Глумимся над Trojan-ransom

В поисках очередного способа унижения троянцев вымогателей пришла в голову мысль воспользоваться отложенным переименованием средствами системного реестра. А тут и "клиент" как нельзя более подходящий подвернулся - Trojan-Ransom.Win32.PogBlock.xg

Блокирование системы получается несколько компромиссным:

С одной стороны перекрыт практически весь экран, но с другой - эксплорер запущен, о чем свидетельствует наличие меню "Пуск".

Детальное изучение вредоноса показало, что заражение происходит так:

1. Троянец извлекает из своего тела исполняемый файл и помещает его во временный каталог текущего пользователя.

2. Кроме этого, в тот же каталог, извлекается вредоносная библиотека.

3. Автоматический запуск осуществляется банальным добавлением извлеченного исполняемого файла в ключ:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]

"Windows Update Service"="C:\DOCUME~1\test\LOCALS~1\Temp\userwgkg.exe"
Нажмите, чтобы раскрыть...​

Бывалый антивирусный аналитик ухмыльнется и скажет: "Перезагрузка в безопасном режиме позволит избежать запуска троянца". И будет прав. Но мы то хотим использовать необычный способ.

Механизм самозащиты троянца заключается в следующем - сообщение о выкупе выводит исполняемый файл. Этот же файл инжектирует код из библиотеки во все запущенные процессы. Этот код следит за тем, запущен ли исполняемый файл и если не обнаруживает вредоносного процесса, то запускает его. Таким образом просто завершить вредоносный процесс не достаточно. При этом троянец постоянно следит и за ключом автозапуска и восстанавливает его в случае удаления. Удалить вредоносный исполняемый файл и библиотеку нельзя, так как они постоянно запущенны.

Вот тут самое время вспомнить об отложенном переименовании:

В системном реестре начиная с Windows 2000 есть возможность создать в ключе

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager мультистрочныйпараметр

PendingFileRenameOperations

Этот параметр предусматривает наличие двух строк: в первой имя файла, который нужно переименовать; во второй - имя, на которое нужно сменить. Если второй строки не задать, то файл будет просто удалён. Причем происходит все это на очень ранней стадии загрузки операционной системы - до того, как срабатывают пользовательские автозапуски.

При этом имя файла нужно задавать с полным путём к нему, добавив перед ним два знака вопроса в обратных слешах. В нашем случае путь к вредоносному файлу будет выглядеть так:

\??\C:\Documents and Settings\test\Local Settings\Temp\userwgkg.exe
Нажмите, чтобы раскрыть...​

Но возникает вопрос: "А как же записать это в системный реестр, если весь экран перекрыт требованием выкупа?"

Поможет в этом... автораннер!

Как уже было сказано - эксплорер запущен, а значит и автоматический запуск сработает (если конечно не выключать его).

Можно воспользоваться флешкой или записать диск. На сменный носитель нужно поместить autorun.inf примерно такого содержания:

Листинг :

autorun.inf

[autorun] open=run.bat label=ReRans

[Content]

MusicFiles=false

PictureFiles=false

VideoFiles=false
Нажмите, чтобы раскрыть...​

Код "позаимствован" из настоящего троянца-автораннера.

На тот же носитель нужно поместить батник, который в данном примере носит незамысловатое название "run.bat". В этот файл нужно вписать консольную команду для работы с системным реестром:

Листинг :

Описание reg add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager" /v PendingFileRenameOperations /t REG_MULTI_SZ /d "\??\C:\Documents and Settings\test\Local Settings\Temp\userwgkg.exe\02" /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager" - добавитьвуказанныйключ.
Нажмите, чтобы раскрыть...
/v PendingFileRenameOperations - переменную (/v - от variable).

/t REG_MULTI_SZ - тип переменной "мультистрока". Проще говоря - несколько строк.

/d "\??\C:\Documents and Settings\test\Local Settings\Temp\userwgkg.exe\02" - данные: строки, разделенные символом конца строки "\0". 2 - то, на что нужно переименовать файл userwgkg.exe. Тут может быть что угодно.

/f - не спрашивать подтверждения.
Нажмите, чтобы раскрыть...​

Вставляем флешку/диск в зараженный компьютер.
Перезагружаемся и получаем нормальный рабочий стол

А во временном каталоге текущего пользователя мирно лежит переименованный троянец и незапущенная библиотека, с которыми можно продолжать эксперименты:

Всё это, разумеется, возможно только после детального изучения троянца, но основная идея - для удаления/переименования можно воспользоваться ключом отложенного переименования, который, в свою очередь, можно автоматически создать при помощи той же технологии, которую используют авторан-черви.
​

Последние данные очков репутации:
prad: 2 Очки (Отлично написано!) 17 апр 2017
Plastik: 2 Очки 17 апр 2017
Предлагаю услуги по:
1. Сделаю зеркало любого сайта в сети ТОR
2. Блокировка ЛЮБОГО QIWI Номера (Быстро)


Мануалы и софт выложены в ознакомительных целях вся ответственность за использования ложится на вас.
Софт советую использовать на виртуалке.