального заработка была успешно обкатана злоумышленниками в России. Эта вредоносная программа распространяется с использованием семейства троянцев, известных как BackDoor.Umbra, также рассчитана на распространение среди жителей зарубежья (хотя имеются основания предполагать, что разработали ее наши соотечественники). Исходя из внутреннего строения, Trojan.Winlock.7372 ничем не напоминает других представителей троянцев-вымогателей. Прежде всего, потому, что не содержит в себе каких-либо изображений, текстовых ресурсов или иных компонентов, которые обычно демонстрируются подобными вредоносными приложениями на экране компьютера при блокировке Windows. Все необходимые элементы Trojan.Winlock.7372 загружает с удаленного сервера, а препятствующий работе системы экран представляет собой обычную веб-страницу.


Запустившись на инфицируемом компьютере, Trojan.Winlock.7372 прописывает самого себя в ветвь системного реестра, отвечающую за автоматический запуск программ, после чего запускает бесконечный цикл поиска и остановки процессов целого ряда приложений и системных утилит. Среди них — Диспетчер задач, Блокнот, Редактор реестра, Командная строка, Настройка системы, браузеры Microsoft Internet Explorer, Google Chrome, Firefox, Opera, приложения ProcessHacker, Process Monitor и некоторые другие. С применением редко используемой методики троянец отключает запущенный на зараженном компьютере брандмауэр. Затем Trojan.Winlock.7372 создает невидимое полноэкранное окно, в которое загружает с принадлежащего злоумышленникам сайта веб-страницу с требованием оплатить разблокировку операционной системы.

Злоумышленники требуют у жертвы плату в размере 200 долларов, при этом подтверждающий оплату код передается на сервер вирусописателей по сети. В случае обращения к управляющему серверу в окне браузера демонстрируется предложение ввести логин и пароль для авторизации в системе управления сетью данных троянцев, с помощью которой злоумышленники могут следить за распространением Trojan.Winlock.7372 и менять его настройки.

Материалы по теме:

Источник:

Trojan.Winlock угрожает арабским пользователям шариатским судом

Аналитики антивирусной лаборатории компании «Доктор Веб» зафиксировали распространение новой модификации Trojan.Winlock, угрожающей жителям арабских стран. Троянцы этого семейства приобрели широкую известность в России в 2010 году. Позднее появились их модификации для зарубежных пользователей. Одна из модификаций Trojan.Winlock.5416 имеет весьма любопытное визуальное оформление.


 


Эта версия блокировщика выводит на экран пользователя текст на арабском языке, в котором говорится о том, что данный компьютер заблокирован в связи с просмотром порнографических сайтов и сцен насилия над детьми, что является нарушением законодательства Королевства Саудовская Аравия. Под угрозой шариатского суда пользователю предлагается заплатить 300 долларов путем покупки карты предоплаты Ucash, код которой следует ввести в окне программы-блокировщика. Данный код направляется на сайт злоумышленников (территориально расположенный в Латвии). Больше никаких деструктивных действий данный троянец не выполняет.

Специалисты компании «Доктор Веб» отмечают, что это — первый известный им образец троянца-блокировщика на арабском языке. Процедура удаления Trojan.Winlock.5416 вполне стандартна для вредоносных программ такого типа.

Материалы по теме:

Источник:

Новый Trojan.Winlock грозит штрафом от имени полиции

Компания "Доктор Веб" сообщила о распространении очередной версии троянца известного семейства Trojan.Winlock. Особенность данной угрозы заключается в том, что Trojan.Winlock.3260 ориентирован, в первую очередь, на зарубежных пользователей и содержит многоязычный текст блокирующих систему сообщений, оформленных в виде послания от управления полиции страны, в которой проживает жертва. Во всех случаях пользователя обвиняют в посещении незаконных веб-сайтов порнографического характера и предлагают оплатить «штраф» с использованием одной из распространенных в данной стране платежных систем.  



Количество известных вирусной лаборатории «Доктор Веб» образцов троянских программ семейства Trojan.Winlock уже давно перевалило за одиннадцать тысяч, однако Trojan.Winlock.3260 является одним из немногих «винлоков», изначально нацеленных на западных пользователей. В период с апреля по август 2011 года специалистами «Доктор Веб» было выявлено порядка 120 разновидностей данного троянца, различающихся методом шифрования, демонстрируемыми на экране сообщениями и иными деталями.

