Trojan-Ransom.Win32.Foreign.ozl

Троянская программа, блокирующая работу компьютера с целью получить выкуп за восстановление работы.

Технические детали

Троянская программа, блокирующая работу компьютера с целью получить выкуп за восстановление работы. Является приложением Windows (PE EXE-файл). Упакована UPX и неизвестным пакером.

Md5: 51efd076876fe7fa49fe69f377720e85.

Файл имеет исходный размер 207872 байт, 41472 байта после распаковки UPX, 500224 байт в полностью распакованном виде. Написана на Delphi.

Инсталяция

После запуска вредоносная программа копирует себя по следующему пути:

%appdata%\ArchiverforWin.exe
C целью автозагрузки вредоносное ПО прописывает скопированный файл в следующие ключи реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\<RandomName>
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\<RandomName>
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Для усложнения противодействия деструктивной активности, вредоносной программой производятся следующие действия:

Отключение доступа к элементам рабочего стола по средставам ключа реестра

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\Explorer\NoDesktop
Отключение диспетчера задач Windows при помощи ключа реестра
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
Отключение редактора реестра Windows при помощи ключа реестра
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools
Отключение отображения иконок при помощи ключа реестра
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideIcons
Для запуска мастера очистки рабочего стола устанавливается большое время с момента его последнего использования при помощи ключа
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Explorer\Desktop\CleanupWiz\Last used time
Производится добавление нового элемента ActiveX по средставам создания ключа реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{<RandomValue>}\<RandomName>
С содержимым:
“%appdata%\ArchiverforWin.exe /ActiveX”
Вредоносная программа разрешает выполнение сценариев ActiveX в следующих сетевых зонах безопасности:
Мой компьютер Местная инстрасеть Интернет 
По средствам создания ключа с именем 1400 и значением «0» в соответствующих зонам ветках реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Internet Settings\Zones\0\1400
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Internet Settings\Zones\1\1400
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Internet Settings\Zones\3\1400

Деструктивная активность

Троянская программа в цикле скрывает окна со следующими классами:

Shell_TrayWnd shell_traywnd progman Program Manager 
Это сделано для сокрытия окон диспетчера задач Windows и окон системных элементов, таких как панель задач «Пуск».

Основной деструктивной активностью данного вредоносного ПО является блокировка доступа пользователя к системе с требованием заплатить деньги за разблокировку компьютера. После активации вредоносная программа в целях идентификации передаёт get запрос на страницу злоумышленников:

http://stroke.******.com/partner3/universalpanel/gate.php
В запросе присутствуют следующие параметры:
hwid - серийный номер диска C:\, полученный при помощи функции GetVolumeInformation
pc – имя компьютера.
localip – локальный IP адрес ПК.
winver – версия и разрядность операционной системы.
Пример такого запроса выглядит так:
http://stroke.******/partner3/universalpanel/gate.php?hwid=5458736951&pc=testPC&localip=192.168.3.4&winver=Windows 7 x64
После этого троянская программа получает данные, которые будут отображены пользователю, как правило это текст с требованием выкупа и платёжные реквизиты. На момент анализа данного образца вредоносного ПО URL, по которому вредоносная программа пытается получить эти данные оказался недоступен:
http://stroke.******.com/partner3/redirector/redirector.php
Исходя из того факта, что внутри образца вредоносной программы были найдены несколько строк на немецком языке, вероятно, что во время своей полноценной работы вредоносная программа выглядит подобным образом:


Рекомендации по удалению

  1. Используя другой компьютер запишите на сменный носитель образ Kaspersky Rescue Disk и воспользуйтесь утилитой Kaspersky WindowsUnlocker, соблюдая инструкцию: http://support.kaspersky.ru/viruses/solutions?qid=208642240
  2. Используя редактор реестра, встроенный в Kaspersky Rescue Disk (инструкция по работе: http://support2.kaspersky.ru/8110) удалите ключи реестра, в значении которых находится файл, находящийся в папке %AppData% в следующих ветках реестра:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  3. Используя функционал работы с диском Kaspersky Rescue Disk, удалите файл, путь к которому находился в ключах реестра из пункта 2.
  4. Установите значение «0» следующим ключам реестра:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideIcons
  5. Произвести полную проверку компьютера Антивирусом Касперского с обновлёнными антивирусными базами (скачать пробную версию: http://www.kaspersky.ru/trials).