Russian

Вход

Поиск

Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано.

Уровень опасности: 1

Следите в

Главная→Описания→Trojan-Ransom.Win32.Gimemo.ns

Trojan-Ransom.Win32.Gimemo.ns

Время детектирования	09 фев 2011 22:17 MSK
Время выпуска обновления	10 фев 2011 08:03 MSK
Описание опубликовано	16 мар 2011 15:40 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, которая блокирует работу компьютера с целью получить выкуп за восстановление работы. Является приложением Windows (PE-EXE файл). Имеет размер 355328 байт. Упакована UPX. Распакованный размер – около 421 КБ. Написана на Delphi.

Инсталляция

Для автоматического запуска своего оригинального файла при каждом следующем старте системы троянец создает ключ системного реестра:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "<полный путь к оригинальному файлу троянца>"

Таким образом, оригинальный файл троянца будет запускаться процессом "WINLOGON.EXE" даже при загрузке компьютера в "безопасном режиме".

Деструктивная активность

Троянец создает поверх всех открытых в системе окон окно следующего вида:

На созданное окно троянец циклически устанавливает фокус ввода, блокируя, таким образом, все действия на зараженном компьютере, исключая ввод кода разблокировки. Кроме того, производится поиск окон с заголовками:

Windows Task Manager
Диспетчер задач Windows
Редактор реестра
Настройка системы

В случае если окно найдено, оно будет немедленно закрыто.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

Перезагрузить компьютер в «безопасном режиме с поддержкой командной строки» (в самом начале загрузки нажать и удерживать клавишу «F8», затем выбрать пункт «Safe Mode with Command Prompt» в меню загрузки Windows).
В открывшемся командном интерпретаторе выполнить следующие команды:
```
reg add "hklm\software\microsoft\windows nt\currentversion\
winlogon" /v Shell /t reg_sz /d explorer.exe

shutdown -r -t 0
```
После перезагрузки удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Печать

Закладки

Вредоносные программы

Троянские программы

Trojan-Ransom

Вредоносная программа, предназначенная для несанкционированной пользователем модификации данных на компьютере-жертве таким образом, чтобы сделать невозможным работу с ними, либо блокировать нормальную работу компьютера. После того, как данные «взяты в заложники» (блокированы), пользователю выдвигается требование выкупа.

Озвученную в требовании сумму жертва должна передать злоумышленнику, после чего злоумышленник обещает выслать программу для восстановления данных или нормальной работоспособности компьютера.

© ЗАО «Лаборатория Касперского», 1997-2013
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей.
Мнение авторов может не совпадать с официальной позицией «Лаборатории Касперского».

kaspersky.ru

securelist.com