Trojan Winlock 5490, созданный на языке Си, проникает только на компьютеры, операционная система которых включает французскую локализацию. Троянское приложение обладает собственными инструментами против отладки: в процессе активации осуществляется проверка на наличие запущенных виртуальных машин VirtualBox, VMWare, QEmu и других, и при обнаружении данных программ, вирус прекращает свою деятельность.
Напомню, что большая часть блокировщиков работает автономно. В них интегрирован код снятия блокировки компьютера либо в собственных ресурсах, либо вычисляют его на основе ряда значений, либо такой код отсутствует совсем. Trojan Winlock 5490 относится к последнему типу вымогателей: вирус автоматически удаляется через неделю после заражения, однако, заблокировав систему, он периодически соединяется с удаленным сервером, передавая туда данные о зараженной машине.
Проникнув на машину жертвы, Trojan Winlock 5490 активирует процесс svchost.exe и интегрирует в него собственный код, после чего скрывает Панель задач и закрывает все потоки процессов taskmgr.exe и explorer.exe. Затем троянец добавляет себя в ветку системного реестра, которая отвечает за автоматическую загрузку программ, и выводит на монитор картинку с требованием перечислить 100 евро при помощи карт оплаты платежных сервисов Ukash или Paysafecard. Если пользователь вводит номер карты, вся информация пересылается на удаленный сервер злоумышленников, а в ответ вирус выдает сообщение примерно следующего содержания: «Платеж будет обработан в течение суток».
Поскольку данное приложение не применяет код разблокировки, всем пострадавшим рекомендуется выполнить полную проверку системы, используя загрузочный диск. Также можно попробовать переставить в BIOS текущую дату (изменив ее на несколько недель вперед), после чего обязательно просканировать все диски антивирусом. Также можно самостоятельно проверить раздел реестра Software\Microsoft\Windows\CurrentVersion\Run\ на наличие посторонних программ.
