В России от троянцев семейства Trojan.Winlock пострадали миллионы пользователей. На сегодняшний день волна заражений пошла на убыль, тем не менее, сейчас проблема троянцев-блокировщиков стала актуальна и для зарубежных пользователей.
В отличие от троянца Trojan.Winlock.3794, обнаруженного ранее, новая модификация программы-вымогателя записывает ссылку на себя в разделе системного реестра
HKLMSOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonuserinit, который отвечает за запуск программ системным процессом winlogon в момент входа пользователя Windows в систему. Благодаря этому операционная система оказывается заблокированной при первой же после заражения перезагрузке компьютера.
Вместо привычного интерфейса Windows на экране инфицированного компьютера появляется сообщение о сбое некоего системного процесса по адресу 0x3BC3. Для его устранения пользователю предлагается позвонить по одному из указанных телефонных номеров и ввести код разблокировки в соответствующее поле. Звонок на эти номера, естественно, является платным.
Данная модификация "винлокера" имеет одну характерную особенность: в ресурсах троянца содержится несколько языковых версий блокирующего компьютер окна для различных локализаций Windows. Как минимум имеются варианты сообщения на английском, французском и русском языках.
Для разблокировки операционной системы, пострадавшей от действий троянца Trojan.Winlock.3846 можно воспользоваться следующим кодом разблокировки: 754-896-324-589-742
