Показано с 1 по 1 из 1.

Trojan-Ransom.Win32.Krotten.hu

  1. #1
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387

    Trojan-Ransom.Win32.Krotten.hu

    Видимые проявления:
    • Блокировка работы ПК и отображение требования заплатить 10$ за разблокировку
    • Заблокирован проводник и рабочий стол
    • Заблокировано большинство элементов меню "Пуск"
    • Заблокирован редактор реестра
    • Заблокирован диспетчер задач
    Синонимы:
    • Trojan.Plastix.116 (DrWEB)
    • Trojan.Krotten.EF (BitDefender)
    • TROJ_RANSOM.AD (TrendMicro)

    Описание:
    Исполняемый файл вредоносной программы имеет размер 139 кб, иконка визуально похожа на иконку самораспаковывающегося RAR архива. Программа содержит простейшую защиту от анализа (применен протектор Obsidium). В случае запуска данная вредоносная программа выполняет типовой набор операций, специфичный для семейства Krotten:
    1. Создает политику ограниченного использования программ (ключ реестра Software\Microsoft\Windows\CurrentVersion\Policies \Explorer\RestrictRun\), блокируя запуск всех приложений, кроме thebat.exe, msimn.exe, iexplore.exe, MyIE.exe, Maxthon.exe, sbrowser.exe, absetup.exe, avant.exe, Photo.exe, notepad.exe, WinRAR.exe, WINZIP32.EXE
    2. Блокирует запуск UsbStor (это важный системный драйвер - "Драйвер запоминающих устройств для USB"), нарушая тем самым работу с Flash накопителями
    3. Безобразничает с настройками проводника (отключает отображение Пуск/Выполнить в частности)
    4. Создает массу политик безопасности для ограничения доступа пользователя к настройке системы и ограничивает почти весь функционал браузера
    5. Подменяет стартовую страничку Internet Explorer (ссылка на страничку сайта poetry.rotten.com) и заголовок окна IE (нецензурная брань)
    6. Выполняется отключение контекстного меню у системных папок
    7. Удаляет папку <Общие документы> из папки Мой компьютер (физически папка не удаляется - производится только удаление {59031a47-3f72-44a7-89c5-5595fe6b30ee} из ключа реестра SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer \MyComputer\NameSpace\DelegateFolders\
    8. Нарушает работу системы оповещения о нехватке свободного места на диске (включает вывод сообщение при условии, что на диске свободно менее 99% места)
    9. Нарушает отображение обоев рабочего стола
    10. Создает нестандартную маску форматирования времени в региональных настройках, что приводит в частности к отображению в трее нецензурного слова вместо часов и нарушает работу всех программ, отображающих время сообразно системным настройкам форматирования
    11. Создает сообщение, отображаемое в ходе перезагрузки системы - заголовок DANGER, текстовка - вымогательство 10$ или 500 рублей за восстановление ПК
    12. Блокирует политиками запуск редактора реестра и диспетчера задач
    13. Пытается создать копии своего исполняемого файла под именами C:\WINDOWS\Provisioning\Schemas\lsass.exe и C:\WINDOWS\WinSxS\Manifests\explorer.exe
    14. Нарушает возможность импорта REG файлов путем уничтожения ключа реестра regfile\shell\open\command
    15. Нарушает отображение и открытие дисков в проводнике
    16. Создает пустые каталоги на системном диске с именами DOS и VISTA, при этом устанавливает атрибуты скрытый и системный папкам "Documents and Settings", "Program Files" и WINDOWS
    После выполнения данных операций троян отображает окно с требованием выкупа:
    Пораженный компьютер после перезагрузки выглядит следующим образом - <обои> рабочего стола смещены влево, иконок на рабочем столе нет, меню свойств рабочего стола не работает, меню "Пуск" урезано буквально до нуля, редактор реестра и диспетчер задач блокированы, в проводнике не отображаются HDD, в ходе перезагрузки выводится сообщение с требованием выкупа (в нем указана сумма и контактный email).

