Trojan-Ransom.Win32. FraudBlocker.c

Троянская программа, которая блокирует работу компьютера с целью получить выкуп за восстановление работы. Является приложением Windows (PE-EXE файл). Имеет размер 108544 байта. Написана на Delphi.

Инсталляция

После запуска троянец копирует свое тело в следующий файл:

%System%\portmap.exe

Деструктивная активность

После запуска троянец выполняет следующие действия:

1. для автоматического запуска своего исполняемого файла при каждом следующем старте системы создает ключи системного реестра:
   [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   "DisableLocalUserRun" = "1"
   "DisableLocalUserRunOnce" = "1"
   
   [HKLM\Software\Microsoft\Windows\CurrentVersion\policies\explorer]
   "DisableLocalMachineRun" = "1"
   "DisableLocalMachineRunOnce" = "1"
   "DisableLocalUserRun" = "1"
   "DisableLocalUserRunOnce" = "1"
   
   [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   "run" = "%System%\portmap.exe"
   
   [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   "portmap.exe" = "%System%\portmap.exe"
   
   [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   "run" = "%System%\portmap.exe"
   
   [HKLM\Software\Microsoft\Windows\CurrentVersion\policies\explorer\run]
   "1" = "%System%\portmap.exe"
2. Создает ярлык:

   %USERPROFILE%\Start Menu\Programs\Startup\Quick Office.lnk

   Ярлык указывает на файл:

   %System%\portmap.exe

3. Блокирует запуск Редактора реестра, а также Диспетчера задач Windows путем создания следующих ключей системного реестра:
   [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   "DisableTaskMgr" = "1"
   "DisableRegistryTools" = "1"
4. Скрывает окно с именем класса "Shell_TrayWnd" (Панель задач).
5. Завершает работу процесса "explorer.exe".
6. Выводит на передний план окно, перекрывающее все окна запущенных пользователем процессов. Окно имеет следующий вид:
   
   

   

   Нажатие на кнопку "Не лечить" приводит к перезагрузке системы.