Trojan.WinLock.Win32
Trojan.Winlock.Win32 – велике сімейство троянських програм, що блокують роботу комп'ютера й вимагають гроші за поновлення його функціональності.
Методи розповсюдження
Дані шкідливі програми ррозповсюджується через файлообмінні Web-Сайти й соціальні мережі. Можуть бути замасковані під які-небудь корисні програми, зломщики програм, генератори серійних кодів і ключів, і т.п.
Активно ррозповсюджуються порно сайтами під виглядом програм необхідних для перегляду порно контенту.
Також, ррозповсюджуються поштою у вигляді листів із вкладеннями або ж завантажуються іншими шкідливими програмами.
Функціональні дії
Після того, як комп'ютер перестає нормально функціонувати, користувачу висувається вимога оплатити розблокування комп'ютера.
Як правило, оплату потрібно зробити через один з наступних сервісів:
- За допомогою SMS з мобільного телефону.
- За допомогою термінала оплати послуг, наприклад I-Box, Платіжка й т.п.
- Через систему електронних грошей - Web Money і т.п.
- Через банк за допомогою Western Union або подібної системи грошових переказів.
- За допомогою переказу грошей або номера картки поповнення на указаний мобільний номер.
Особливістю цих методів оплати є те, що вони дозволяють шантажисту зберігати анонімність і уникнути, таким чином, кримінальної відповідальності за вимагання грошей.
Для того щоб, користувач оплатив розблокування комп'ютера, активно використаються психологічні методи залякування – приміром, на екрані з'являється вимога оплатити активацію неліцензійної версії Windows, у деяких випадках, до цього повідомлення додаються погрози заарештувати користувача або ж накласти великий штраф за використання неліцензійного ПО.
Іншій найбільш популярний метод залякування – безперервне демонстрування порнографічного зображення на екрані комп'ютера з обіцянкою це припинити, якщо користувач сплатить розблокування.
Ще один метод залякування – обіцянка видалити всі дані користувача через деякий час, якщо він не заплатить гроші, іноді для підвищення ефективності користувачу демонструються годинник, який провадить зворотний відлік часу до невідновного видалення даних.
Оголошення з вимогою оплати може займати цілий екран і блокувати будь-які дії користувача, а може відображатися у окремому вікні, яке неможливо закрити і яке постійно нагадує про себе.
Ці троянські програми активно протидіють спробам видалення їх із системи.
Якщо раніше таку програму можно було легко видалити за допомогою “Диспетчера завдань”, то зараз упоратися із цими шкідливими програмами не так і легко.
От кілька методик, які використають ці троянські програми для протидії користувачу:
- Для маскування себе в системі приховують свій процес в “Диспетчерові завдань”.
- Закривають “Диспетчер завдань” відразу ж після його відкриття.
- Відключають перегляд прихованих файлів і папок.
- Не дозволяють завантажити комп'ютер у безпечному режимі.
- Блокують запуск або відразу ж закривають антивірусні програми, програми Firewall і програми моніторингу.
- Блокують доступ до сайтів антивірусних компаній, показуючи замість цього сторінки з порнографічним змістом.
- Створюють новий робочий стіл у системі й запускають на ньому свою копію - у цьому випадку, користувач не може зробити ні яких дій, крім введення коду.
- Змінюють Master Boot Record завантажувального диска й записують туди частину свого коду, таким чином, вірус запускається раніше операційної системи і єдина дія, яку може виконати користувач - це ввести код.
Як правило, оплата коду розблокування не призводить до розблокування комп'ютера, тому що дії шахрая спрямовані на одержання грошей, і йому однаково що буде далі з комп'ютером жертви. Деякі користувача роблять кілька оплат у надії одержати рятівний код і розблокувати свій комп'ютер, чим приносять додатковий прибуток шантажистові.
Деструктивні дії
Ці троянські програми повністю або частково блокують роботу комп'ютера, крім того вони можуть закриптувати або пошкодити дані користувача.
Для лікування подібних вірусів рекомендується використовувати Zillya! Livecd.
Він розроблений спеціально для випадків, коли операційна система користувача ушкоджена або заблокована шкідливим ПО, й не в змозі коректно працювати або ж взагалі не завантажується.
Завантажувальний диск Zillya! Livecd містить операційну систему й вбудований антивірус Zillya!. За допомогою цього диска можна вилікувати вірус, розблокувати комп'ютер або ж зробити резервну копію даних.
