Продолжим разговор о троянских программах, предназначенных для вымогательства денег, начатый в заметке «Удаление Trojan-Ransom.Win32.Blocker своими руками». Следующим характерным «подследственным» выступит троянец Trojan-Ransom.Win32.Krotten (также известный как Trojan.Plastix по классификации DrWeb).

В отличие от SMS-вымогателей, блокирующих загрузку системы без её повреждения, вымогатели данного семейства достаточно радикально повреждают саму систему, и после этой операции присутствие троянца и его автозапуск уже не важны. С другой стороны, повреждения обратимые, так как большинство из них делается путем правки реестра. Типичная «плата за спасение» составляет $10.

Рассмотрим в качестве примера конкретную разновидность — Trojan-Ransom.Win32.Krotten.hu. Исполняемый файл вредоносной программы имеет размер 139 КБ. Иконка файла визуально похожа на иконку самораспаковывающегося RAR-архива. В случае запуска данная вредоносная программа выполняет набор операций, характерный для всего семейства Krotten:

1. Создает политику ограниченного использования программ (ключ реестра [Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun\]), блокируя запуск всех приложений, кроме thebat.exe, msimn.exe, iexplore.exe, MyIE.exe, Maxthon.exe, sbrowser.exe, absetup.exe, avant.exe, Photo.exe, notepad.exe, WinRAR.exe и WINZIP32.EXE.
2. Блокирует запуск UsbStor (это важный системный драйвер — «Драйвер запоминающих устройств для USB»), нарушая тем самым работу с flash-накопителями.
3. «Безобразничает» с настройками «Проводника» (в частности, отключает отображение меню «Пуск» > «Выполнить»).
4. Создает массу политик безопасности для ограничения доступа пользователя к настройке системы и ограничивает почти весь функционал браузера.
5. Подменяет стартовую страничку Internet Explorer (на ссылку на страницу сайта poetry.rotten.com) и заголовок окна IE (на нецензурную брань).
6. Отключает контекстное меню у системных папок.
7. Удаляет папку «Общие документы» из папки «Мой компьютер» (физически папка не удаляется — производится только удаление {59031a47-3f72-44a7-89c5-5595fe6b30ee} из ключа реестра [SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\DelegateFolders\]).
8. Включает вывод оповещения о нехватке свободного места на диске. Обычно это оповещение выводится, когда на HDD свободно менее 1% объёма диска. В результате действий Krotten это сообщение выводится всегда.
9. Нарушает отображение обоев рабочего стола.
10. Создает нестандартную маску форматирования времени в региональных настройках, что приводит, в частности, к отображению в трее нецензурного слова вместо часов и нарушает работу всех программ, отображающих время сообразно системным настройкам форматирования.
11. Создает сообщение, отображаемое в ходе перезагрузки системы: заголовок — DANGER, текст — вымогательство $10 или 500 рублей за восстановление ПК.
12. Блокирует политиками запуск редактора реестра и диспетчера задач.
13. Пытается создать копии своего исполняемого файла под именами C:\WINDOWS\Provisioning\Schemas\lsass.exe и C:\WINDOWS\WinSxS\Manifests\explorer.exe.
14. Нарушает возможность импорта REG-файлов путем уничтожения ключа реестра [regfile\shell\open\command].
15. Нарушает отображение и открытие дисков в проводнике.
16. Создает пустые каталоги на системном диске с именами DOS и VISTA. При этом устанавливает атрибуты скрытый и системный папкам «Documents and Settings», «Program Files» и WINDOWS.

После выполнения данных операций троян отображает окно с требованием выкупа:

Поражённый компьютер после перезагрузки выглядит следующим образом: обои рабочего стола смещены влево, иконок на рабочем столе нет, меню свойств рабочего стола не работает, меню «Пуск» урезано буквально до нуля, редактор реестра и диспетчер задач блокированы, в проводнике не отображаются HDD, в ходе перезагрузки выводится сообщение с требованием выкупа (в нём указана сумма и контактный email).

Тем не менее, всё не так плохо, и работу системы можно восстановить.

Аналитики «Лаборатории Касперского» нашли источник распространения вредоносной программы Trojan.Win32.Krotten, которая, как мы писали ранее, портит системный реестр с целью дальнейшего вымогательства денег у пользователей зараженных компьютеров.

Вредоносная программа распространялась под видом генератора кодов для пополнения счета мобильного телефона. Она была размещена на одном из бесплатных хостингов в России.

В итоге попытка пользователя нелегально пополнить свой лицевой счет оборачивалась для него необходимостью пополнить баланс злоумышленника (см. предыдущий пост).

Мы направили эту информацию в службу поддержки сервиса бесплатного хостинга, и в течении 10 минут сайт, с которого распространялась программа, был удален.

Однако не исключено, что он появится снова на любом другом сервисе бесплатного хостинга.

Еще раз обращаем внимание наших пользователей на все большее распространение и изощренность приемов социального инжиниринга, к которым прибегают авторы вредоносных программ с целью получения прибыли.

Аналитики KL отмечают рост количества вредоносных программ, с помощью которых злоумышленники в дальнейшем вымогают деньги у пользователей.

В качестве примера такого ПО можно привести Virus.Win32.GPCode, а также Trojan.Win32.Krotten, детектирование очередной модификации которого было добавлено в наши антивирусные обновления сегодня под именем Trojan.Win32.Krotten.n.

Trojan.Win32.Krotten использует такой же подход для вымогательства, который использовался в GPCode, — испортить данные пользователя и предложить восстановить их за определенное вознаграждение. Отличие состоит лишь в том, что GPCode шифровал данные на диске, а Krotten портит системный реестр. В случае с Krotten злоумышленники предлагают восстановить данные за денежный эквивалент около 5 USD, что отчетливо видно на нижеприведенном рисунке:

Приведенный текст косвенно свидетельствует об украинском происхождении данной вредоносной программы.

Детектирование Trojan.Win32.Krotten.n уже добавлено в антивирусные базы. Восстановление реестра возможно с помощью бесплатной утилиты, которую можно взять здесь.

В заключение хотелось бы еще раз напомнить пользователям — не стоит запускать неизвестные вложения, если вы действительно не ожидали его получить. Кроме того, ни в коем случае нельзя переводить деньги злоумышленнику, так как это станет для него стимулом создать новую версию троянской программы и опять «собрать дань».