Удаление Trojan-Ransom.Win32.Krotten своими руками

Продолжим разговор о троянских программах, предназначенных для вымогательства денег, начатый в заметке «Удаление Trojan-Ransom.Win32.Blocker своими руками». Следующим характерным «подследственным» выступит троянец Trojan-Ransom.Win32.Krotten (также известный как Trojan.Plastix по классификации DrWeb).

В отличие от SMS-вымогателей, блокирующих загрузку системы без её повреждения, вымогатели данного семейства достаточно радикально повреждают саму систему, и после этой операции присутствие троянца и его автозапуск уже не важны. С другой стороны, повреждения обратимые, так как большинство из них делается путем правки реестра. Типичная «плата за спасение» составляет $10.

Рассмотрим в качестве примера конкретную разновидность — Trojan-Ransom.Win32.Krotten.hu. Исполняемый файл вредоносной программы имеет размер 139 КБ. Иконка файла визуально похожа на иконку самораспаковывающегося RAR-архива. В случае запуска данная вредоносная программа выполняет набор операций, характерный для всего семейства Krotten:

1. Создает политику ограниченного использования программ (ключ реестра [Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun\]), блокируя запуск всех приложений, кроме thebat.exe, msimn.exe, iexplore.exe, MyIE.exe, Maxthon.exe, sbrowser.exe, absetup.exe, avant.exe, Photo.exe, notepad.exe, WinRAR.exe и WINZIP32.EXE.
2. Блокирует запуск UsbStor (это важный системный драйвер — «Драйвер запоминающих устройств для USB»), нарушая тем самым работу с flash-накопителями.
3. «Безобразничает» с настройками «Проводника» (в частности, отключает отображение меню «Пуск» > «Выполнить»).
4. Создает массу политик безопасности для ограничения доступа пользователя к настройке системы и ограничивает почти весь функционал браузера.
5. Подменяет стартовую страничку Internet Explorer (на ссылку на страницу сайта poetry.rotten.com) и заголовок окна IE (на нецензурную брань).
6. Отключает контекстное меню у системных папок.
7. Удаляет папку «Общие документы» из папки «Мой компьютер» (физически папка не удаляется — производится только удаление {59031a47-3f72-44a7-89c5-5595fe6b30ee} из ключа реестра [SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\DelegateFolders\]).
8. Включает вывод оповещения о нехватке свободного места на диске. Обычно это оповещение выводится, когда на HDD свободно менее 1% объёма диска. В результате действий Krotten это сообщение выводится всегда.
9. Нарушает отображение обоев рабочего стола.
10. Создает нестандартную маску форматирования времени в региональных настройках, что приводит, в частности, к отображению в трее нецензурного слова вместо часов и нарушает работу всех программ, отображающих время сообразно системным настройкам форматирования.
11. Создает сообщение, отображаемое в ходе перезагрузки системы: заголовок — DANGER, текст — вымогательство $10 или 500 рублей за восстановление ПК.
12. Блокирует политиками запуск редактора реестра и диспетчера задач.
13. Пытается создать копии своего исполняемого файла под именами C:\WINDOWS\Provisioning\Schemas\lsass.exe и C:\WINDOWS\WinSxS\Manifests\explorer.exe.
14. Нарушает возможность импорта REG-файлов путем уничтожения ключа реестра [regfile\shell\open\command].
15. Нарушает отображение и открытие дисков в проводнике.
16. Создает пустые каталоги на системном диске с именами DOS и VISTA. При этом устанавливает атрибуты скрытый и системный папкам «Documents and Settings», «Program Files» и WINDOWS.

После выполнения данных операций троян отображает окно с требованием выкупа:

Поражённый компьютер после перезагрузки выглядит следующим образом: обои рабочего стола смещены влево, иконок на рабочем столе нет, меню свойств рабочего стола не работает, меню «Пуск» урезано буквально до нуля, редактор реестра и диспетчер задач блокированы, в проводнике не отображаются HDD, в ходе перезагрузки выводится сообщение с требованием выкупа (в нём указана сумма и контактный email).

Тем не менее, всё не так плохо, и работу системы можно восстановить.

Для начала можно запустить «Проводник» через меню, вызываемое при нажатии правой кнопки мыши над кнопкой «Пуск», либо нажав сочетание клавиш Win+E. Получить доступ к диску из него не удастся, но запустить программу с разрешённым именем (см. п. 1 выше), в принципе, можно. Однако чтобы не угадывать имя (набор разрешенных программ может меняться в различных модификациях троянца, да и скачать нужную программу будет проблематично), достаточно выполнить следующие операции:

1. Загрузить систему в «защищенном режиме с поддержкой командной строки».

2. В открывшемся после загрузки окне консоли набрать команды:

   REG DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   REG DELETE HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

   После каждой команды следует нажать «ввод»: будет выдан запрос подтверждения удаления ключа реестра, на который следует ответить утвердительно, нажав Y.

   Далее можно запустить «Проводник», выполнив команду explorer.exe. Ограничения «Проводника» при этом уже не будут действовать и, как следствие, можно будет запустить из «Проводника» любое приложение и открыть любой диск.

3. Запустить AVZ, AVPTool или Kaspersky Internet Security и выполнить в них следующий скрипт:
   var
    i : integer;
   Begin
    For i := 1 to 9 do
     ExecuteRepair(i);
    ExecuteRepair(11);
    ExecuteRepair(17);
    RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\UsbStor', 'Start', 1);
    RegKeyStrParamWrite('HKCU', 'Control Panel\International', 'sTimeFormat', 'H:mm:ss');
    RegKeyParamDel('HKLM', 'SYSTEM\CurrentControlSet\Services\lanmanserver\parameters', 'DiskSpaceThreshold');
    RegKeyCreate('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\DelegateFolders\{59031a47-3f72-44a7-89c5-5595fe6b30ee}');
    ExecuteWizard('TSW', 2, 3, true);
    DeleteDirectory('%SysDisk%\DOS');
    DeleteDirectory('%SysDisk%\VISTA');
    ExecuteFile('attrib -R -S -H "'+NormalFileName('%WinDir%')+'"', '', 1, 10000, true);
    ExecuteFile('attrib -R -S -H "'+NormalFileName('%PF%')+'"', '', 1, 10000, true);
    ExecuteFile('attrib -R -S -H "'+NormalFileName('%ProfileDir%')+'"', '', 1, 10000, true);
    RebootWindows(true);
   end.

В результате работоспособность компьютера будет восстановлена, а последствия заражения Trojan-Ransom.Win32.Krotten — ликвидированы.