В последнее время значительно возросло число вредоносных программ-вымогателей, требующих отправить SMS-сообщения для получения доступа к системе или к пользовательским документам.

Причина заражения:
Активные действия пользователя - на интернет-сайтах при попытке просмотра видероликов выводится сообщение об отсутствии необходимых кодеков и предлагающих их установить.

При согласии пользователя на компьютер устанавливается троян, классифицируемый Dr.Web как Trojan.Winlock.

Признаки заражения:
При запуске компьютера выводится полноэкранный баннер, где сообщается либо о нарушении лицензионных прав, либо об обнаружении вируса, нелицензионной копии Windows и т.д.
Баннеры визуально могут быть оформлены соотвествующе, с логотипами Microsoft, Kaspersky. В сообщении указывается что для снятия блокировки необходимо отправить sms-сообщение с указанным кодом по короткому номеру.
Кроме того, может оказаться заблокированным доступ в интернет и запуск некоторых программ (cureit, avz, total commander и др.)

Методы лечения:
1. Ни в коем случае не отправлять sms-сообщение.

2. Некоторые ранние модификации трояна самоликвидируются после определенного времени (точное время самоликвидации не известно, иногда это 2-4 часа). Попробуйте в БИОС изменить системное время и перезагрузиться.

3. Напишите в этой теме код и номер телефона с баннера, дату заражения. Постараемся помочь с кодом.

4. Воспользуйтесь утилитой RansomHide для подбора кода по номеру и тексту сообщения.

5. Воспользуйтесь специальными сервисами деактивации в интернете (на другом, незараженном компьютере). Специалисты компаний предлагают сгенерированные коды на многие модификации трояна.
"Dr.Web" - адрес страницы: http://www.drweb.com/unlocker
Ссылка для мобильных телефонов - http://www.drweb.com/unlocker/mobile
"Лаборатория Касперского" - адрес страницы: http://support.kaspersky.ru/viruses/deblocker
"Eset" - адрес страницы: http://esetnod32.ru/support/winlock.php

6. Если указаны короткие номера 1121, 1131, 1141, 1151, 1161, 1171, 1899, 3121, 3649, 4124, 4125, 4460, 5013, 5014, 5121, 5537, 8353 позвоните по номеру 8 800 555 01 02 (звонок бесплатный). Это техподдержка службы коротких номеров sms a1agregator. Объясните оператору вашу проблему, сообщите запрашиваемый код и короткий номер смс из баннера. Должны соединить со своими специалистами и дать код активации. Если не дозвонились можно позвонить напрямую их специалистам по московскому номеру (495) 363-14-27 добавочный 555.

7. Если ничего не помогло, то ловить трояна придется вручную. Для этого понадобятся
- диск LiveCD (ERD Commander, Dr.WebLiveCD, AlkidLiveCD или любой другой WindowsPE)
- бесплатные сканеры AVP Tool и Cureit Обновляются часто, поэтому рекомендуется скачивать свежие версии
- бесплатная утилита AVZ (для борьбы с последствиями трояна)

Загрузившись с диска LiveCD очистите папки Temp, RECYCLER, Temporary Internet Files, Cookies
В корне папки С:/Documents and Settings/UserName/Application Data удалите подозрительные исполняемые файлы (такие как blocker.bin например)
Проверьте автозагрузку, удалите сомнительные записи (например такие C:/Windows/Temp/ghgjhj.exe)
Просканируйте компьютер указанными выше утилитами.
В реестре HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi ndows NT\CurrentVersion\Winlogon проверьте значение ключа Userinit. Там должна быть запись C:\WINDOWS\system32\userinit.exe, (точь в точь, с запятой). Тут небольшой disclaimer. Реестр - важная часть операционной системы. Неправильное редактирование/удаление разделов может привести к краху Windows
В утилите AVZ в меню "восстановление системы" отметьте все пункты с 1 по 17 и выполните восстановление исходных параметров системы. Этим вы очистите следы деятельности трояна (заблокированный реестр и диспетчер задач, отсутствие интернета и др.)
Профилактика заражения:
При посещении интернет-сайтов следует избегать установки программного обеспечения на ваш компьютер. Вам могут предлагаться установить нужные кодеки, adobe flash-player или иные, якобы "отсутствующие в вашей системе компоненты".
Если нет твердой уверенности в безопасности программы - не соглашайтесь с установкой. Объясните эти простые правила домочадцам (особенно детям-подросткам)