после перезагрузки ПК вирус выводит окно с предложением отправить sms-сообщение на указанный номер для разблокировки;
url-ссылка, сформированная по специальному алгоритму в зависимости от текущей даты, специально сформированный уникальный идентификатор, случайное число, серийный номер жесткого диска.
в зависимости от текущей даты вирус отправляет http-запрос: http://%3Crnd1%3E.com/regis***.php?guid={
для автоматического запуска в разделе [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] системного реестра вирус изменяет значение строкового (REG_SZ) параметра Userinit на %Temp%\.tmp;
После успешного сохранения файл запускается на выполнение, выполняя следующие действия:
Данный файл имеет размер 94208 байт и детектируется Антивирусом Касперского как Trojan-Ransom.Win32.Agent.af.
.tmp ( случайная последовательность цифр и букв латинского алфавита).
После активации вирус извлекает из своего тела файл во временный каталог текущего пользователя Windows %Temp%\
Деструктивные действия вируса
Программа является приложением Windows (PE EXE-файл). Имеет размер 88576 байт. Написана на C++.
Вирус представляет собой троянскую программу, устанавливающую в систему другую вредоносную программу, которая блокирует работу операционной системы Windows.
Антивирус Касперского распознает вирус с 13.04.2009 г., как Trojan-Dropper.Win32.Blocker.a. Panda Security с 20.04.2009 г. идентифицирует вирус, как Trj/SMSlock.A.
Данная вредоносная программа была добавлена в вирусную базу Dr.Web 08.04.2009 г., под названием Trojan.Winlock.19. Ее модификации автоматически распознаются технологией Origins TracingTM как Trojan.Winlock.origin. Trojan.Winlock распространяется в виде поддельных кодеков.
Что представляет собой вирус, блокирующий запуск Windows
В окне доступны текстовое поле Ввести полученный код и кнопка Активация.
Примерный текст сообщения: «Windows заблокирован. Для разблокировки необходимо отправить смс с текстом 4128800256 на номер 3649. Попытка переустановить систему может привести к потере важной информации и нарушениям работы компьютера».
8 апреля 2009 г. компания «Доктор Веб» сообщила о появлении нового образца подобной троянской программы, которая при запуске Windows предлагает ввести «регистрационный код» якобы для регистрации нелицензионной копии Windows. Для разблокировки доступа к системе (якобы для получения регистрационного кода) требуется отправить платное sms-сообщение с указанным текстом (последовательность случайных цифр) на указанный номер.
В последнее время наблюдается рост количества вредоносных программ-вымогателей, требующих отправить sms-сообщение для получения доступа к заблокированной системе или к пользовательским файлам.
Как разблокировать Windows после блокировки вирусом
Разблокировать Windows после блокировки вирусом. Удалить вирус и снять блокировку. Код активации
Комментариев нет:
Отправить комментарий