Продолжим разговор о троянских программах, предназначенных для вымогательства денег, начатый в заметке «Удаление Trojan-Ransom.Win32.Blocker своими руками». Следующим характерным «подследственным» выступит троянец Trojan-Ransom.Win32.Krotten (также известный как Trojan.Plastix по классификации DrWeb).

В отличие от SMS-вымогателей, блокирующих загрузку системы без её повреждения, вымогатели данного семейства достаточно радикально повреждают саму систему, и после этой операции присутствие троянца и его автозапуск уже не важны. С другой стороны, повреждения обратимые, так как большинство из них делается путем правки реестра. Типичная «плата за спасение» составляет $10.

Рассмотрим в качестве примера конкретную разновидность — Trojan-Ransom.Win32.Krotten.hu. Исполняемый файл вредоносной программы имеет размер 139 КБ. Иконка файла визуально похожа на иконку самораспаковывающегося RAR-архива. В случае запуска данная вредоносная программа выполняет набор операций, характерный для всего семейства Krotten:

1. Создает политику ограниченного использования программ (ключ реестра [Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun\]), блокируя запуск всех приложений, кроме thebat.exe, msimn.exe, iexplore.exe, MyIE.exe, Maxthon.exe, sbrowser.exe, absetup.exe, avant.exe, Photo.exe, notepad.exe, WinRAR.exe и WINZIP32.EXE.
2. Блокирует запуск UsbStor (это важный системный драйвер — «Драйвер запоминающих устройств для USB»), нарушая тем самым работу с flash-накопителями.
3. «Безобразничает» с настройками «Проводника» (в частности, отключает отображение меню «Пуск» > «Выполнить»).
4. Создает массу политик безопасности для ограничения доступа пользователя к настройке системы и ограничивает почти весь функционал браузера.
5. Подменяет стартовую страничку Internet Explorer (на ссылку на страницу сайта poetry.rotten.com) и заголовок окна IE (на нецензурную брань).
6. Отключает контекстное меню у системных папок.
7. Удаляет папку «Общие документы» из папки «Мой компьютер» (физически папка не удаляется — производится только удаление {59031a47-3f72-44a7-89c5-5595fe6b30ee} из ключа реестра [SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\DelegateFolders\]).
8. Включает вывод оповещения о нехватке свободного места на диске. Обычно это оповещение выводится, когда на HDD свободно менее 1% объёма диска. В результате действий Krotten это сообщение выводится всегда.
9. Нарушает отображение обоев рабочего стола.
10. Создает нестандартную маску форматирования времени в региональных настройках, что приводит, в частности, к отображению в трее нецензурного слова вместо часов и нарушает работу всех программ, отображающих время сообразно системным настройкам форматирования.
11. Создает сообщение, отображаемое в ходе перезагрузки системы: заголовок — DANGER, текст — вымогательство $10 или 500 рублей за восстановление ПК.
12. Блокирует политиками запуск редактора реестра и диспетчера задач.
13. Пытается создать копии своего исполняемого файла под именами C:\WINDOWS\Provisioning\Schemas\lsass.exe и C:\WINDOWS\WinSxS\Manifests\explorer.exe.
14. Нарушает возможность импорта REG-файлов путем уничтожения ключа реестра [regfile\shell\open\command].
15. Нарушает отображение и открытие дисков в проводнике.
16. Создает пустые каталоги на системном диске с именами DOS и VISTA. При этом устанавливает атрибуты скрытый и системный папкам «Documents and Settings», «Program Files» и WINDOWS.

После выполнения данных операций троян отображает окно с требованием выкупа:

Поражённый компьютер после перезагрузки выглядит следующим образом: обои рабочего стола смещены влево, иконок на рабочем столе нет, меню свойств рабочего стола не работает, меню «Пуск» урезано буквально до нуля, редактор реестра и диспетчер задач блокированы, в проводнике не отображаются HDD, в ходе перезагрузки выводится сообщение с требованием выкупа (в нём указана сумма и контактный email).

