Компания "Доктор Веб"
сообщила о распространении Trojan.Winlock.3794 за пределами России.
Обнаруженная недавно новая модификация программы-вымогателя рассчитана, в
первую очередь, на зарубежную аудиторию. Она записывает ссылку на себя в
разделе системного реестра
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\userinit,
который отвечает за запуск программ системным процессом winlogon в
момент входа пользователя Windows в систему. Благодаря этому
операционная система оказывается заблокированной при первой же после
заражения перезагрузке компьютера.
Вместо привычного интерфейса Windows на экране инфицированного
компьютера появляется сообщение о сбое некоего системного процесса по
адресу 0x3BC3. Для его устранения пользователю предлагается позвонить по
одному из указанных телефонных номеров и ввести код разблокировки в
соответствующее поле. Звонок на эти номера, естественно, является
платным.
Данная модификация «винлокера» имеет одну характерную особенность: в
ресурсах троянца содержится несколько языковых версий блокирующего
компьютер окна для различных локализаций Windows. Как минимум имеются
варианты сообщения на английском, французском и русском языках.
Для разблокировки операционной системы, пострадавшей от действий
троянца Trojan.Winlock.3846 воспользуйтесь следующим кодом
разблокировки: 754-896-324-589-742. |