Як у мене ‘Microsoft Security’ вимагав 120 гривень за нерозповсюдження компрометуючих відомостей. upd: в мене з’явились відомості, що сьогодні помилки тексту “привітання” виправлені, і цей вірус вимагає вже 200 гривень. Інфляція, або плата за виправлені помилки.
Після перегляду новини про затриманого за торгівлю наркотиками відомого українського рок-музиканта, захотілось подивитись на свіже фото учасника групи Green Grey Дизеля, на якого спочатку впала суспільна підозра. Втім, недовго я дивився на те фото: чи то сайт, на який я вийшов через пошук зображень Google був інфікований, чи мій Mozilla Firefox раніше підхопив заразу, або взагалі ці сервіс та програма не при чому…

На екрані з’явилось повідомлення, що блокувало роботу комп’ютера та вимагало грошей. Перезавантаження у режимі захисту від збоїв не допомогло, очистка автозапуску наобум – також. Тож, запустив я з компакт-диску свого надійного помічника – Linux ubuntu, який дозволив поблукати Інтернетом у пошуку зцілення.

Виявилось, я мав справу із різновидом трояна winlocker, згадки про який я знайшов на російських ресурсах. Незважаючи на те, що я стикнувся з українською версією “трояна”, рецепт його знешкодження подіяв: українські “локалізатори” лише змінили директорію локалізації вірусу та реквізити для перерахунку грошей.

Діагноз
(текст у вікні комп’ютера, заблокованого українським різновидом трояна winlocker)

Windows заблокирован
Microsoft Security обнаружил нарушения использования сети инитернет.
Причина: Просмотр нелицензионного xxx xxxxxxx порно.
Для разблокировки Windows необходимо оплатить ШТРАФ в размере 120 гривен
Интструкция по оплате штрафа:
1. Найдите ближаший терминал для оплаты мобильной связи, например iBox.
2. Выберите вкладку “Оплата услуг” (может отличаться в зависимости от терминала).
3. Выберите “Банк, страхование, Эл. коммерция” (может отличаться в зависимости от терминала).
4. Выберите “WebMoney”.
5. Введите номер кошелька: U424900494264
6. Внесите в купороприёмник сумму указанную выше и совершите оплату.
После оплаты на ваданной терминалом квитанции Вы найдёте код для ВХОДА в систему. Введите код в поле ниже и нажмите на “ВХОД В СИСТЕМУ”. После чего данное сообщение полностью прекратит появлятся и компьютер будет полнотью разблокирован.
Если в течении 12 часов с момента появления данного сообщения, не будет введён код, все данные, включая Windows и BIOS будут БЕЗВОЗВРАТНО УДАЛЕНЫ! Попытка переустановить систему приведёт к нарушениям работы компьютера.
Так же в случае НЕ УПЛАТЫ все данные о Вашем ПК буду переданы органам власти, длдя преследования за хранение и распространениие порнографического контента.

Якщо ви стикнулись із цією проблемою – не поспішайте бігти до терміналу та перераховувати гроші злодіям (втім, якщо Ви тут через описаний троян, то ділитись зі злодюжками своїми кровними явно не збираєтесь).

Як вилікувати:

1. Перезавантажити комп’ютер, при завантаженні натиснути клавішу F8. (кнопку треба натискати на самому початку завантаження Windows)
2. В наступному меню вибрати “Загрузка в безопасном режиме с поддержкой командной строки”.
3. Ввести в командний рядок консолі команду regedit та натиснути enter.
4. По команді буде відкрито редактор реєстру Windows, в якому треба знайти папку: Hkey_local_machine\software\microsoft\Windows NT\CurrentVersion\Winlogon
5. З правої сторони зі списку вибрати параметр “Shell“, клікнути по ньому лівою клавішею миші, після чого з’явиться контекстне меню, в якому треба вибрати “Изменить“.
6. Далі буде видно шлях до тіла вірусу, який потрібно запам’ятати, та замінити на “Explorer.exe“.
7. Після перезавантаження банер має бути відсутнім, але для видалення тіла вірусу та його копій скористайтесь безплатним антивірусом Malwarebytes, та переконайтесь, що комп’ютерний вірус повністю знешкоджено.

P.s. Враховуючи пропозицію використання терміналів iBox, злочинці, певно, мешкають та чинять свої оборудки у Києві. Рахунок Webmoney наведено без змін. Усім, хто володіє відомостями про злочинців, або зацікавлений у з’ясуванні причетних осіб, прошу повідомляти.