Trojan.Winlock - бой смс-троянам

[quest4sanity]

В виндовом сообществе ретивствует троян Trojan.Winlock. Для тех, кто не знает, он блокирует компьютер и требует послать SMS в обмен на код разблокировки. Естественно, что стоит такая SMS недешево. На данный момент тарифы от 300 до 600 рублей, причем, как сообщают пользователи в форумах, оплата еще не гарантирует получения работающего кода разблокировки. Данная эпидемия стала возможна благодаря, в немалой степени, огромным финансовым вливаниям в троянотворчество, так как большинство пользователей считало, что "дешевле заплатить" вымогателям, чем приложить усилия и разрешить проблему самим. В данном случае сработал тот же самый принцип, который известен борцам с терроризмом - если начать удовлетворять требования террористов, то количество террористических актов начинает лавинообразно возрастать. Что хотели, то и получили - теперь у этого трояна существует несколько десятков штамов. Некоторые из них достаточно умны, и при попытке удалить их той или иной программой, сразу выключают компьютер.

Вот информация о самом трояне:
http://soft.mail.ru/pressrl_page.php?id=36773
http://rutracker.org/forum/viewtopic.php?t=2270021

К чему бишь я. Да к тому, что совсем недавно такой "подарок" заполучил мой приятель, но платить не стал, а позвонил мне, и совместными усилиями мы смогли таки его компьютер разблокировать. Правда, для меня все было нановенького и пришлось потратить время на исследование ситуации. Теперь вот хочу поделиться опытом, чтобы вы смогли в случае подобной неприятности помочь самим себе или своим друзьям.

Оставим за рамками поста тезисы: "не лазьте по интернет-помойкам, сохраняйте на такой случай образы системы, проверяйте все скаченное файлы на вируы и трояны". Сосредоточимся на том, как бороться с данным конкретным вирусом.

Исходите из того, что компьютер в результате заражения окажется заблокирован. Правда, есть свидетельства о том, что, загрузившись в безопасном режиме можно таки, методично долбая по Ctrl-ALt-Del таки попасть в ту пару секунд, когда система эти кнопки уже воспринимает, а сам троян еще не запустился, но сам я не проверял, да и воспользоваться окном диспетчера в этой ситуации сможет только опытный пользователь. Так что пусть компьютер будет заблокирован. Что же тогда делать дальше?

Прямо сейчас, от греха подальше, сходите на сайт DrWeb (это известный антивирусник) и скачайте оттуда Dr.Web® LiveCD и залейте его на CD-болванку. С помощью этого диска, когда с компьютером возникнут подобные проблемы, вы всегда сможете загрузиться и проверить вашу систему, минуя все трояны и вирусы.

Скачайте себе так же утилиту Dr.Web CureIt. Возможно разблокировать вашу зараженную систему она не поможет, но зато с ее помощью можно будет проверить компьютер потом. Так же вы сможете ее запустить если решите загрузиться с какого-нибудь другого LiveCD или с предварительно подготовленной загрузочной флешки. Она не требует установки и может быть запущена прямо так.

Ну, а если ничего под боком нет, а окно трояна вот уже прямо сейчас красуется на экране вашего компьютера, то вот вам ссылки на разблокиратор от Dr.Web и разблокиратор от Касперского. Дальше поробуйте нажать комбинацию клавиш Win-U. Некоторые программы блокируют даже их, но, к счастью, не все. В большинстве случаев появится окошко, из которого можно запустить экранную лупу. Сама лупа нам не нужна, а вот ссылка на сайт майкрософт, которая появляется при ее запуске, поможет нам открыть браузер, чтобы начать работу с интернетом. Дальше можно воспользоваться указанными ссылками. Похожая ситуация, если у вас дома есть второй компьютер, с которого вы можете выйти в интернет. И еще одним неплохим вариантом является, если вы можете выйти в интернет со своего коммуникатора или сотового телефона. Специально для такого случая Dr.Web приготовил мобильную версию разблокиратора.

Ну, а если ни один из вышеуказанных номеров не прошел, тогда все обстоит немного сложнее. Сделайте следующее: ОТКЛЮЧИВ КОМПЬЮТЕР ОТ ИНТЕРНЕТА, позвоните вашим друзьям или родственникам и попросите их продиктовать вам код разблокировки для вашего случая (найдите способ передать им вышеуказанные ссылки). А вся необходимая для определения кода разблокировки информация как раз будет находиться перед вами на экране.

Если и здесь есть сложности (например вы не можете объяснить другу, как выглядит окно с требованием SMS) или ваш случай еще не зарегистрирован, как это было в случае моего приятеля, то воспользуйтесь поиском в интернете. Введите номера телефонов и строки, которые авторы троянов просят послать по SMS. Очень велика вероятность того, что кто-то уже сталкивался с подобной комбинацией и опубликовал в каком-то из форумов коды для разблокировки. В последнем случае, не забудьте уведомить о найденном коде разработчиков в Dr.Web.

И помните, посылая SMS, вы не только тратите впустую свои деньги, но и фактически финансируете разработчиков трояна, стимулируя их создавать подобные проблемы и вам самим, и другим людям в будущем. Будьте ответственны.

Продолжение истории, возникшее после того, как я смог познакомиться с этой дрянью, так сказать, лично, можно найти: Здесь

PS: Понятно, что пока гром не грянет, у нас "креститься" не принято, но хотя бы сделайте себе закладку на данный пост на тот случай, если вдруг кого-то из ваших друзей коснется эта напасть. Если считаете возможным, сделайте кросспост для ваших друзьей, чтобы и их данный троян не застал врасплох. Это позволит людям не делать глупости, оказавшись один на один с данным вирусом. На самом деле с ним справиться намного проще чем кажется в тот момент, когда мы начинаем паниковать.