Троянская программа, блокирующая работу компьютера с целью получить выкуп за восстановление работы.
Технические детали
Троянская программа, блокирующая работу компьютера с целью получить выкуп за восстановление работы. Является приложением Windows (PE EXE-файл). Упакована UPX и неизвестным пакером.
Md5: 51efd076876fe7fa49fe69f377720e85.
Файл имеет исходный размер 207872 байт, 41472 байта после распаковки UPX, 500224 байт в полностью распакованном виде. Написана на Delphi.
Инсталяция
После запуска вредоносная программа копирует себя по следующему пути:
%appdata%\ArchiverforWin.exeC целью автозагрузки вредоносное ПО прописывает скопированный файл в следующие ключи реестра:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit Для усложнения противодействия деструктивной активности, вредоносной программой производятся следующие действия:
Отключение доступа к элементам рабочего стола по средставам ключа реестра
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\Explorer\NoDesktop Отключение диспетчера задач Windows при помощи ключа реестраHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr Отключение редактора реестра Windows при помощи ключа реестраHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools Отключение отображения иконок при помощи ключа реестраHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideIcons Для запуска мастера очистки рабочего стола устанавливается большое время с момента его последнего использования при помощи ключаHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Explorer\Desktop\CleanupWiz\Last used time Производится добавление нового элемента ActiveX по средставам создания ключа реестраHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{"%appdata%\ArchiverforWin.exe /ActiveX"Вредоносная программа разрешает выполнение сценариев ActiveX в следующих сетевых зонах безопасности:
Мой компьютер Местная инстрасеть ИнтернетПо средствам создания ключа с именем 1400 и значением «0» в соответствующих зонам ветках реестра:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Internet Settings\Zones\0\1400
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Internet Settings\Zones\1\1400
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Internet Settings\Zones\3\1400
Деструктивная активность
Троянская программа в цикле скрывает окна со следующими классами:
Shell_TrayWnd shell_traywnd progman Program ManagerЭто сделано для сокрытия окон диспетчера задач Windows и окон системных элементов, таких как панель задач «Пуск».
Основной деструктивной активностью данного вредоносного ПО является блокировка доступа пользователя к системе с требованием заплатить деньги за разблокировку компьютера. После активации вредоносная программа в целях идентификации передаёт get запрос на страницу злоумышленников:
http://stroke.******.com/partner3/universalpanel/gate.phpВ запросе присутствуют следующие параметры:hwid - серийный номер диска C:\, полученный при помощи функции GetVolumeInformation
pc - имя компьютера.
localip – локальный IP адрес ПК.
winver – версия и разрядность операционной системы. Пример такого запроса выглядит так:http://stroke.******/partner3/universalpanel/gate.php?hwid=5458736951&pc=testPC&localip=192.168.3.4&winver=Windows 7 x64 После этого троянская программа получает данные, которые будут отображены пользователю, как правило это текст с требованием выкупа и платёжные реквизиты. На момент анализа данного образца вредоносного ПО URL, по которому вредоносная программа пытается получить эти данные оказался недоступен:
http://stroke.******.com/partner3/redirector/redirector.phpИсходя из того факта, что внутри образца вредоносной программы были найдены несколько строк на немецком языке, вероятно, что во время своей полноценной работы вредоносная программа выглядит подобным образом:
Рекомендации по удалению
- Используя другой компьютер запишите на сменный носитель образ Kaspersky Rescue Disk и воспользуйтесь утилитой Kaspersky WindowsUnlocker, соблюдая инструкцию: http://support.kaspersky.ru/viruses/solutions?qid=208642240
- Используя редактор реестра, встроенный в Kaspersky Rescue Disk (инструкция по работе: http://support2.kaspersky.ru/8110 ) удалите ключи реестра, в значении которых находится файл, находящийся в папке %AppData% в следующих ветках реестра:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - Используя функционал работы с диском Kaspersky Rescue Disk, удалите файл, путь к которому находился в ключах реестра из пункта 2.
- Установите значение «0» следующим ключам реестра:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideIcons - Произвести полную проверку компьютера Антивирусом Касперского с обновлёнными антивирусными базами (скачать пробную версию: http://www.kaspersky.ru/trials ).