Trojan.Winlock

Trojan.Winlock, или «Винлокер»
Полное название (Касперский)	Trojan-Ransom
Тип	Троянская программа
Год появления	2007
Используемое ПО	EXE, загрузочный
Описание Symantec
Описание Лаборатории Касперского

Окно Trojan.Winlock 19

Trojan.Winlock (Винлокер) — семейство вредоносных программ, блокирующих или затрудняющих работу с операционной системой, и требующих перечисление денег злоумышленникам за восстановление работоспособности компьютера, частный случай Ransomware (программ-вымогателей). Впервые появились в конце 2007 года. Широкое распространение вирусы-вымогатели получили зимой 2009—2010 годов, по некоторым данным оказались заражены миллионы компьютеров, преимущественно среди пользователей русскоязычного Интернета. Второй всплеск активности такого вредоносного ПО пришёлся на май 2010 года.

Ранее для перевода денег обычно использовались короткие премиум-номера, в настоящее время подобные программы также могут требовать перечисления денег на электронные кошельки (например, «Яндекс.Деньги»), либо баланс мобильного номера. Необходимость перевести деньги часто объясняется тем, что «Вы получили временный бесплатный доступ к сайту для взрослых, необходимо оплатить продолжение его использования», либо тем, что «на Вашем компьютере обнаружена нелицензионная копия Windows». Также возможен вариант «за просмотр и копирование и тиражирование видео с насилием над детьми и педофилии». Пути распространения Trojan.Winlock и подобных вирусов разнообразны, в значительной части случаев инфицирование происходит через уязвимости браузеров при просмотре заражённых сайтов, либо при использовании мошенниками специальных «связок», позволяющих заражать только необходимые компьютеры также через браузер.

Классификация различных вендоров

• Trojan.Winlock – по классификации компании Доктор Веб.
• Trojan-Ransom – по классификации компании Лаборатория Касперского.
• Trojan.LockScreen – по классификации компании ESET.

Предыстория

Первая программа-вымогатель появилась в декабре 1989 года. Пользователи получили по почте дискетки с программой, предоставляющей информацию о СПИДе. После установки система приводилась в неработоспособное состояние, и за её восстановление с пользователей требовали денег. Первый SMS-блокер был зарегистрирован 25 октября 2007. Вымогатель инсценировал сбой системы (синий экран смерти). Практически полностью блокировал управление системой.

Описание

Trojan.Winlock, имитирующий синий экран смерти

Trojan.Winlock, выдающий себя за онлайн-сканер Лаборатории Касперского

На данный период времени сотрудниками различных антивирусных компаний зафиксировано несколько тысяч различных видов винлокеров. Наиболее ранние типы требовали за разблокировку не более 10 рублей, а если пользователь оставлял включённым компьютер на некоторое время, то они самоуничтожались (к примеру Trojan.Winlock 19 сам удалялся без следа через 2 часа.)^[1] Однако позднее появились более опасные разновидности, которые не удалялись сами по себе и требовали за разблокировку уже от 300 до 1000 рублей.

Винлокеры ориентированы преимущественно на российских пользователей, позже появились и зарубежные версии.^[2] В них использованы методы социальной инженерии. Обычно необходимость выплаты денежной суммы объясняется использованием нелицензионного программного обеспечения или просмотром порнофильмов. Следует отметить, что в большинстве случаев заражение происходит именно с порносайтов. Достаточно часто причины необходимости отправки SMS или способы получения кода звучат абсурдно, например, «Ваш компьютер заблокирован за просмотр порнографии с несовершеннолетними и зоофилией. Для разблокировки компьютера необходимо пополнить баланс телефона в любом терминале оплаты. После оплаты код разблокировки должен появиться на чеке оплаты». Не редки орфографические ошибки. Более того, практически на всех баннерах написано предупреждение, о том, что попытка обмануть «систему оплаты» приведёт к нарушению работы компьютера или уничтожению данных. В некоторые из них даже встроен таймер обратного отсчёта, по истечении времени которого вирус обещает уничтожить все данные пользователя. Чаще всего, это простая угроза, убеждающая пользователя отдать злоумышленнику деньги. Однако, некоторые версии действительно снабжаются инструментами для уничтожения данных, но из-за низкого профессионализма авторов, особенностями установки или по другим причинам они чаще всего не срабатывают должным образом.

Заражение может произойти во время запуска программ, маскирующихся под инсталлятор какой-нибудь добросовестной программы или самораспаковывающиеся архивы. При этом в «лицензионном соглашении» (которое рядовой пользователь редко читает) оговаривается, что пользователь согласен установить на компьютер приложение «рекламного характера», которое он обязан просмотреть определённое количество раз, либо отказаться от просмотра, отправив SMS. Число требуемых просмотров обычно идёт на тысячи, поэтому пользователи предпочитают отправлять SMS злоумышленнику.

Вид «интерфейса» троянов очень красочен и разнообразен. Но в большинстве своём их объединяет либо схожесть со стандартными меню Windows, либо наличие порнографического материала (фото, гораздо реже анимации и видео, используя возможности Adobe Flash), а также окно для ввода кода разблокировки. Есть разновидности, очень похожие на синий экран смерти или стандартное окно приветствия Windows. Также не редки случаи, когда они маскируются под антивирусную программу (например Антивирус Касперского).

