Знаю, что на хабре такие посты не очень любят, тем не менее я считаю, что некоторым этот способ может пригодиться или просто сэкономить время. Троян, который мне попался свежий и определяется всего несколькими антивирусами. Результаты проверки вирустотала. Кода разблокировки я тоже найти не смог. Поэтому, что бы не утомлять описанием как я его искал сделаю пост в виде краткого гайда.
Итак, после заражения на рабочем столе появляется вот такая вот гадость:
Троян запрещает запуск большинства программ (браузеров, regedit, processexplorer), правда почему то оставляет без внимания msconfig. Для разблокировки просит отправить смс на номер 5121 с текстом 4579304. Действия для удаления следующие:
1) Переходим в каталог C:\Program Files\Common Files\Office\ и удаляем файл exel.exe это и есть злополучный шелл.
Сделанию несколько примечаний: возможно местоположение выбирается рандомно, к сожалению проверить возможности нет. И еще одно: я удалял через linux, но по-моему он не защищен, так что можно удалить из под винды.
2) Перезагружаемся. Запускаем regedit. В отличие от этого случая, мой троянец прописал себя в shell. Поэтому в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon выставляем только Explorer.exe
Вид до изменения:
3) Проверяем файл hosts (C:\Windows\System32\drivers\etc\). По умолчанию должна быть одна раскомментированная строчка:
127.0.0.1 localhost
Вот в принципе и все. Будьте аккуратны. Надеюсь пост кому-нибудь сэкономить свое время.
P.S: Естественно я отослал зараженный файл для проверки в антивирусные компании, которые его не детектили.
P.S2: Пока писал текст пришел ответ от Лаборатории Касперского:
«exel.exe — Trojan-Ransom.Win32.PinkBlocker.bmu
В настоящий момент этот файл определяется антивирусом со свежими антивирусными базами.»
Обновляйте базы.
Итак, после заражения на рабочем столе появляется вот такая вот гадость:
Троян запрещает запуск большинства программ (браузеров, regedit, processexplorer), правда почему то оставляет без внимания msconfig. Для разблокировки просит отправить смс на номер 5121 с текстом 4579304. Действия для удаления следующие:
1) Переходим в каталог C:\Program Files\Common Files\Office\ и удаляем файл exel.exe это и есть злополучный шелл.
Сделанию несколько примечаний: возможно местоположение выбирается рандомно, к сожалению проверить возможности нет. И еще одно: я удалял через linux, но по-моему он не защищен, так что можно удалить из под винды.
2) Перезагружаемся. Запускаем regedit. В отличие от этого случая, мой троянец прописал себя в shell. Поэтому в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon выставляем только Explorer.exe
Вид до изменения:
3) Проверяем файл hosts (C:\Windows\System32\drivers\etc\). По умолчанию должна быть одна раскомментированная строчка:
127.0.0.1 localhost
Вот в принципе и все. Будьте аккуратны. Надеюсь пост кому-нибудь сэкономить свое время.
P.S: Естественно я отослал зараженный файл для проверки в антивирусные компании, которые его не детектили.
P.S2: Пока писал текст пришел ответ от Лаборатории Касперского:
«exel.exe — Trojan-Ransom.Win32.PinkBlocker.bmu
В настоящий момент этот файл определяется антивирусом со свежими антивирусными базами.»
Обновляйте базы.
