Le 19 juillet 2011

Les vagues de contamination des PC personnels par des programmes malveillants de la famille du Trojan.Winlock, dont la première a atteint les utilisateurs russes fin 2009 – début 2010, et la deuxième à l’été 2010, sont déjà du passé. Cependant, on constate actuellement une tendance à la propagation de ce type de menaces hors de Russie. Les spécialistes de Doctor Web avertissent les utilisateurs d’une nouvelle modification de ce trojan portant le nom Trojan.Winlock.3846 et visant un public international. Il ne s'agit pas encore d’une épidémie, mais c’est la deuxième menace de ce type détectée par Doctor Web ce mois-ci

Des millions d’utilisateurs en Russie ont été victimes des trojans de la famille Trojan.Winlock. Mais en Russie, cette vague commence à baisser grâce au projet https://www.drweb.com/unlocker/?lng=en, et à la collaboration étroite de Doctor Web avec les opérateurs mobiles russes. En revanche, aujourd’hui, ces trojans bloquant visent à toucher les utilisateurs hors de Russie.

A la différence du trojan Trojan.Winlock.3794 que nous avons déjà décrit précédemment, la nouvelle modification du programme extorqueur enregistre un lien vers lui-même dans la branche de la base de registre HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\userinit relative au démarrage des programmes par le processeur système winlogon au moment de l’entrée de l’utilisateur dans le système Windows. Par la suite, le système d’exploitation se retrouve bloqué au premier redémarrage de la machine après l’infection.

A la place de l’interface habituelle de Windows, l’écran de l’ordinateur infecté affiche un message absurde sur une faille d’un processus système à l’adresse 0x3BC3. Afin d’y remédier, l’utilisateur est invité à appeler l’un des numéros proposés pour obtenir un code à entrer dans le champ de déblocage. L’absurdité du message ne peut pas cacher le but des malfaiteurs : pousser l’utilisateur à appeler des numéros payants.

Cette modification du trojan bloquant a une particularité : les ressources du trojan contiennent plusieurs versions de la fenêtre bloquante en différentes langues destinées aux localisations de Windows correspondantes, il existe au moins des versions en anglais, en français et en russe.

Pour débloquer le système atteint pas ce trojan Trojan.Winlock.3846, utilisez le code de déblocage ci-dessous :

754-896-324-589-742

Doctor Web recommande aux utilisateurs de ne pas lancer sur leurs machines des applications téléchargées depuis des ressources douteuses ainsi que de ne pas ouvrir les pièces jointes reçues au sein de messages provenant d’expéditeurs inconnus. Il faut faire très attention aux messages des navigateurs web proposant d’installer des modules ou des plugins. Il est également fort recommandé d’utiliser un antivirus efficace. Si vous êtes atteint par le trojan Trojan.Winlock.3846, utilisez l’outil de secours antivirus de restauration du système Dr.Web LiveCD et l’utilitaire de désinfection Dr.Web CureIt!