Trojan.Winlock условно можно разделить на 3 типа, в зависимости от того, насколько они затрудняют работу для пользователя:^[3]

• 1 тип — это баннеры или порноинформёры, появляющиеся только в окне браузера. Наиболее легко удаляемый тип. Обычно они выдают себя за дополнительные плагины или надстройки для браузера.
• 2 тип — это баннеры, которые остаются на рабочем столе после закрытия браузера и при этом закрывают большую его часть. Но у пользователей обычно остаётся возможность открывать другие программы, в том числе диспетчер задач и редактор реестра.
• 3 тип — это тип баннеров, который загружается после полной загрузки рабочего стола Windows. Они закрывают практически весь рабочий стол, блокируют запуск диспетчера задач, редактора реестра, а также загрузку в безопасном режиме. Некоторые разновидности полностью блокируют клавиатуру, предоставляя пользователю лишь цифровые клавиши из своего «интерфейса», и рабочую мышь для ввода кода.

Что делать в случае заражения Trojan.Winlock

• Ни в коем случае нельзя выполнять требования злоумышленников. Следует помнить, что стоимость SMS может доходить до нескольких десятков долларов независимо от указанной в «интерфейсе» вируса. Практически во всех случаях после отправки SMS обещанный код разблокировки не приходит.
• В случае предлагаемой оплаты по SMS можно позвонить в службу поддержки контент-аггрегатора, которому принадлежит номер. Часто они могут сообщить код разблокировки.
• При возможности воспользоваться онлайн-сервисами подбора кода разблокировки на сайтах производителей антивирусного ПО.
• Произвести полное сканирование компьютера антивирусной утилитой со свежими обновлениями антивирусной базы (например, «одноразовым» антивирусом Dr.Web CureIt или Kaspersky Virus Removal Tool, скачать его желательно со «здорового» компьютера, даже в случае успешной разблокировки системы подбором кода).
• Если вирус блокирует доступ к определённым ресурсам Интернет (обычно к популярным социальным сетям и сайтам с антивирусным ПО), необходимо удалить лишние записи (кроме строки «127.0.0.1 localhost») из файла C:\WINDOWS\System32\drivers\etc\hosts и очистить кэш DNS (командой ipconfig /flushdns от имени администратора), а также очистить cookies и кэш в браузере.
• В некоторых случаях помогает перестановка даты в BIOS на пару лет назад.
• При полной блокировке можно загрузиться в систему с помощью LiveCD и попытаться удалить трояна при помощи антивирусов.
• Открыть диспетчер задач (если это возможно). Посмотреть процессы на предмет подозрительных. Попробовать завершить процесс. Скорее всего, процесс перезапустится. Перезагрузиться в безопасном режиме и удалить программу вручную.
• Если троян блокирует обычный безопасный режим, то при нажатии клавиши F8 необходимо выбрать безопасный режим с поддержкой командной строки. На данный момент времени большинство винлокеров не способны его заблокировать. После загрузки надо запустить редактор реестра при помощи команды regedit и искать там подозрительные записи. В первую очередь необходимо проверить ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, в частности в параметре Shell должно быть написано explorer.exe, а в параметре Userinit - C:\WINDOWS\System32\userinit.exe, (обязательно с запятой). Если там всё в порядке, необходимо проверить этот же путь, но в ветке HKEY_CURRENT_USER. Также желательно проверить ветки, в которых прописаны автозагружаемые программы, например HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. В случае обнаружения подозрительных записей, их необходимо заменить на стандартные значения (в случае с автозагрузкой удалить). После перезагрузки и входа в систему трояна можно удалить вручную по уже известному пути. Этот способ хоть и эффективен, но подходит только для опытных пользователей.
• Кроме того, некоторые трояны заменяют собой один из файлов userinit.exe, winlogon.exe и explorer.exe в соответствующих каталогах. Рекомендуется восстановить их из дистрибутива или каталога C:\WINDOWS\System32\DLLCACHE.
• Троян может создавать раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe, где прописывает вызов своего исполняемого файла (чаще всего debug.exe), а для возобновления работы системы необходимо удалить данный раздел. ^[4]
• Одна из последних версий трояна не делает ничего из вышеперечисленного, а создает файл с именем по типу 0.5887702400506266.exe в корневой папке профиля пользователя и прописывает в реестре по адресу любой ветки, откуда может производится автозапуск (например, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options) раздел с непонятным именем. Если на компьютере есть второй профиль администратора, то его легко вычистить зайдя из под другого профиля, просто удалив файл и ветку реестра. Однако было замечено, что бесплатные и платные антивирусы не реагируют на файл. Также можно найти и удалить этот файл войдя в Windows через безопасный режим.

См. также

• Мобильное мошенничество
• Короткий номер
• Троянская программа
• Компьютерный вирус
• Вымогательство
• Ransomware

Примечания

1. ↑ Троян Winlock.19 заставляет отправлять СМС
2. ↑ Зарубежный Винлокер
3. ↑ Потерпевшим от SMS – вымогателей посвящается!
4. ↑ Семь способов удаления Trojan Winlock

Ссылки

• AntiWinLocker — Специальный LiveCD для удаления вируса-вымогателя
• Eset LiveCD — Загрузочный диск для удаления вредоносного ПО
• Dr.Web — Бесплатный разблокировщик
• Kaspersky Lab — Бесплатный разблокировщик
• ESET - Бесплатный разблокировщик
• Новая волна Trojan.Winlock пришлась на середину мая 2010
• Кибервымогательство
• Способы борьбы с программами-вымогателями класса Trojan-Ransom