Тем не менее, всё не так плохо, и работу системы можно восстановить.

Семейство Trojan-Ransom.Win32.Blocker является классическим примером вредоносных программ, предназначенных для шантажа и вымогательства. При установке на компьютер эти зловреды прописываются в автозагрузку, в ключ реестра [Software\Microsoft\Windows NT\CurrentVersion\Winlogon], параметр "Userinit", в результате чего блокируют запуск ОС. Получив управление на запуске ОС, зловреды отображают окно с требованием отправить SMS с определенным текстом на указанный короткий номер. В ответ пользователю обещают выслать код разблокировки, который отключит вредоносную программу и разблокирует загрузку компьютера.

Сам по себе Trojan-Ransom.Win32.Blocker несложно удалить при помощи AVZ, AVPTool или вручную из редактора реестра, но есть одна проблема — загрузка ПК блокирована, и пользователь не может получить доступ к рабочему столу и запустить какие-либо программы или утилиты. Защищённый режим Windows также заблокирован.

На официальном сайте компании «Альфа-Страхование» обнаружена троянская программа Trojan-Spy.Win32.Zbot.gkj.

Заражение шпионской программой происходило при посещении сайта www.alfastrah.ru. Анализ главной страницы ресурса выявил наличие в HTML-коде скрипта, осуществляющего загрузку эксплойта, а затем троянской программы на компьютер пользователя. Увеличению численности потенциально зараженных машин способствовало размещение на первой странице сайта flash-ролика, распространявшегося с применением методов вирусного маркетинга.

Мобильные троянцы, отправляющие sms на платные номера, поддельные антивирусы, требующие денег за «лечение» компьютера, троянские программы-вымогатели, блокирующие нормальную работу системы — все это знакомо и регулярно встречается в вирусных новостях всех антивирусных компаний, включая и нашу.

Встречайте «три в одном» — Trojan.Win32.KillProc.am (может также детектироваться как Trojan-Ransom.Win32.BHO.a).

Представляет собой Browser Helper Object и встраивается в браузер Internet Explorer. Если ваша система заражена им, то в один непрекрасный момент вместо ваших любимых сайтов в интернете браузер начнет загружать страницу антипиратского раздела сайта Microsoft, посвященного легализации ПО.

На самом деле текст странички находится в коде троянца и не соответствует настоящему содержимому сайта Microsoft. Однако в браузере показывается правильный URL: http://www.microsoft.com/Rus/Antipiracy/Activation/Default.mspx.

Сравните эти два скриншота:

Второй — поддельный! Но троянец делает все настолько искусно, что даже опытный пользователь может попасться на удочку.

Как видно, автором троянца является русскоязычный автор, решивший заработать денег с помощью популярного нынче у вирусописателей сервиса «sms-платежей».

Что будет, если пользователь поверит в бред про «годовую подписку на пользование браузером» и отправит SMS на требуемый номер ? Ну то что он лишится денег с своего мобильного баланса — это несомненно =)

Только вот троянец сделан то ли совсем дилетантом, то ли дилетантом с хорошим чувством юмора: ввод «кода легализации» приводит не к разблокировке, а к выводу сообщения «Введенный код неверен». Это сообщение жестко запрограммировано прямо в коде поддельной странички.

Стоит ли говорить, что ваш интернет работать так и не начнет и способами спасения будут либо лечение при помощи антивируса, либо использование вместо Interner Explorer какого-либо другого браузера.

Мы уже связались с организацией, сдающей в субаренду указанный короткий номер, и надеемся, что в самое ближайшее время его использование в преступных целях будет прекращено.

Всем пострадавшим от этого троянца и его клонов (отправившим эсэмэски) мы рекомендуем обратиться с жалобой к своему мобильному оператору — возможно, ваши деньги будут вам возвращены.