Специалисты компании «Доктор Веб» сообщили о распространении нового троянца-блокировщика из известного семейства Trojan.Winlock – Trojan.Winlock.7372. От других блокировщиков он отличается тем, что не содержит в себе текстов или графических изображений, которые обычно демонстрируются на экране при блокировке Windows, а загружает их на инфицированный компьютер по сети с удаленного сервера. Препятствующий работе системы экран представляет собой обычную Web-страницу.

Основная цель Trojan.Winlock.7372 – зарубежные пользователи, хотя есть основания предполагать, что разработали ее наши соотечественники (ориентированные на зарубежных пользователей троянцы-винлоки получили распространение осенью 2011 г., а до того эта схема криминального заработка была обкатана в России). Новая вредоносная программа распространяется с использованием семейства троянцев, известных как BackDoor.Umbra.

Запустившись на инфицируемом компьютере, Trojan.Winlock.7372 прописывает самого себя в ветвь системного реестра, отвечающую за автоматический запуск программ, после чего запускает бесконечный цикл поиска и остановки процессов целого ряда приложений и системных утилит. Среди них — Диспетчер задач, Блокнот, Редактор реестра, Командная строка, Настройка системы, браузеры Microsoft Internet Explorer, Google Chrome, Firefox, Opera, приложения ProcessHacker, Process Monitor и некоторые другие. С применением редко используемой методики троянец отключает запущенный на зараженном компьютере брандмауэр. Затем Trojan.Winlock.7372 создает невидимое полноэкранное окно, в которое загружает с принадлежащего злоумышленникам сайта Web-страницу с требованием оплатить разблокировку ОС (в размере 200 долл.). Подтверждающий оплату код передается на сервер вирусописателей по сети. В случае обращения к управляющему серверу в окне браузера демонстрируется предложение ввести логин и пароль для авторизации в системе управления сетью данных троянцев, с помощью которой злоумышленники могут следить за распространением Trojan.Winlock.7372 и менять его настройки.