Большинство образцов данных программ-вымогателей написано на языке С++ (за исключением нескольких семплов, созданных с применением Visual Basic), они используют схожие имена переменных, функции API и тип шифрования, что позволяет сделать вывод о принадлежности этих образцов одному автору. Само сообщение выводится на экран из HTML-документа, встроенного в ресурсы троянца. После своего запуска Trojan.Winlock.3260 отслеживает и блокирует нажатие сочетаний клавиш, вследствие чего становится невозможным использование таких комбинаций, как Ctrl+Alt+Del или Ctrl+F4.

Материалы по теме:

Источник:

Trojan.WinLock напал на украинцев

Компания "Доктор Веб" предупредила пользователей об участившихся случаях заражения компьютеров новой модификацией троянской программы Trojan.WinLock, рассчитанной, судя по содержимому блокирующего окна, на пользователей украинского сегмента сети Интернет.

Вредоносное ПО проникает в систему с одного из украинских сайтов. Trojan.WinLock, действуя по старой схеме, известной многим его жертвам в России, требует отправить SMS с текстом «win1732@ya.ru 1732! Activatе» (в другом случае – «win1732@yandex.ua 1732! Activate») на короткий номер 1010 оператора МТС, 010 оператора «Билайн» или 555 для абонентов «Киевстар», после чего на телефон жертвы, как обещают злоумышленники, должно прийти сообщение с реквизитами счета в системе «Единый кошелек». Для получения кода разблокировки пользователю предлагается пополнить этот счет на сумму 50 гривен либо 80 гривен, в противном случае троянец угрожает уничтожить хранящуюся на компьютере информацию.

На текущий момент специалистам компании «Доктор Веб» известно о двух модификациях данного троянца, различающихся оформлением блокирующего окна. Пользователям, ставшим жертвой злоумышленников, поможет предложенный ниже код разблокировки. Если нарушающее работу операционной системы окно выглядит так, как на скриншоте ниже, введите код разблокировки: 2641881427.

 

 

Для пользователей, компьютеры которых подверглись атаке следующей модификации троянца, подойдет код разблокировки: 68548211773.

 

Пользователи, пострадавшие от данной угрозы, могут также воспользоваться бесплатными продуктами — Dr.Web CureIt! и Dr.Web LiveCD. Кроме того, коды для разблокировки новых модификаций Trojan.WinLock оперативно публикуются на специальном сайте.

Материалы по теме:

Источник:

"Доктор Веб" отмечает рост активности троянов-вымогателей

Компания "Доктор Веб" подвела итоги анализа активности вредоносных приложений в феврале нынешнего года.

По признанию специалистов по информационной безопасности, интенсивность распространения блокировщиков Windows вновь возросла, и одним из наиболее значимых событий прошедшего месяца стало появление на вирусной сцене новых модификаций троянов, шантажирующих своих жертв. Кроме того, зловреды стали использовать новые приемы, затрудняющие анализ, а также достаточно сложные крипторы - программы для шифрования и "запутывания" готовых исполняемых файлов.

Другая разновидность цифровых вымогателей, специализирующихся на шифровании пользовательских документов, также напомнила о себе в феврале. Особо отличился в данном плане Trojan.Encoder, создатели которого несколько раз меняли алгоритм шифрования, вынуждая тем самым разработчиков антивирусных решений выпускать обновленный инструментарий для раскодировки данных, зашифрованных троянцами упомянутого семейства.

 

 

Простота реализации и эффективность этой схемы вымогательства позволяют с уверенностью утверждать, что распространение блокировщиков в обозримом будущем не прекратится. По прогнозам экспертов "Доктор Веб", вероятно появление все более изощренных вариантов данного вида мошенничества.

Представители компании призывают пользователей проявлять бдительность, ни в коем случае не вестись на уловки мошенников и не отправлять SMS в обмен на коды разблокировки. Для восстановления доступа к компьютеру и данным можно воспользоваться бесплатными сервисами drweb.com/unlocker либо sms.kaspersky.ru.

С полной версией опубликованного "Доктор Веб" отчета можно ознакомиться здесь.

