Trojan-Ransom.Win32.Foreign.ozl

Технические детали

Троянская программа, блокирующая работу компьютера с целью получить выкуп за восстановление работы. Является приложением Windows (PE EXE-файл). Упакована UPX и неизвестным пакером.

Md5: 51efd076876fe7fa49fe69f377720e85.

Файл имеет исходный размер 207872 байт, 41472 байта после распаковки UPX, 500224 байт в полностью распакованном виде. Написана на Delphi.

Инсталяция

После запуска вредоносная программа копирует себя по следующему пути:

%appdata%\ArchiverforWin.exe

C целью автозагрузки вредоносное ПО прописывает скопированный файл в следующие ключи реестра: Для усложнения противодействия деструктивной активности, вредоносной программой производятся следующие действия:

Отключение доступа к элементам рабочего стола по средставам ключа реестра

Отключение диспетчера задач Windows при помощи ключа реестра Отключение редактора реестра Windows при помощи ключа реестра Отключение отображения иконок при помощи ключа реестра Для запуска мастера очистки рабочего стола устанавливается большое время с момента его последнего использования при помощи ключа Производится добавление нового элемента ActiveX по средставам создания ключа реестра С содержимым:

“%appdata%\ArchiverforWin.exe /ActiveX”

Вредоносная программа разрешает выполнение сценариев ActiveX в следующих сетевых зонах безопасности:

Мой компьютер Местная инстрасеть Интернет 

По средствам создания ключа с именем 1400 и значением «0» в соответствующих зонам ветках реестра:

Деструктивная активность

Троянская программа в цикле скрывает окна со следующими классами:

Shell_TrayWnd shell_traywnd progman Program Manager 

Это сделано для сокрытия окон диспетчера задач Windows и окон системных элементов, таких как панель задач «Пуск».

Основной деструктивной активностью данного вредоносного ПО является блокировка доступа пользователя к системе с требованием заплатить деньги за разблокировку компьютера. После активации вредоносная программа в целях идентификации передаёт get запрос на страницу злоумышленников:

http://stroke.******.com/partner3/universalpanel/gate.php

В запросе присутствуют следующие параметры: Пример такого запроса выглядит так: После этого троянская программа получает данные, которые будут отображены пользователю, как правило это текст с требованием выкупа и платёжные реквизиты. На момент анализа данного образца вредоносного ПО URL, по которому вредоносная программа пытается получить эти данные оказался недоступен:

http://stroke.******.com/partner3/redirector/redirector.php

Исходя из того факта, что внутри образца вредоносной программы были найдены несколько строк на немецком языке, вероятно, что во время своей полноценной работы вредоносная программа выглядит подобным образом:

Рекомендации по удалению

1. Используя другой компьютер запишите на сменный носитель образ Kaspersky Rescue Disk и воспользуйтесь утилитой Kaspersky WindowsUnlocker, соблюдая инструкцию: http://support.kaspersky.ru/viruses/solutions?qid=208642240
2. Используя редактор реестра, встроенный в Kaspersky Rescue Disk (инструкция по работе: http://support2.kaspersky.ru/8110 ) удалите ключи реестра, в значении которых находится файл, находящийся в папке %AppData% в следующих ветках реестра:
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
3. Используя функционал работы с диском Kaspersky Rescue Disk, удалите файл, путь к которому находился в ключах реестра из пункта 2.
4. Установите значение «0» следующим ключам реестра:
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideIcons
5. Произвести полную проверку компьютера Антивирусом Касперского с обновлёнными антивирусными базами (скачать пробную версию: http://www.kaspersky.ru/trials ).