Winlock is Back

(20/11-2012) – En ny version af Winlock er i omløb. I øjeblikket påstås den at være fra FBI.

Når Winlock er startet på den inficerede pc, ændrer Winlock.7372 registreringsdatabasen og finder processer fra forskellige programmer: joblisten, notepad, MSIE, Chrome, Firefox, Opera, osv.

Endelig skaber Winlock.7372 et usynligt vindue over hele skærmen og downloader et billede fra piraterne, som beder dig betale for at fjerne blokeringen.

Beskeden er som regel på engelsk og kommer fra FBI og oplyser brugeren om, at han har forbrudt sig imod amerikansk lov.

Piraterne kræver 200$ for at fjerne denne blokering (de kan betales via MoneyPak) og truer brugeren med, at han kan blive arresteret, hvis han ikke betaler inden for 72 timer.

Man får så en bekræftelseskode, som skal sendes til den side, man ser. Hvis man kommer til piraternes side, bliver man bedt om et brugernavn og password. Dette bruges af piraterne, så de kan holde styr på, hvordan Winlock spredes, så den kan tilpasses.

Derfor kan man finde den teknik mange steder: Rusland, Tyskland, Belgien eller Frankrig. Så du vil se beskeden i et forskellig sprog, afhængigt af hvilken version du får.

Angrebet bygger på Javas nyeste version. Hvis man er på besøg på en inficeret side (altså, en af piraternes side), vil man se, at man behøver en plugin for at kunne se sidens indhold. Hvis du kommer prøver at installere denne plugin, bliver din pc inficeret. Det er en metode, som hedder “Java Drive By”.

Hvis du har gjort det, skal du genetablere dit system. For at gøre det skal du genstarte i fejlsikret tilstand og derefter scanne din harddisk. (Chill)