Материалы по теме:

Источник:

"Мегафон" предлагает абонентам помощь в разблокировке от Trojan.Winlock

Абоненты оператора «МегаФон» теперь смогут быстрее получать помощь в разблокировке компьютеров, зараженных трояном Trojan.Winlock. Для получения кода разблокировки достаточно отправить на номер 5665 бесплатное SMS-сообщение в следующем формате: «ХХХХ_YYYYYYYY», где ХХХХ — номер, на который злоумышленники просят отправить SMS, YYYYYY — текст SMS.

В ответ абоненты совершенно бесплатно получат код активации, снимающий блокировку Windows. При наличии телефона с доступом в Интернет можно также воспользоваться мобильным сайтом «Доктор Веб» с бесплатным разблокировщиком от Trojan.Winlock.

 

 

Напомним, что Trojan.Winlock — это семейство вредоносных программ-вымогателей, блокирующих или затрудняющих работу с ОС Windows и требующих перечисление денег злоумышленникам за восстановление работоспособности компьютера путем отправки SMS на номер с premium-тарификацией.

Пути распространения Trojan.Winlock и подобных вирусов разнообразны, но в большинстве случаев заражение происходит через уязвимости браузеров при просмотре зараженных сайтов. Trojan.Winlock отключает диспетчер задач, не позволяет загрузить компьютер не только в безопасном режиме, но и загрузить другую систему с другого жесткого диска данного компьютера.

Материалы по теме:

Источник:

В LiveJournal зафиксирована масштабная эпидемия трояна-вымогателя Trojan.Winlock

Вирусные аналитики компании "Доктор Веб" предупреждают о новом способе распространения вредоносной программы Trojan.Winlock, блокирующей работу Windows и шантажирующей своих жертв. На сей раз под прицел злоумышленников попала блог-платформа LiveJournal.com, которую киберпреступники стали активно использовать в качестве одного из каналов тиражирования трояна-вымогателя.

В частности, в конце января 2011 года российские пользователи упомянутого онлайнового сервиса начали получать комментарии (с темой "Немного насущного оффтопа" или "Немного о насущном в оффтоп"), содержащие изображение со ссылкой на сайт фотохостинга, перенаправляющего посетителей на интернет-ресурс с порнографическим контентом. Именно там ни о чем не подозревающим пользователям предлагалось скачать исполняемый файл, за которым скрывался печально известный Trojan.Winlock.

 

 

Как сообщается на сайте компании "Доктор Веб", на сегодняшний день порядка половины всех обращений в службу технической поддержки связано с проблемой заражения Trojan.Winlock.

Эксперты по информационной безопасности призывают пользователей проявлять бдительность, ни в коем случае не вестись на уловки мошенников и не отправлять SMS в обмен на коды разблокировки. Для восстановления доступа к компьютеру можно воспользоваться бесплатными сервисами drweb.com/unlocker либо sms.kaspersky.ru.

Материалы по теме:

Источник:

"Доктор Веб" поможет пострадавшим от троянов-вымогателей

Компания "Доктор Веб" сообщила о начале предоставления бесплатной технической поддержки для всех пострадавших от действий вредоносных программ семейства Trojan.Winlock. Теперь пользователи могут, проследовав на специальную страницу, оформить запрос о разблокировке и получить квалифицированную помощь непосредственно от экспертов по информационной безопасности.

В компании отмечают, что новый сервис призван помочь как можно большему числу жертв вернуть контроль над заблокированной системой и не потерять деньги, вымогаемые мошенниками. Обратиться за помощью к специалистам могут все без исключения владельцы ПК, вне зависимости от того, являются они пользователями антивирусных продуктов Dr.Web или нет.

 

Trojan.Winlock

 

Разработчики призывают тех, кто располагает кодами, неизвестными "Доктор Веб", присылать их через форму сервиса - с их помощью борьба с эпидемией и киберпреступниками станет еще более эффективной. "Пока проблема не решена, мы не можем оставаться в стороне. Бесплатная техподдержка по разблокировке Windows должна стать еще одним инструментом для скорейшего ее решения", - сообщается в пресс-релизе компании.

Материалы по теме:

Источник:

Новая волна Trojan.Winlock: троян-вымогатель снова активен

Компания «Доктор Веб» обращает внимание пользователей на резкий рост распространения новых модификаций уже известных троянцев семейства Trojan.Winlock, блокирующих Windows и требующих отправить злоумышленникам платное SMS-сообщение для получения кода разблокировки. Новая волна Trojan.Winlock началась 18 мая – в этот день число детектов троянца сервером статистики «Доктор Веб» выросло в 110 раз, по сравнению со среднесуточными показателями месячной давности.

