Обнаружена новая разновидность трояна Winlock

Антивирусные эксперты сегодня сообщили о распространении нового трояна-локера из нашумевшего семейства Winlock – Trojan.Winlock.7372. От других винлоков этот троянец отличается тем, что не содержит в себе каких-либо текстов или графических изображений – он загружает их на инфицированный компьютер по сети. В качестве основной цели Trojan.Winlock.7372 избрал зарубежных пользователей.

Первые трояны-винлоки, ориентированные на зарубежных пользователей, получили распространение осенью 2011 года, а до этого данная схема заработка была успешно обкатана. Эта вредоносная программа распространяется с использованием семейства троянцев, известных как BackDoor.Umbra, также рассчитана на распространение среди жителей зарубежья. Исходя из внутреннего строения, Trojan.Winlock.7372 ничем не напоминает других представителей троянцев-вымогателей. Все необходимые элементы Trojan.Winlock.7372 загружает с удаленного C&C сервера, а препятствующий работе системы экран представляет собой обычную веб-страницу.

Запустившись на инфицируемом компьютере, Trojan.Winlock.7372 прописывает самого себя в ветвь системного реестра, отвечающую за автоматический запуск программ, после чего запускает бесконечный цикл поиска и остановки процессов целого ряда приложений и системных утилит. Среди них — Диспетчер задач, Блокнот, Редактор реестра, Командная строка, Настройка системы, браузеры Microsoft Internet Explorer, Google Chrome, Firefox, Opera, приложения ProcessHacker, Process Monitor и некоторые другие. С применением редко используемой методики троян отключает запущенный на зараженном компьютере брандмауэр. Затем Trojan.Winlock.7372 создает невидимое полноэкранное окно, в которое загружает с принадлежащего хакерам сайта веб-страницу с требованием оплатить разблокировку операционной системы.