Security Lab

Trojan-Ransom.Win32.PornoAsset.hg

Trojan-Ransom.Win32.PornoAsset.hg

Троянец-вымогатель, который блокирует работу OC. Является приложением Windows (PE-EXE файл).

Технические детали

Троянец-вымогатель, который блокирует работу OC. Является приложением Windows (PE-EXE файл). Имеет размер 24576 байт. Упакована неизвестным упаковщиком. Распакованный размер – около 15360 КБ. Написана на С++.

Инсталляция

Создает копии своего оригинального файла под следующими именами:

%AllUsersAppData%\22cc6c32.exe
%System%\taskmgr.exe
%System%\dllcache\taskmgr.exe
%System%\userinit.exe
%System%\dllcache\userinit.exe
%AllUsersAppData%\.exe

Где - последовательность из 11 букв латинского алфавита и цифр, например "U9pFUapFVaq".

В зависимости от версии операционной системы может создавать копию своего файла с именами:

%WinDir%\explorer.exe
%System%\dllcache\explorer.exe
Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в один из ключей автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]  
"Shell" = "%AllUsersAppData%\22cc6c32.exe"

Деструктивная активность

Для перезаписи системных файлов при создании копий своего файла вызывает из системной библиотеки "sfc_os.dll" недокументированную функцию с целью временного отключения WFP (Windows File Protection).

Также троянец создает копии системных файлов:

  1. файл
    %System%\userinit.exe
    сохраняет с именем:
    %System%\03014D3F.exe
  2. файл
    %WinDir%\explorer.exe
    сохраняет с именем:
    %WinDir%\7C3B2A7D.exe
Для контроля уникальности своего процесса в системе создает уникальный идентификатор с именем:
BFFF5675-ADC0-4740-81FF-7540597A0DC5

При этом номер телефона выбирается случайным образом из следующих:

8-981-753-98-**
8-981-753-98-**
8-981-753-98-**
8-981-753-98-**
8-981-753-98-**
8-981-753-99-**
8-981-753-99-**
8-981-753-99-**
8-981-757-48-**
8-981-759-87-**

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Поскольку данный троянец не имеет кодов разблокировки, загрузить Windows с Live CD или подключить жесткий диск к другому компьютеру и выполнить нижеуказанные действия.
  2. Удалить файлы:
    %AllUsersAppData%\22cc6c32.exe  
    %System%\taskmgr.exe
    %System%\dllcache\taskmgr.exe
    %System%\userinit.exe
    %System%\dllcache\userinit.exe
    %AllUsersAppData%\<rnd>.exe
  3. Переименовать:
    Файл
    %System%\03014D3F.exe
    переименовать в файл:
    %System%\userinit.exe
    Файл %WinDir%\7C3B2A7D.exe
    
      		переименовать в файл:
      		
    %WinDir%\explorer.exe
  4. Восстановить файл:
    %System%\taskmgr.exe
  5. Установить следующее значение для параметра ключа системного реестра:
    [HKLM\SOFTWARE\Microsoft\Windows NT\  CurrentVersion\Winlogon]  
    "Shell" = "explorer.exe"

Ваша цифровая безопасность — это пазл, и у нас есть недостающие детали

Подпишитесь, чтобы собрать полную картину