Trojan-Ransom.Win32. PinkBlocker.bhq

Троянская программа, блокирующая нормальную работу компьютера с целью получить выкуп за восстановление исходного состояния системы. Является приложением Windows (PE-EXE файл). Имеет размер 391168 байт. Упакована неизвестным упаковщиком. Распакованный размер – около 821 КБ. Написана на Delphi.

Инсталляция

После запуска троянец копирует свое тело в следующий файл:

%ALLUSERSPROFILE%\systems.exe

Файл создается с атрибутом "скрытый" (hidden).

Для автоматического запуска созданной копии при каждом следующем старте системы создается ключ системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\run]
"Shell" = "%ALLUSERSPROFILE%\systems.exe"

Далее троянец создает в своем рабочем каталоге сценарий командного интерпретатора, запускает его и завершает свою работу — данный сценарий удаляет оригинальный файл троянца и самоуничтожается.
name="doc3">

Деструктивная активность

Троянец отображает поверх всех окон, открытых в системе, окно следующего вида:

Кроме того, троянец блокирует отображение окна Диспетчера задач.