->

понедельник, 27 мая 2013 г.

И снова винлок (+79626024388)

Сегодня, минут 30 назад, попался  новый для меня winlock.
Цена винлока неплохая, целых 2500 рублей.
Но принцип работы как ни странно, прежний... Поглядим.

Конечно же, снова обвинение в педофилии и тиражировании соответствующего видео. И снова угроза о стирании ВСЕЙ информации с компьютера по истечении 12 часов.
Да и пофиг, как говорится...

Ближе к делу:

Хранится этот зловред в папке С://Users/"Ваш профиль".
Называется, (по крайней мере у меня он так себя обозвал):
6016240.exe

В реестре прописан в двух местах:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"explorer"="C:\\Users\\john.john-ПК\\6016240.exe"

и

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="C:\\Users\\john.john-ПК\\6016240.exe"
"UIHost"="C:\\Users\\john.john-ПК\\6016240.exe"
"Userinit"="C:\\Users\\john.john-ПК\\6016240.exe"

Ну сразу понятно, что делать:
1. Сам вирус удаляем.
2. В реестре:
    - в ветке Run удаляем запись про explorer.
    - в ветке Winlogon заменяем в строке Shell вирусную запись на "explorer.exe" (для верности можно указать полный путь)
    -  в ветке Winlogon заменяем в строке UIHosts вирусную запись на "explorer.exe" (для верности можно указать полный путь)
    -  в ветке Winlogon заменяем в строке Userinit вирусную запись на "userinit.exe" (для верности можно указать полный путь)
 3. Перезагружаемся, получаем нормальную винду.
 4. Проверяем систему CureIt от DrWeb.

Касперский опознал данного зверя как Trojan-Ransom.Win32.Gimemo.bdbv
По доктровебовски это -  Trojan.Winlock.8004