    Лечение:
    Несмотря на массу блокировок, все не так плохо и работу системы можно восстановить. Во первых, можно запустить проводник через меню, вызываемое при нажатии правой кнопки мыши над кнопкой <Пуск>, либо нажав сочетание клавиш Win+E. Получить доступ к диску из него не получится, но запустить программу с разрешенным именем (см. п.п. 1) в принципе можно. Однако чтобы не угадывать имя (набор разрешенных программ может меняться в различных модификациях трояна, да и скачать программу будет проблематично), достаточно выполнить следующие операции:
    1. Загрузить систему в <защищенном режиме с поддержкой командной строки>

    2. В открывшемся после загрузке окне консоли набрать команды

    Код:
     
     REG DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
     REG DELETE HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
    После каждой команды следует нажать ввод, будет выдан запрос подтверждения удаления ключа реестра, на который следует ответить утвердительно, нажав Y. Далее можно запустить проводник, выполнив команду explorer.exe. Ограничения проводника при этом уже не будет действовать, как следствие можно будет запустить из проводника любое приложение и открыть любой диск.

    3. Запустить AVZ, вызвать меню "Файл\Восстановление системы", отметить скрипты номер 1 - 9, 11 и 17 и выполнить их, после чего перезагрузить компьютер. После перезагрузки работа компьютера почти полностью восстановится, остается только устранить последние следы ущерба, выполнив скрипт (меню "Файл\Выполнить скрипт") в AVZ:
    Код:
     
    begin 
     RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\UsbStor', 'Start', 1); 
     RegKeyStrParamWrite('HKCU', 'Control Panel\International', 'sTimeFormat', 'H:mm:ss'); 
     RegKeyParamDel('HKLM', 'SYSTEM\CurrentControlSet\Services\lanmanserver\parameters', 'DiskSpaceThreshold'); 
     RegKeyCreate('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\DelegateFolders\{59031a47-3f72-44a7-89c5-5595fe6b30ee}');  
     DeleteDirectory('%SysDisk%\DOS');
     DeleteDirectory('%SysDisk%\VISTA'); 
     ExecuteFile('attrib -R -S -H "'+NormalFileName('%WinDir%')+'"', '', 1, 10000, true); 
     ExecuteFile('attrib -R -S -H "'+NormalFileName('%PF%')+'"', '', 1, 10000, true);  
     ExecuteFile('attrib -R -S -H "'+NormalFileName('%ProfileDir%')+'"', '', 1, 10000, true); 
     RebootWindows(true); 
    end.
    Примечания по работе скрипта - команда DeleteDirectory скриптязыка AVZ удаляет только пустые каталоги, поэтому не представляет опасности в случае, если на компьютере существуют папки DOS и VISTA с некоторой информацией.
    Изображения Изображения
    Последний раз редактировалось Зайцев Олег; 21.04.2009 в 12:28.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

Похожие темы

  1. Trojan.Win32.Krotten.bk
    От Зайцев Олег в разделе Описания вредоносных программ
    Ответов: 8
    Последнее сообщение: 04.09.2009, 23:57
  2. Trojan.Win32.Krotten.gr
    От djkuf в разделе Помогите!
    Ответов: 34
    Последнее сообщение: 22.02.2009, 05:52
  3. Trojan.Win32.Krotten.fx
    От Alexsivak в разделе Помогите!
    Ответов: 16
    Последнее сообщение: 22.02.2009, 05:45
  4. Подозрение на Trojan.Win32.Krotten.fq
    От Sky_Tech в разделе Помогите!
    Ответов: 29
    Последнее сообщение: 22.02.2009, 04:57
  5. Trojan.Win32.Krotten.fx
    От Зайцев Олег в разделе Описания вредоносных программ
    Ответов: 2
    Последнее сообщение: 25.04.2008, 09:49

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01014 seconds with 17 queries