 

 

Среди новых модификаций Trojan.Winlock, которые и явились катализатором этого роста, выделяется Trojan.Winlock.1678, а также те виды, которые уже не требуют отправки платных SMS, а вынуждают своих жертв для перевода средств пользоваться различными платежными системами. Распространяются они самыми разными способами - используют уязвимости в Windows и браузерах, вредоносные сайты, эксплойты iframe, а также ботнеты.

Первые модификации Trojan.Winlock появились около 3 лет назад и не представляли на тот момент особой опасности. С ноября 2009 года число новых троянцев этого семейства начало расти. За снятие сообщения о блокировке Windows, которое выскакивает поверх всех окон и делает невозможной нормальную работу на компьютере, вирусописатели стали требовать все больше денег – от 300 до 600 рублей. При этом новые Trojan.Winlock уже не удалялись автоматически из системы и препятствовали работе множества других программ на зараженном компьютере. Пик распространения Trojan.Winlock пришелся на январь 2010 года. Тогда число пострадавших в России от блокировщиков Windows составило несколько миллионов пользователей.

Совсем недавно могло показаться, что распространению троянцев, блокирующих Windows, скоро придет конец. В марте и апреле 2010 г. наблюдалось снижение уровня распространения Trojan.Winlock, который за этот период упал примерно вдвое.

Материалы по теме:

Источник:

Дозвонщик для смартфонов, вирус-копирайтер и другие тенденции в отчете компании "Доктор веб"

undefined

Обзор вирусной активности в январе по версии компании «Доктор Веб»

Компания «Доктор Веб» представила отчет о наиболее показательных событиях в мире кибер-преступности в январе этого года. Основным событием месяца стало широкое распространение многочисленных модификаций Trojan.Winlock. Напомним, что данная вредоносная программа после заражения системы отображает поверх всех окон, открытых в Windows, своё окно, которое невозможно закрыть до ввода кода, и препятствует нормальной работе некоторых программ, установленных на компьютере. Злоумышленники предлагают получить данный код с помощью отправки платного SMS-сообщения. Стоимость таких сообщений в январе колебалась от 300 до 600 рублей за разблокировку одного компьютера. Сервер статистики компании «Доктор Веб» за январь зафиксировал более 850000 определений Trojan.Winlock на системах, защищённых антивирусными продуктами Dr.Web (учитываются пользователи Dr.Web Enterprise Suite и услуги «Антивирус Dr.Web»). Эта цифра в 2,15 раза превышает аналогичный показатель декабря 2009 года и в 23,4 раза превышает данные ноября 2009 года. Таким образом, речь идет о широкомасштабной эпидемии Trojan.Winlock в России и Украине. В прошедшем месяце несколько миллионов пользователей заразились этой вредоносной программой.
drweb-logo
Интернет-сообщество в январе не на шутку обеспокоилось проблемой блокировщиков Windows. Результаты широкой огласки проблемы не заставили себя долго ждать. Провайдеры коротких номеров бесплатно предоставляют коды разблокировки пользователям заражённых систем. Сотовые операторы вводят сервисы, позволяющие их клиентам определить точную стоимость SMS‑сообщения перед его отправкой. Антивирусные компании также предоставляют инструменты для противодействия Trojan.Winlock. В январе среди мошенников начала набирать популярность новая схема оплаты услуг со счетов мобильных телефонов. Схема заключается в том, что на сайте, предлагающем услугу, пользователь вводит номер своего мобильного телефона, а в обратном SMS-сообщении получает ссылку, по которой услуга активируется. В дальнейшем деньги за пользование услугой списываются со счёта мобильного телефона автоматически. Вредоносность такой схемы заключается в том, что любой человек может ввести номер телефона, не принадлежащего ему, а сообщения со ссылками активации услуги носят, на первый взгляд, безобидный характер. Например, в таких сообщениях может говориться о том, что пользователю прислали фотографию или ссылку на видеоролик. Также в последние недели начала встречаться схема передачи злоумышленникам денег за якобы услуги с помощью звонка на платный телефон длительностью не менее определённого времени. В январе злоумышленники использовали новые способы передачи пользователям вредоносных программ. В частности, специалистами «Доктор Веб» были зафиксированы спам-рассылки с вложенными torrent-файлами, с помощью которых пользователю предлагалось загрузить с торрент-трекера, не требующего регистрации, якобы электронные открытки, которые на самом деле являлись вредоносными программами. Почтовые серверы пропускают такие письма, так как сам по себе torrent-файл не содержит вредоносного кода. Материалы по теме: Источник:

