Аналитики антивирусной лаборатории компании "Доктор Веб" - российского разработчика средств информационной безопасности - зафиксировали распространение новой модификации Trojan.Winlock, угрожающей жителям арабских стран. Напомним, что троянцы этого семейства приобрели широкую известность в России в 2010 году. Позднее появились модификации Trojan.Winlock для зарубежных пользователей. В частности, совсем недавно был обнаружен Trojan.Winlock.5490, угрожающий французским пользователям Microsoft Windows.
В последнее время появилось множество версий троянцев-блокировщиков, демонстрирующих жертвам сообщения на английском, французском, немецком и других европейских языках. Как правило, они имеют различную архитектуру и разные механизмы разблокирования операционной системы: либо с помощью специально введенного кода, либо автоматически по истечении определенного промежутка времени. На их фоне Trojan.Winlock.5416 - более чем примитивная программа-вымогатель: она не располагает ни кодом разблокировки, ни механизмом проверки локали операционной системы, а потому запускается в ОС Windows с любой языковой версией интерфейса. В базах Dr.Web имеется несколько записей для троянцев этого типа, большая часть которых демонстрирует в блокирующем окне текст на немецком языке, однако одна из модификаций Trojan.Winlock.5416 имеет весьма любопытное визуальное оформление:
Эта версия блокировщика выводит на экран пользователя текст на арабском языке, в котором говорится о том, что данный компьютер заблокирован в связи с просмотром порнографических сайтов и сцен насилия над детьми, что является нарушением законодательства Королевства Саудовская Аравия. Под угрозой шариатского суда пользователю предлагается заплатить 300 долларов путем покупки карты предоплаты Ucash, код которой следует ввести в окне программы-блокировщика. Данный код направляется на сайт злоумышленников (территориально расположенный в Латвии). Больше никаких деструктивных действий данный троянец не выполняет.
Следует отметить, что это - первый образец троянца-блокировщика на арабском языке, известный на сегодняшний день специалистам компании "Доктор Веб". Процедура удаления Trojan.Winlock.5416 вполне стандартна для вредоносных программ такого типа и потому не заслуживает отдельного описания. Сигнатура данной угрозы присутствует в вирусных базах Dr.Web.