Security Lab

ntos.exe

ntos.exe

Процесс, который использует вредоносная программа, шифрующая файлы пользователя на зараженном компьютере.

Процесс, который использует вредоносная программа, шифрующая файлы пользователя на зараженном компьютере. Является приложением Windows (PE EXE-файл). Упакована UPX. Размер в пакованом виде — 58368 байт.

После запуска вирус формирует уникальный ключ, предназначенный для шифрования файлов, и сохраняет его в системном реестре:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
"WinCode" = "<ключ шифрования>"

Также вредоносная программа добавляет себя в ключ автозапуска системного реестра:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"UserInit" = "%System%\userinit.exe, %System%\ntos.exe"

Значение данного ключа периодически проверяется из системных процессов, в которые внедрился вредоносный код (например, «Winlogon.exe»). В случае если значение ключа меняется (удаляется «%System%\ntos.exe»), то оно автоматически восстанавливается из системного процесса.

Кроме того, внедренный код защищает от модификации, переименования и копирования файл, инсталлированный в системный каталог — «%System%\ntos.exe».

Далее, если текущая дата находится в диапазоне с 10 по 15 июля 2007 года включительно, вирус приступает к шифрованию всех найденных пользовательских файлов со следующими расширениями:

.12m
.3ds
.3dx
.4ge
.4gl
.7z
.a
.a86
.abc
.acd
.ace
.act
.ada
.adi
.aex
.af3
.afd
.ag4
.ai
.aif
.aifc
.aiff
.ain
.aio
.ais
.akf
.alv
.amp
.ans
.ap
.apa
.apo
.app
.arc
.arh
.arj
.arx
.asc
.asm
.ask
.au
.bak
.bas
.bb
.bcb
.bcp
.bdb
.bh
.bib
.bpr
.bsa
.btr
.bup
.bwb
.bz
.bz2
.c
.c86
.cac
.cbl
.cc
.cdb
.cdr
.cgi
.cmd
.cnt
.cob
.col
.cpp
.cpt
.crp
.cru
.csc
.css
.csv
.ctx
.cvs
.cwb
.cwk
.cxe
.cxx
.cyp
.d
.db
.db0
.db1
.db2
.db3
.db4
.dba
.dbb
.dbc
.dbd
.dbe
.dbf
.dbk
.dbm
.dbo
.dbq
.dbt
.dbx
.dfm
.djvu
.dic
.dif
.dm
.dmd
.doc
.dok
.dot
.dox
.dsc
.dwg
.dxf
.dxr
.eps
.exp
.f
.fas
.fax
.fdb
.fla
.flb
.frm
.fm
.fox
.frm
.frt
.frx
.fsl
.gtd
.gif
.gz
.gzip
.h
.ha
.hh
.hjt
.hog
.hpp
.htm
.html
.htx
.ice
.icf
.inc
.ish
.iso
.jar
.jad
.java
.jpg
.jpeg
.js
.jsp
.key
.kwm
.lst
.lwp
.lzh
.lzs
.lzw
.ma
.mak
.man
.maq
.mar
.mbx
.mdb
.mdf
.mid
.mo
.myd
.obj
.old
.p12
.pak
.pas
.pdf
.pem
.pfx
.php
.php3
.php4
.pgp
.pkr
.pl
.pm3
.pm4
.pm5
.pm6
.png
.ppt
.pps
.prf
.prx
.ps
.psd
.pst
.pw
.pwa
.pwl
.pwm
.pwp
.pxl
.py
.rar
.res
.rle
.rmr
.rnd
.rtf
.safe
.sar
.skr
.sln
.swf
.sql
.tar
.tbb
.tex
.tga
.tgz
.tif
.tiff
.txt
.vb
.vp
.wps
.xcr
.xls
.xml
.zip

В каждый каталог, файлы которого были зашифрованы, вредоносная программа помещает файл «read_me.txt» следующего содержания:

Hello, your files are encrypted with RSA-4096 algorithm (http://en.wikipedia.org/wiki/RSA).
You will need at least few years to decrypt these files without our software. All your private information for last 3 months were collected and sent to us.

To decrypt your files you need to buy our software. The price is $300.

To buy our software please contact us at: xxxxx@xxxx.com and provide us your personal code -XXXXX. After successful purchase we will send your decrypting tool, and your private information will be deleted from our system.

If you will not contact us until 07/15/2007 your private information will be shared and you will lost all your data.

 

Glamorous team

Также вирус создает в системном каталоге Windows скрытый каталог с именем «wsnpoem», в котором находятся два пустых файла — «video.dll» и «audio.dll».

name="doc2"> Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:

  1. Путем добавления любого символа в конец имени вредоносного модуля изменить значение ключа системного реестра . Например:
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "UserInit" = "%System%\userinit.exe, %System%\ntos.exe_"
  2. Перезагрузить компьютер.
  3. Вручную удалить следующий файл из системного каталога Windows:
    ntos.exe
  4. Для расшифровки файлов, зашифрованных в результате деятельности данной вредоносной программы, вы можете вопспользоваться бесплатной утилитой. Ознакомиться с информацией по ее использованию и скачать утилиту вы можете на сайте технической поддежки «Лаборатории Касперского».