bash.im ithappens.me zadolba.li
11593

Сам собрал, сам страдал

Недавно у меня на работе сотрудница подхватила винлокер, и я наконец-то увидел это чудо воочию. Но лечить мне его было не резон. На это у нас есть департамент IT.

А вчера уже позвонила другая знакомая и тоже пожаловалась на винлокер на домашнем компьютере. Он вылез внезапно, когда знакомая мирно читала какую-то PDF, скачанную с интернета. Компьютер у неё один. Помимо XP на нём стоит ещё 98-я и военный линукс МСВС (ставил это всё я несколько лет назад). Основная система — XP. В 98-ю знакомая давно не заходила, линукс ей нужен по работе: трудится программистом в «почтовом ящике», как говорили во времена СССР. То есть она, конечно, не прямо дома пишет программы для этого «почтового ящика», но просто хотела иметь возможность использовать такую же систему, как на работе, чтобы было можно дома что-то пробовать. Оказалось, что 98-я у неё не запускается, линукс работает, но в интернет она из него выйти не может. Поэтому, вооружившись LiveCD известного отечественного антивируса, я отправился в гости.

С антивирусным LiveCD я до этого тоже дел не имел  — как-то обходилось. Мне диск очень понравился. Gentoo, на основе которого он был собран, прекрасно распознал и примонтировал все разделы на диске, а также виндоусовский реестр. Лечащая утилита, правда, вирус не нашла. Я параллельно проверил точки автозагрузки в реестре и вышел на зловреда. Благодаря встроенному браузеру проверил его на virscan.org. Действительно, его распознавали как вирус только 4 из 36 антивирусов. Тело вируса тут же было отправлено в антивирусную лабораторию, которая выпустила LiveCD, и уже к вечеру его включили в базу.

Пока шла проверка, а я искал в интернете, как лечить винлокера, наткнулся на практическое руководство по их созданию. В очень доступной форме с примерами кода на Паскале описывался весь процесс создания таких троянов. Совсем тупым предлагались ссылки на генератор винлокеров, где нужно только ввести номер телефона — и готов троян, который будет просить перевести деньги на указанный счёт. По крайней мере, так генератор рекламируется. Сам я его, конечно, не скачивал.

То, что пользователи реально тупые, можно видеть по обсуждению этого генератора. Половина вопит, что в нём вирус, который заблокировал их компьютер…