Миллионы российских пользователей заразились "трояном"   В России набирает обороты эпидемия компьютерных вирусов семейства Trojan.Winlock. "В январе 2010 года количество россиян, пострадавших от вредоносных программ, требующих за разблокировку Windows отправить платное SMS-сообщение, составило несколько миллионов", - сообщает российский разработчик средств информационной безопасности компания "Доктор Веб". Первые модификации Trojan.Winlock появились около 3-х лет назад. На тот момент они не представляли серьезной угрозы. В частности, вирусы автоматически удалялись с компьютера через несколько часов после установки, не запускались в безопасном режиме Windows, а стоимость SMS-cообщений, которые требовали отправить авторы "троянца", была не столь высокой, как сейчас (в среднем около 10 рублей в сравнении с 300-600 рублями). С ноября 2009 года эта схема отъема денег пользуется все большим успехом у злоумышленников – новые модификации Trojan.Winlock становятся все более опасными. За снятие сообщения о блокировке Windows, которое выскакивает поверх всех окон и делает невозможным нормальную работу на компьютере, вирусописатели требуют гораздо больше денег. "Троянцы" уже не удаляются автоматически из системы через некоторое время, но приобретают дополнительный функционал. В частности, они препятствуют запуску некоторых программ в зараженной системе (файловых менеджеров, антируткитов, утилит для сбора информации, которая может помочь в лечении системы). Вредоносные программы семейства Trojan.Winlock распространяются через "бреши" в Windows (в частности Internet Explorer), вредоносные сайты (скачиваемые кодеки), эксплойты iframe, а также ботнеты (авторы ботнета продают установку какой-либо вредоносной программы на зараженном компьютере). Только за январь число пострадавших в России от блокировщиков Windows составило несколько миллионов пользователей. С учетом того, что средняя стоимость SMS-сообщения – 300-600 рублей, предположительные потери россиян от этого вида вредоносного ПО только в первом месяце 2010 года составили сотни миллионов рублей. В связи с тем, что с каждым днем появляются новые модификации Trojan.Winlock, незащищенными остаются даже те пользователи, которые применяют постоянно обновляемые антивирусные решения различных производителей. Специалисты "Доктор Веб" считают необходимым привлечь внимание официальных властей к этой проблеме. Их помощь в обнаружении людей, регистрирующих номера, на которые злоумышленники требуют отправлять платные SMS-сообщения, могла бы уменьшить число потенциальных жертв. Кроме того, компания призывает операторов сотовой связи блокировать эти номера по первым же жалобам абонентов. Добавим, что на сайте разработчика размещена форма для разблокировки, которая помогает бесплатно найти необходимый код.

 

Мой опыт борьбы с программой-вредилкой или как сберечь 500 рублей.
 

Вчера я имела очень неприятный инцидент на своем компьютере, устранение которого отняло у меня 2 часа. Но могло быть и хуже, как у одного моего знакомого, которому в итоге пришлось заплатить мошенникам 500 рублей, чтобы вернуть компьютер к нормальной работе. Поскольку в сети такое имеет место быть, и Вы тоже можете оказаться на моем месте или на месте моего знакомого, я решила поделиться своим опытом с Вами, чтобы Вы в такой ситуации знали, что делать, чтобы быстро устранить это.

Итак, в поисках информации я зашла на сайт, с виду приличный, который предлагал различный софт (программы) для компьютера. Одновременно с этим сайтом открылось второе окно броузера с сайтом, предлагающим порно картинки и видео-ролики. К сожалению, иногда сайты, вернее их хозяева, в погоне за прибылью не гнушаются ни чем.

Так вот, поскольку на этом втором порно сайте были видео-ролики, тут же выскочило вроде бы системное сообщение о необходимости обновить мой Флеш-плеер для просмотра видео на этом сайте. Я кликнула на кнопку закрытия этого окна (стандартно крестик в правом верхнем углу окошка). Но под этой кнопкой оказалось совсем не закрытие окна, а команда на запуск некоторой программы.

Я увидела как мелькнуло системное окно выполнения какой-то команды. И компьютер стал сильно тормозить. Вирус? Но Касперский молчит..... Я решила перезагрузить компьютер. Каково же было мое удивление, когда сразу после перезагрузки в пол экрана повис порно-баннер. Причем он располагался поверх всех окон и не возможно было работать, потому что любые открываемые окна других программы оказывались ПОД ним. Кнопки закрытия этого баннера, как Вы понимаете не было. А надпись на баннере гласила, что я установила этот рекламный баннер сроком на 30 дней и если я желаю отменить его, то мне необходимо отправить смс на номер .....с текстом......

От такой наглости я просто обалдела. Попробовала запустить диспетчер задач, чтобы вырубить этот баннер оттуда. Но не тут то было. Диспетчер задач запускался и благополучно сворачивался в трей. То есть создатели этой программы-вредилки сделали все, чтобы неопытный пользователь, потыркавшись, в итоге отправил-таки СМС, чтобы нормально работать.

Я решила, что со мною такой фокус не пройдет. Перезагрузилась в безопасном режиме под учетной записью администратора. Проверила компьютер на вирусы 2-мя антивирусами. НИЧЕГО! Все чисто. Попробовала поискать в журнале Виндоуз информацию о последних выполненных командах. Но тут я не большой мастер, поэтому с этим тоже не получилось.

Стала рассуждать логически. Если баннер запускается вместе со стартом системы, значит команда на его запуск должна сидеть в папке автозапуска (автозагрузки). У меня есть чудесная программка CCleaner, которая чистит компьютер от временных файлов и прочего мусора. В ней есть также функция редактирования команд в Автозагрузке. И там я увидела новую команду на запуск какого-то неизвестного мне файла plagin.exe из папки Programm Files. Дата создания файла была как раз текущая. То есть этот файл появился тут сегодня. Файл был абсолютно нормальный, не вирусный. Именно поэтому антивирус на него не среагировал. Этот файл и запускал тот самый банер. А поскольку команда на его запуск был добавлена в папку автозагрузки, он стартовал вместе с виндоуз. Хитро придумано! Программа-вредилка.

Я удалила этот файл из автозапуска и с компьютера. Перезагрузилась. И проблема была решена!

Конечно, лучше, чтобы этот мой опыт Вам не пригодился. Но если вдруг такое случится и у Вас, теперь Вы знаете, что это и как с этим бороться.

Дополнение к статье

После публикации статьи, мне пришло очень много писем. Оказывается эта проблема очень актуальна и часто встречается. Причем у меня еще был, можно сказать, самый безобидный вариант.

Встречаются другие, гораздо более вредные баннеры - вирусы, которые блокируют броузер (возможность просматривать интернет-сайты) блокируют виндоуз, шифруют файлы и за восстановление нормальной работы или доступа к файлам требуют выкуп в виде смс. 

Также нашла, что на сайте Касперского целый раздел посвящен такого рода программам - вредилкам, и подробно описаны способы, как с этим бороться.
http://support.kaspersky.ru/viruses/solutions?qid=208637133
Там описан и мой случай :-)

А еще есть сервис деактивации вымогателей - блокеров, через который можно получить код для разблокировки компьютера - http://support.kaspersky.ru/viruses/deblocker

Сохраните эти ссылочки!
Удачи! Александра.