Программа вымогатель винлокер

16.05.2015

14300

Что представляет собой этот компьютерный вирус Trojan.Winlock, как от него защититься и что делать, если компьютер заблокирован - обо всем этом расскажем в этой статье.

Винлокер (Trojan.Winlock) – это вредоносная программа, цель которой заблокировать или затруднить работу с компьютером. Ее используют злоумышленники для получения вознаграждения за разблокирование. По сути это программа-вымогатель (смс-вымогатель). Блокирование операционной системы обычно осуществляется при помощи баннера, занимающего практически весь экран, и который невозможно убрать.

Самое обидное в подобных ситуациях, что те, кто решают заплатить за разблокирование, не получают код. В итоге теряются деньги на выполнение требований вымогателей, а затем на оплату услуг сервисных центров для восстановления работоспособности компьютера.

Разновидности винлокеров

Начало подобным вирусам было положено в 2007 году, а уже в 2009–2010 годах миллионы в основном русскоязычных пользователей столкнулись с проблемой заблокированных операционных систем. С тех пор этот метод заработка киберпреступников стал очень популярным. Поэтому они систематически создают и размещают в сети все новые разновидности локеров. Создать вирус можно за считаные минуты при помощи специальной программы, даже не имея навыков программирования.

Суть программ-вымогателей остается неизменной – потребовать от пользователя деньги за разблокирование компьютера. При этом используются разные методы:

пополнить счет мобильного телефона;
послать платное СМС-сообщение на короткий номер;
пополнить счет страницы социальной сети;
перевести деньги через терминал экспресс-оплаты.

Воздействие вируса на операционную систему бывает разного характера. Легче всего удалить баннер, который появляется только в окне браузера. Другие виды закрывают почти весь рабочий стол даже после закрытия браузера, но при этом позволяют открывать другие программы, с помощью которых вирусы можно удалить (диспетчер задач, редактор реестра). Более опасные винлокеры, баннеры которых закрывают весь рабочий стол, блокируют клавиатуру, мышь, запуск программ и даже загрузку в безопасном режиме.

В зависимости от принципа действия подобные вирусы имеют разные названия:

винлокеры;
мбрлокеры;
локеры с методами социальной инженерии.

Некоторые из них не выявляются даже антивирусными программами.

Принцип действия винлокеров

Принцип действия винлокера или Trojan.Winlock заключается в том, чтобы нарушить работу Windows путем подмены оболочки операционной системы. Интерфейс окна, которое блокирует рабочий стол, аналогичен окну активации Windows XP. Но при этом появляется сообщение об использовании нелицензионной версии операционной системы. Код активации можно получить путем отправки СМС-сообщения на короткий номер, в результате чего со счета мобильного телефона снимается определенная сумма.

Развитие программ-вымогателей

С первыми модификациями винлокеров справиться было довольно просто. Нужно было загрузить систему в безопасном режиме и воспользоваться встроенной утилитой восстановления системы. Или же удалить процесс вируса в Диспетчере задач и изменить значение оболочки в системном реестре по умолчанию.

На начальном этапе развития программы-вымогатели требовали небольшие суммы за разблокировку, и рассчитывались на то, что пользователю проще заплатить 10 рублей, чем бороться с вирусом. В некоторых случаях не нужно было прилагать никаких усилий. Достаточно было оставить включенным компьютер на некоторое время, и вредоносная программа самоуничтожалась. Например, для избавления от Trojan.Winlock 19 необходимо подождать 2 часа.

Со временем благодаря усилиям создателей программ-вымогателей излечение компьютера становилось все сложнее. Блокировались запуск диспетчера задач, утилиты восстановления системы, редактора реестра, панели управления, антивирусов, командной строки. Стало невозможным открывать сайты некоторых антивирусных программ. Да и суммы, которые вымогались за восстановление работоспособности Windows, исчислялись уже сотнями или тысячами рублей.

Многие пользователи выполняли требования винлокеров из-за угроз, содержавшихся на большинстве баннеров. В сообщении предупреждалось, что невыполнение условий повлечет за собой повреждение компьютера или данных. В некоторых программах использовался психологический ход, запускавший таймер обратного отсчета. Но в большинстве случаев это была просто угроза.

Интерфейс Trojan.Winlock бывает самый разнообразный. Но чаще всего окна вируса идентичны стандартным Windows. Нередко используются порнографические фото- и видеоматериалы. Можно встретить окно приветствия Windows либо так называемый синий экран смерти. В некоторых программах-вымогателях используется интерфейс схожий на антивирус.

