Дата публікації: 16 .0 4.201 3
Піддослідний: троян-здирник BAT / LockWS (Commtouch); Trojan.Siggen5.12118 / Trojan.Winlock.8310 (DrWeb); BAT / Locker.B (ESET-NOD32);
Аналіз Virus Total: exe cmd (На дату публікації).
Симптоми: комп'ютер блокується (з'являється вікно привітання Windows). Увійти до свого облікового запису Windows виявляється не можливо - запитується пароль, навіть якщо користувач його не встановлював. Після перезавантаження комп'ютера з'являється вікно з текстом: "Комп'ютер заблокований !!! У зв'язку з несанкціонованим доступом до ресурсів містить елементи порнографії і підофіліі. Для розблокування комп'ютера відправте SMS на номер 5565 з текстом Unlock. У відповідь на SMS, прийде повідомлення з паролем для розблокування комп'ютера! ". Після натискання на кнопку "Ok" знову з'являється вікно привітання Windows із запитом невідомого користувачеві пароля.
Даний зловредів представляє собою архів 7zip (exe файл), після запуску якого відбувається вилучення і запуск безпосередньо самого зловреда - він представляє собою командний файл config.cmd, який:
1) відключає програму AntiWinLocker (питання навіщо? Взловред нічого не пише в автозапуск);
2) створює вікно з текстом, яке з'являється на початку завантаження Windows;
3) для поточного облікового запису ставить пароль "Julia_HuliYa", потім ставить такий же пароль на обліковий запис "Адміністратор";
4) викликає Вікно вітання Windows (аналог натискання клавіш Win + L).
При всій своїй банальності даний троян може завдати чимало клопоту користувачу. Справа в тому, що Безпечний режим Windows запустити не вийде, тому що знову потрібен пароль. Різні антивірусні засоби, які допомагають виявити підозрілі записи в автозапуску не допоможуть, тому що зловредів нічого не прописує в автозапуск.
лікування:
Якщо відомий пароль (в даній версії вимагача: "Julia_HuliYa"), то ввести цей пароль, потім зайти в параметри Windows (облікові записи користувачів) і змінити пароль на потрібний або видалити його.
Якщо пароль невідомий, то потрібно скинути пароль на потрібний обліковий запис, наприклад, за допомогою утиліти UVS запущеної з LiveCD. Подробиці можна почитати на сайті www.koscl.narod.ru Перед скиданням пароля рекомендую подивитися важливі файли на жорсткому диску - чи все з ними нормально, відкриваються вони.
Які небезпеки з цього вінлоку: 1) він використовує стандартні засоби системи для своїх дій, тому мало яка проактивний захист антивіруса допоможе; 2) сигнатурної детектування шкідливих командних файлів антивірусами зараз вкрай неефективне, тому автори зловредів можуть щохвилини генерувати сотні тіл зловреда з новими невизначених сигнатурами.
назад | наверх
Питання навіщо?