Новая тестовая версия Dr.Web CureIt! с инструментами для борьбы с Trojan.Winlock

Компания «Доктор Веб» сообщила о серьезном обновлении утилиты Dr.Web CureIt!, предназначенной для антивирусной проверки и лечения компьютеров, в том числе, с установленным антивирусом другого производителя. В обновленной версии реализованы средства для эффективной борьбы с троянцами-вымогателями семейства Trojan.Winlock.
drwebcure
Новый стартер, включенный в утилиту, активизирует самозащиту всех файлов и процессов Dr.Web CureIt! до начала сканирования. Стартер обеспечивает запуск утилиты на альтернативном рабочем столе, что позволяет избежать блокировки ее работы в случае заражения системы вредоносными программами семейства Trojan.Winlock. Обновленная бета-версия Dr.Web CureIt! предназначена для работы на компьютерах под управлением операционных систем Windows 2000 и выше (32- и 64-битные версии). Скачать бета-версию утилиты можно отсюда. Материалы по теме:

Мобильный разблокировщик Trojan.Winlock от компании "Доктор Веб"

Компания «Доктор Веб» продолжает борьбу с троянцем Trojan.Winlock. Она запустила мобильную версию сервиса разблокировки Windows. Теперь пользователи, которые в результате действий Trojan.Winlock лишены возможности зайти на сайт компании со своего компьютера, могут воспользоваться бесплатным разблокировщиком через свой сотовый телефон или коммуникатор.
Winlock
Мобильная версия быстро загружается и проста в использовании: необходимо ввести указанный злоумышленниками номер, после чего на экране мобильного устройства появятся варианты кода активации Windows. Материалы по теме:

Эпидемия Trojan.Winlock в России набирает обороты

Компания «Доктор Веб» предупреждает о том, что эпидемия троянцев семейства Trojan.Winlock набирает обороты. В январе 2010 года количество россиян, пострадавших от вредоносных программ, требующих за разблокировку Windows отправить платное SMS-сообщение, составило несколько миллионов. Предположительные потери составляют сотни миллионов рублей. Первые модификации Trojan.Winlock появились около 3-х лет назад. На тот момент они не представляли серьезной угрозы: автоматически удалялись с компьютера через несколько часов после установки, не запускались в Безопасном режиме Windows, а стоимость SMS-cообщений, которые требовали отправить авторы троянца, была не столь высокой, как сейчас (в среднем около 10 рублей).
drweb
С ноября 2009 года эта схема отъема денег пользуется все большим успехом у злоумышленников – новые модификации Trojan.Winlock становятся все более опасными. За снятие сообщения о блокировке Windows, которое выскакивает поверх всех окон и делает невозможным нормальную работу на компьютере, вирусописатели требуют гораздо больше денег. Троянцы уже не удаляются автоматически из системы в прошествии некоторого времени, но приобретают дополнительные возможности. В частности, они препятствуют запуску некоторых программ в зараженной системе (файловых менеджеров, антируткитов, утилит сбора информации, которая может помочь в лечении системы). Вредоносные программы семейства Trojan.Winlock распространяются через уязвимости в Windows (в частности, Internet Explorer), вредоносные сайты (скачиваемые кодеки), эксплойты iframe, а также ботнеты (авторы ботнета продают установку какой-либо вредоносной программы на зараженном компьютере). Только за январь число пострадавших в России от блокировщиков Windows составило несколько миллионов пользователей. С учетом того, что средняя стоимость SMS-сообщения – 300-600 рублей, предположительные потери россиян от этого вида вредоносного ПО только в первом месяце 2010 года составили сотни миллионов рублей. В связи с тем, что с каждым днем появляются новые модификации Trojan.Winlock, незащищенными остаются даже те пользователи, которые применяют постоянно обновляемые антивирусные решения различных производителей. Для помощи пострадавшим компания «Доктор Веб» в специальном разделе своего официального сайта собрала всю актуальную информацию об этих троянцах. В частности, форму разблокировки, которая помогает бесплатно найти необходимый код. Материалы по теме:
window-new
Soft
Hard
Тренды 🔥