Автор: Тельминов Александр
Вчера столкнулся с очередным винлокер-вымогательством. У знакомого на весь экран выскочил баннер похабного содержания с ненавязчивым требованием отправить 360 рублей либо 30 дней любоваться на эту картинку.
Конечно диспетчер задач не открывается. Безопасный режим не помогает. И при каждой перезагрузке меняется номер телефона, на который нужно положить деньги.
Вот несколько номеров:
8-965-376-96-88
8-963-630-60-12
8-903-238-29-61
8-965-377-64-29
8-903-238-39-65
8-965-376-99-18
Их на самом деле еще больше, но я не все выписывал. Создается такое впечатление что непосредственно деньги вирусописателям не нужны, а основная их задача просто нагадить человеку.
Интересной особенностью этого вируса была некоторая тормознутость в работе, благодаря которой если нажать и держать "Ctrl+Esc", промаргивает меню "пуск" и панель задач, на которой видно что запущена программа с названием "LockEmAll". Если мышкой очень быстро кликнуть по этой программе правой кнопкой и сразу в открывшемся меню кликнуть левой кнопкой по пункту "Закрыть", то баннер закрывается. У меня получалось его закрыть раза с 20-го.
Проверка на вирусы утилитой CureIt результатов не дала. А вот утилита Kaspersky Virus Removal Tool нашла зловреда. Им оказался Troyan.Win32.VBKrypt.amqk, сидящий в файле C:\Windows\System32\usrinit.exe
После удаления этого файла и перезагрузки операционки баннер исчез.