Механизм заражения

Методы распространения винлокеров довольно разнообразны. Но в большинстве случаев заражение происходит следующими путями:

через браузер во время загрузки инфицированных сайтов;
через установочный файл какой-либо программы;
через самораспаковывающиеся архивы.

Инсталляция зараженных программ происходит с использованием лицензионного соглашения. В нем оговаривается согласие пользователя на установку рекламного приложения, которое он должен просмотреть обычно несколько тысяч раз либо отправить платное SMS. Так как подобную информацию редко кто читает, многие попадаются на уловку и считают более рациональным оплатить разблокирование.

Мбрлокеры

С разработкой эффективных методов лечения и профилактики операционных систем были созданы более опасные разновидности программ-вымогателей. Их действие основано на внесение изменений в Master Boot Record – главную загрузочную запись, из-за чего блокируется загрузка операционной системы. Вместо этого появляется сообщение с требованием пополнить счет указанного мобильного телефона. В отличие от винлокеров мбрлокеры представляют большую опасность за счет того, что запускаются до загрузки Windows.

Заражение Trojan.MBRlock обычно происходит путем скачивания инфицированного файла, например, под видом видеоролика. После обнаружения вируса иногда не нужно предпринимать каких-либо действий, так как через несколько дней происходит самостоятельная деактивация. Но этот вариант не актуален для тех, кто не может отложить использование компьютера на длительное время.

Методы социальной инженерии

Действие винлокеров или мбрлокеров с использованием социальной инженерии основано на психологии человека, на его слабостях. В сообщениях баннеров, блокирующих операционную систему содержаться обвинения, которые побуждают пользователя без сопротивления расстаться с деньгами. Например, некоторые из них предупреждают о просмотре порнографии, и за разблокирование требуют пополнить мобильный телефон.

Многие из тех, кто действительно просматривал подобные материалы, опасаясь огласки, выполняют указанные требования. Но при этом нужно учесть, что пополнение счета либо отправка платного SMS-сообщения не гарантирует получение кода. Иногда под авторством сообщения баннера подписаны известные компании, включая Microsoft.

Этот фактор в сочетании с предупреждением об использовании нелицензионной копии операционной системы и угрозой уничтожения данных также убеждает пользователя в необходимости незамедлительной отправки SMS. Подробнее о методах социальной инженерии мы рассказывали в этой статье.

Что делать если компьютер заблокирован, способы разблокировки

Вместо того чтобы решать проблемы, созданные программой-вымогателем, лучше принять во внимание несколько советов, помогающих избежать заражения:

Установка качественного антивирусного продукта. Так как новые винлокеры появляются довольно часто, необходимо следить за регулярным обновлением антивирусных баз.
При скачивании файлов обращать внимание на их тип. Например, аудио и видеофайлы не должны быть с расширением .exe.
После загрузки файла проверять его на вирусы.

Если все же заражение произошло и компьютер заблокирован, не следует идти на поводу у вымогателей. Вероятность разблокировки таким способом практически равна нулю. Не впадайте в панику от предупреждения об уничтожении данных через определенное время, так как в большинстве своем винлокеры не имеют такого механизма. Радикальным способом восстановления работоспособности системы является переустановка Windows. Однако не многие захотят пользоваться им при каждом заражении.

Более простой способ – это подбор кода при помощи сервисов разблокировки, созданных разработчиками антивирусов. Наиболее популярные и эффективные из них – от компании Dr.Web, Eset и Kaspersky Deblocker.Во избежание повторной блокировки необходимо просканировать систему установленным антивирусом. Если же при помощи сервисов подбора кода не удалось устранить проблему, можно воспользоваться утилитами для аварийного восстановления от Kaspersky Lab либо Dr.Web (LiveCD, LiveUSB).

В случае когда запуск системы невозможен из-за повреждения загрузчика Windows, реестра либо системных файлов используйте консоль восстановления. Этот процесс происходит при помощи загрузочного диска с операционной системой и команды fixmbr.

Несмотря на регулярное появление новых вирусов, таких как винлокеры и мбрлокеры, избавиться от них возможно, используя антивирусное обеспечение, в котором для этого есть необходимые инструменты. Но следует помнить, что лучший способ избежать проблем из-за блокирования системы – это профилактика. Будьте осторожны на просторах интернета, придерживайтесь наших простых советов и эта проблема обойдет вас стороной.

Если статья оказалась вам полезной, подпишитесь на нашу рассылку в Twitter или добавляйтесь в друзья в Одноклассниках, Вконтакте, Facebook, будьте в курсе последних новостей.

Читать дальше: