Rosyjski trojan Winlock.20 zaszyfrował partycję systemową Windows i zażądał okupu.

Warszawa, 13:00 czasu miejscowego, redakcja CHIP-a. Za oknem jesienny deszczowy dzień. Dzwoni telefon. W słuchawce zdenerwowany męski głos. To Janusz K. skarży się, że nieznany szantażysta zaszyfrował mu partycję systemową Windows:

– Nie wiem, co robić. Na dysku mam wszystkie kontakty firmowe. Jak uruchomiłem rano komputer, zobaczyłem ekran logowania po rosyjsku. Nie za bardzo rozumiem, ale chyba chodzi o to, że mam wysłać SMS-a pod wskazany numer. Wtedy przyślą mi kod do odszyfrowania. A jak nie, to to coś wykasuje mi dane na amen. Co mam robić?

– Po pierwsze nie panikować – odpowiada jeden z naszych redakcyjnych kolegów. – Po drugie nie dotykać komputera, podać swój adres i czekać. Po trzecie zgodzić się na opisanie całej sprawy w CHIP-ie – to cena naszej wizyty. – Zgodził się. A więc przed nami nowe zadanie.

Czy, wyjeżdżając w ten dżdżysty dzień w teren, byliśmy przekonani, że nam się powiedzie? Prawdę mówiąc, nie do końca. Wiedzieliśmy tylko, że czeka nas prawdziwe wyzwanie: wirus albo trojan zaszyfrował dysk. Trzeba ten kod złamać, odzyskać dane, usunąć szkodnika, a na koniec upewnić się, że komputer Janusza będzie odporny na kolejne ataki. Ale – jak to mówią – no risk no fun. A więc w drogę!

Wizja lokalna: To szantaż!

Warszawa, 13:30 czasu miejscowego, docieramy na miejsce przestępstwa – niewielkie biuro kserograficzne na Powiślu, gdzie stoi zainfekowana maszyna. Właściciel Janusz K. miota się przy komputerze. Włączamy go i zamiast ekranu powitalnego Windows widzimy komunikat w języku rosyjskim. Na szczęście jeden z nas zna jako tako cyrylicę. Tekst na monitorze brzmi: „Płać lub płacz, bo nigdy nie zobaczysz swojego systemu!”. Ponadto znajdują się tam informacje, jak postępować, aby otrzymać kod odblokowujący. Sprawa jest jasna – to szantaż.

Żarty się skończyły! Dzwonimy do zaprzyjaźnionego z redakcją specjalisty. Igor Daniłow, znany lepiej jako Dr. Web, po zapoznaniu się ze sprawą stwierdza, że to prawdopodobnie Trojan.Winlock.20 – zupełnie nowy rodzaj konia trojańskiego. Szkodnik ma tylko jeden cel: wymuszenie okupu. Na szczęście Dr. Web nie pierwszy raz spotyka się z takim przypadkiem.
– Do tej pory „dwudziestka” szalała głównie u Ruskich, ale widać do Polski miała niedaleko – śmieje się i wyjaśnia, co należy zrobić, żeby odblokować peceta.

Idziemy za radą Igora i na stronie news.drweb.com wypełniamy formularz, w którym podajemy numer, pod jaki mieliśmy wysłać SMS do szantażysty. Jakieś 3 minuty później bezpłatnie otrzymujemy kod, który odblokowuje system i partycję. Janusz K. odczuwa wyraźną ulgę. Jednak to nie znaczy, że zażegnaliśmy niebezpieczeństwo – trojan wciąż jest na dysku. Dzięki nieocenionej pomocy Dr. Weba i ten problem udaje się nam szybko rozwiązać.

Zainfekowany komputer działał pod kontrolą systemu Windows XP Home PL. Uruchamiamy Wiersz polecenia, wybierając »Start | Uruchom«, i wpisujemy »reg-edit«. W edytorze Rejestru przechodzimy do gałęzi »HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer«, gdzie tworzymy nowy klucz typu »Wartość DWORD« o nazwie »NoControlPanel« i ustawiamy jego wartość na »1«. Ponownie uruchamiamy komputer. W trakcie restartu wciskamy [F8] i wybieramy tryb awaryjny. Znów otwieramy Rejestr – zgodnie z informacjami, jakie otrzymaliśmy od Dr. Weba, wirus utworzył w nim nowy klucz, który musimy usunąć ręcznie. Przechodzimy do gałęzi »HKEY__LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\”Userinit”« i kasujemy wszystkie wpisy typu »%Temp%\don[*].tmp«, gdzie etykieta [*] oznacza dowolny łańcuch znakowy. Na koniec uruchamiamy Windows w normalnym trybie. Trojan na dobre zniknął z komputera Janusza K., ale to jeszcze nie koniec naszego zadania.

Śledztwo: Jak zainfekowano peceta

Szkodniki, które znajdujemy na naszych dyskach, z reguły pochodzą z zainfekowanych stron w Sieci albo pobranych plików. Spytaliśmy Janusza, czy odwiedzał witryny ze scrakowanymi programami, np. www.cracks.am, lub używał aplikacji typu Azerus. Zaprzeczył. Nie odwiedzał także niebezpiecznych stron ani nie pobierał plików z Sieci. Twierdził również, że ma zainstalowanego antywirusa, firewalla, a system operacyjny jest na bieżąco aktualizowany.

Postanowiliśmy zweryfikować te informacje za pomocą aplikacji BTF Sniffer, która może być uruchamiana wprost z pamięci flash. Aby otrzymać jak najbardziej jasny obraz działalności Janusza na pececie, aktywowaliśmy najbardziej dokładne wyszukiwanie i nakazaliśmy programowi sporządzenie raportu w pliku tekstowym. Po chwili mieliśmy już przed oczami szczegółowe zestawienie: jakie pliki były otwierane, jakie zmieniane, jakie aplikacje były instalowane i które strony w Sieci odwiedził Janusz.