Компьютер заблокирован: удалить вирус win.lock становится всё сложнее…
Прогресс вирусописательства не стоит на месте, а движется семимильными шагами, это особенно заметно на примере вирусов-вымогателей, блокирующих Windows. Полная безнаказанность и поток денег от недалёких жертв делают своё дело. Недавно разблокировали один компьютер от очередного winlock-ера и столкнулись с некоторыми неприятными неожиданностями, о которых и хотим поведать здесь.
Заражение компьютера случилось при клике на совершенно безобидной ссылке во время поиска фотографий. При чём блокировка компьютера произошла практически моментально. На экране видим надпись, гласящую: "Компьютер заблокирован за просмотр, копирование и тиражирование видеоматериалов содержащих элементы педофилии и насилия над детьми. Для снятия блокировки Вам необходимо оплатить штраф в размере 300 гривен в WebMoney кошелёк U383593510183. В случае оплаты суммы равной штрафу либо превышающей ее на фискальном чеке терминала будет напечатан код разблокировки. Его нужно ввести в поле в нижней части окна и нажать кнопку Разблокировать. После снятия блокировки Вы должны удалить все материалы содержащие элементы насилия и педофилии. Если в течение 12 часов штраф не будет оплачен, все даные на Вашем персональном компьютере будут безвозвратно удалены, а дело будет передано в суд для разбирательства по статье 301 ч.2 УК У. Перезагрузка или выключение компьютера приведёт к незамедлительному удалению ВСЕХ данных, включая код операционной системы и BIOS, с невозможностью дальнейшего восстановления.". Как показал последующий анализ, данный образец вируса на момент заражения не определялся никакими антивирусами за исключением Касперского.
Через день ситуация конечно немного исправилась: к числу определяющих присоединились DrWeb, NOD32 и несколько других антивирусов, но полная их неспособностьхоть как-то противостоять новым, неизвестным угрозам наводит на грустные размышления – тест на эвристический анализ провален ими полностью…
На сегодняшний день по версии сайта virustotal.com ситуация такая:
| File name:22CC6C32.exe Submission date:2011-09-10 21:20:10 (UTC) Current status:finished Result:18/ 44 (40.9  |
| Antivirus | Version | Last Update | Result |
|---|---|---|---|
| AhnLab-V3 | 2011.09.10.00 | 2011.09.10 | Trojan/Win32.Agent |
| AntiVir | 7.11.14.161 | 2011.09.09 | SPR/Tool.DelfInject.912 |
| Antiy-AVL | 2.0.3.7 | 2011.09.10 | - |
| Avast | 4.8.1351.0 | 2011.09.10 | - |
| Avast5 | 5.0.677.0 | 2011.09.10 | - |
| AVG | 10.0.0.1190 | 2011.09.10 | Generic24.BSSR |
| BitDefender | 7.2 | 2011.09.10 | Trojan.Generic.KDV.351981 |
| ByteHero | 1.0.0.1 | 2011.09.10 | - |
| CAT-QuickHeal | 11.00 | 2011.09.10 | - |
| ClamAV | 0.97.0.0 | 2011.09.10 | - |
| Commtouch | 5.3.2.6 | 2011.09.10 | - |
| Comodo | 10064 | 2011.09.10 | Heur.Suspicious |
| DrWeb | 5.0.2.03300 | 2011.09.10 | Trojan.Winlock.3300 |
| Emsisoft | 5.1.0.11 | 2011.09.10 | Trojan-Ransom.Win32.PornoAsset!IK |
| eSafe | 7.0.17.0 | 2011.09.07 | - |
| eTrust-Vet | 36.1.8550 | 2011.09.10 | - |
| F-Prot | 4.6.2.117 | 2011.09.10 | - |
| F-Secure | 9.0.16440.0 | 2011.09.10 | Trojan.Generic.KDV.351981 |
| Fortinet | 4.3.370.0 | 2011.09.10 | - |
| GData | 22 | 2011.09.10 | Trojan.Generic.KDV.351981 |
| Ikarus | T3.1.1.107.0 | 2011.09.10 | Trojan-Ransom.Win32.PornoAsset |
| Jiangmin | 13.0.900 | 2011.09.10 | Trojan/Agent.ffhw |
| K7AntiVirus | 9.112.5114 | 2011.09.09 | - |
| Kaspersky | 9.0.0.837 | 2011.09.10 | Trojan-Ransom.Win32.PornoAsset.aze |
| McAfee | 5.400.0.1158 | 2011.09.10 | - |
| McAfee-GW-Edition | 2010.1D | 2011.09.10 | - |
| Microsoft | 1.7604 | 2011.09.10 | VirTool:Win32/DelfInject |
| NOD32 | 6453 | 2011.09.10 | Win32/LockScreen.AGD |
| Norman | 6.07.11 | 2011.09.10 | - |
| nProtect | 2011-09-10.01 | 2011.09.10 | - |
| Panda | 10.0.3.5 | 2011.09.10 | Trj/CI.A |
| PCTools | 8.0.0.5 | 2011.09.10 | Trojan.Gen |
| Prevx | 3.0 | 2011.09.10 | - |
| Rising | 23.74.03.03 | 2011.09.09 | - |
| Sophos | 4.69.0 | 2011.09.10 | - |
| SUPERAntiSpyware | 4.40.0.1006 | 2011.09.10 | - |
| Symantec | 20111.2.0.82 | 2011.09.10 | Trojan.Gen |
| TheHacker | 6.7.0.1.293 | 2011.09.10 | - |
| TrendMicro | 9.500.0.1008 | 2011.09.09 | - |
| TrendMicro-HouseCall | 9.500.0.1008 | 2011.09.10 | - |
| VBA32 | 3.12.16.4 | 2011.09.09 | - |
| VIPRE | 10434 | 2011.09.10 | Trojan.Win32.Generic!BT |
| ViRobot | 2011.9.10.4666 | 2011.09.10 | - |
| VirusBuster | 14.0.206.1 | 2011.09.10 | - |
| Additional information |
|---|
| MD5 : 4642a52cdc075c8c46cc01f54e61ce56 |
| SHA1 : 14cee7a327d2d7d992a0679afd7a6490df5a1ff7 |
| SHA256: 429c16efd72ab7f5abab065cb46dcd86f20d5899b634825ac8b872d9b5ea766e Полную версию статьи читайде здесь: Компьютер заблокирован: удалить вирус win.lock становится всё сложнее… |
