Удаление программ-вымогателей класса Trojan-Ransom
Целью действий программ-вымогателей класса Trojan-Ransom является блокирование доступа пользователя к данным на компьютере или ограничение возможностей работы на компьютере и требование выкупа за возврат к исходному состоянию системы. Отличие вредоносных программ класса Trojan-Ransom заключается в их изначальной коммерческой направленности. Каждая программа этого поведения является инструментом для получения денег киберпреступниками.
Технические детали программы:
Троянец-вымогатель, который блокирует работу OC. Является приложением Windows (PE-EXE файл). Имеет размер 24576 байт. Упакована неизвестным упаковщиком. Распакованный размер – около 15360 КБ. Написана на С++.
Инсталляция:
Создает копии своего оригинального файла под следующими именами: %AllUsersAppData%\22cc6c32.exe
%System%\taskmgr.exe %System%\dllcache\taskmgr.exe %System%\userinit.exe %System%\dllcache\userinit.exe
%AllUsersAppData%\.exe Где - последовательность из 11 букв латинского алфавита и цифр, например "U9pFUapFVaq".
В зависимости от версии операционной системы может создавать копию своего файла с именами: %WinDir%\explorer.exe
%System%\dllcache\explorer.exe Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в один из ключей автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell" = "%AllUsersAppData%\22cc6c32.exe"
Деструктивная активность:
Для перезаписи системных файлов при создании копий своего файла вызывает из системной библиотеки "sfc_os.dll" недокументированную функцию с целью временного отключения WFP (Windows File Protection).
Также троянец создает копии системных файлов:
файл %System%\userinit.exe сохраняет с именем: %System%\03014D3F.exe файл %WinDir%\explorer.exe сохраняет с именем: %WinDir%\7C3B2A7D.exe
Для контроля уникальности своего процесса в системе создает уникальный идентификатор с именем: BFFF5675-ADC0-4740-81FF-7540597A0DC5 После этого отображает окно по центру экрана:
При этом номер телефона выбирается случайным образом из следующих: 8-981-753-98-** 8-981-753-98-** 8-981-753-98-** 8-981-753-98-** 8-981-753-98-** 8-981-753-99-** 8-981-753-99-** 8-981-753-99-** 8-981-757-48-**
8-981-759-87-**
Рекомендации по удалению:
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия: Поскольку данный троянец не имеет кодов разблокировки, загрузить Windows с Kaspersky Rescue Disk (либо Dr.Web LIVE CD) или подключить жесткий диск к другому компьютеру и выполнить нижеуказанные действия. Удалить файлы:
%AllUsersAppData%\22cc6c32.exe %System%\taskmgr.exe %System%\dllcache\taskmgr.exe %System%\userinit.exe %System%\dllcache\userinit.exe %AllUsersAppData%\<rnd>.exe
Переименовать:
Файл %System%\03014D3F.exe переименовать в файл: %System%\userinit.exe Файл %WinDir%\7C3B2A7D.exe
переименовать в файл: %WinDir%\explorer.exe Восстановить файл:
%System%\taskmgr.exe
Установить следующее значение для параметра ключа системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Winlogon] "Shell" = "explorer.exe"
Произвести полную проверку компьютера антивирусной программой с обновленными антивирусными базами (Вы можете скачать их у нас на сайте по этой ссылке).
Указанный метод не является 100%-й панацеей от всех разновидностей данного зловреда, но исходя из вышеизложенных данных можно составить примерный алгоритм удаления зловредов этого семейства.
Источник здесь:
ВНИМАНИЕ! Если ручное удаление баннера-вымогателя не помогло, то существует программа для автоматического удаления программ-вымогателей - KASPERSKY WINDOWS UNLOCKER. Посмотреть инструкцию по использованию и скачать саму программу можно здесь.
|