Программа-вымогатель[1][2], программа-шантажист[3], винлокер (англ. ransomware — контаминация слов ransom — выкуп и software — программное обеспечение, winlocker — блокировщик Windows) — тип зловредного программного обеспечения, предназначен для вымогательства, блокирует доступ к компьютерной системе или предотвращает считывание записанных в нём данных (часто с помощью методов шифрования), а затем требует от жертвы выкуп для восстановления исходного состояния.
В настоящий момент существует несколько кардинально отличающихся подходов в работе программ-вымогателей:
После установки Trojan.Winlock/LockScreen на компьютер жертвы программа блокирует компьютер с помощью системных функций и прописывается в автозагрузке (в соответствующих ветках системного реестра). При этом на экране пользователь видит какое-либо выдуманное сообщение, к примеру, о якобы незаконных действиях, только что совершенных пользователем (даже со ссылками на статьи законов), и требование выкупа, нацеленное на испуг неопытного пользователя — отправить платное СМС, пополнить чей-либо счёт[4], в том числе анонимным способом вроде BitCoin. Причём, трояны этого типа часто не проверяют пароль. При этом компьютер остаётся в рабочем состоянии. Часто присутствует угроза уничтожения всех данных, но это всего лишь попытка запугать пользователя[5]. Иногда в вирус все же включают инструменты уничтожения данных, таких как шифрование по асимметричному ключу, но они либо не срабатывают должным образом, либо имеет место низкоквалифицированная реализация. Известны случаи наличия ключа расшифровки файлов в самом коде трояна, а также технической невозможности расшифровки данных самим взломщиком (несмотря на оплаченный выкуп) по причине отсутствия или утери этого ключа даже у него.
Иногда удается избавиться от вируса, воспользовавшись формами разблокировки на антивирусных сайтах или специальными программами, созданными антивирусными компаниями для разных географических регионов действия троянов и, как правило, доступными свободно. Кроме того, в некоторых случаях, в безопасном режиме возможно в диспетчере задач отыскать процесс трояна, найти его файл и удалить. Также, стоит учесть, что троян способен, в некоторых случаях, сохранять работоспособность и в безопасном режиме. В таких случаях, необходимо войти в безопасный режим с командной строкой и запустить процесс explorer в консоли и удалить троян либо воспользоваться сервисами антивирусных программ.
После установки на компьютер жертвы программа зашифровывает большую часть рабочих файлов (например, все файлы с распространёнными расширениями). При этом компьютер остаётся работоспособным, но все файлы пользователя оказываются недоступными. Инструкцию и пароль для расшифровки файлов злоумышленник обещает прислать за деньги.