Снова про вирусы-вымогатели Internet Security
Итак, прошло совсем немного времени с момента публикации статьи о вирусе Internet Security. Предположения о эпидемии оказались не только предположениями, а так оно и случилось.
О масштабах поражения можно судить по такому факту - сегодня по зомбоящику на канале НТВ прошло интервью с представителями компании DrWeb. Телевизионщики ошиблись и рассказ о новом вирусе был дополнен изображением прародителя Internet Security - Trojan.Winlock, который появился ещё в апреле 2009 года.
Trojan.Winlock распространяется в виде поддельных кодеков. При загрузке Windows на экран также выводится сообщение с требованием отправить SMS для разблокировки доступа к системе. В отличие от Internet Security он уже добавлен в вирусную базу Dr.Web и легко отлавливается.
Также признали, что новый вирус на данный момент не ловится даже обновленным антивирусным пакетом, т.к. модификации его выходят практически ежедневно. Для разблокировки компьютера у DrWeb также имеется сервис, где можно вводить код. Бесплатная разблокировка Windows от DrWeb Вот только для чего нужны были подобные украшательства совершенно не понятно - ребята явно в игрушки не наигрались.
Честно говоря попытался воспользоваться этими сервисами в качестве эксперимента и плюнул в конце концов. Возможно кто-то будет более удачливым, но мне так и не удалось подобрать действующий код. В итоге всё пришлось делать руками на очередном больном компе.
Возможно они просто не успевают за появлением новых модификаций... кто знает... у меня опыт оказался неудачным. Тем более для этих целей надо иметь либо второй комп, либо загружать мобильную версию в телефон или коммуникатор.
Способ разблокировки компьютера от вируса Trojan.Winlock с использованием ERD Commander
- отлючаем компьютер от сети
- загружаемся с диска с ERD Commander и запускаем Winternals ERD Commander;
- в окне Welcome to ERD Commander выбираем свою ОС –> OK;
- в окне ERD Commander Explorer выбираем диск, на котором установлена ОС (обычно, C:\);
- удаляем файл вируса, расположенный во временном каталоге текущего пользователя
- исправляем ключи реестра Start –> Administrative Tools –> RegEdit;
- закрываем ERD Commander Registry Edit и перезагружаемся
C:\Documents and Settings\учетная_запись_пользователя\Local Settings\Temp\
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Userinit на C:\WINDOWS\system32\userinit.exe, (вирус устанавливает значение этого параметра %Temp%\
Shell на Explorer.exe;
Комментариев: 2
Добрый день. Проник вирус шифровальщик...зашифровалось всё..Вот его назв мееб.xls.id-{SAGNUBIOVBIOVCJPWCJQWDKQXVCJQWDKSYFL-06.08.2014 9@13@5910805}-email-ivanivanov34@aol.com-ver-4.0.0.0.cbf...................пробывали через Касперского..скачали программку , но ничего не получилось...Что делать??
Вроде все понятно что это вирус, но есть же люди, даже у меня знакомые которые отправляют смс и платят а потом только думают. Как можно быть такими недалекими?