Посчастливилось мне в субботу в первых рядах наткнуться на новый вирус. Сейчас еду лечить очередной еще один случай. По виду обычный винлок, но, в отличие от большинства собратьев, представляет действительно угрозу для информации счастливых обладателей "продвинутой" семерки, т.к. пользуется ее возможностями по шифрованию файлов.

Вирус выдает обычное сообщение, что MS Essentials обнаружил на этом компе порно и прочее бла-бла-бла, поэтому компьютер заблокирован. Для разблокировки нужно прилсать 500р на счет телефона самарского МТС (варьируется из списка примерно 80 номеров), разблокировочный код якобы будет выбит на чеке от терминала (ага-ага , конечно-конечно). В общем, кто-то из МТС уроды, и явно скорее всего в доле.
исправления внес, т.к. отклик от МТС сильно повысил мое отношение к этой компании, некогда уапавшее ниже плинтуса.

На вечер воскресенья ведущие производители антивирусов еще не имели вакцины от этой штуки, информация о его поведени накапливается. Пока известно, что заражение происходит с разных "мусорных" сайтов, но иногда, например, через форум по садоводству. Всякие мейл-ру-спутники и агенты тоже обожают тащить заразу на свой компьютер. Повбывав бы. Где нынче встретил - уже убил, благо повод достаточный

При заражении создается несколько екзешников с именем из длинных комбинаций цифр в каталоге пользователя (W7 c:\users\%user_name%\, XP c:\documents&settings\%user_name%\) и других местах диска, экзешники вычисляются по времени создания. Из реестра надо еще вычищать ссылки на него через Winlogon.

Для счастливых обладателей продвинутой семерки, обретших себе особо крYтой геморрой, повторяю: в данном случае риск потери данных ДЕЙСТВИТЕЛЬНО существует! Поэтому первым делом спасайте инфу, но ни в коем случае НЕ ВКЛЮЧАЯ зараженную систему, а сняв винчестер или загрузившись с LiveCD/флешки.

Пока все, времени на подробности нет. Продолжение, возможно, следует.