1. Команда «НАНО Секьюрити» и администрация SafeZone.cc проводят конкурс с ценными призами! Подробности можно узнать в этой теме
    Скрыть объявление

Вымогательское ПО заставляет вас пройти опрос перед разблокировкой компьютера

Тема в разделе "Вирусы-шифровальщики", создана пользователем mike 1, 29 окт 2016.

  1. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.488
    Симпатии:
    883
    Хотя опросы уже и не раздражают, но новое вымогательское ПО использует опросную площадку FileIce, чтобы заставить вас пройти опрос перед разблокировкой компьютера. Впервые это вымогательское ПО было обнаружено исследователем по безопасности Karsten Hahn из GData. В настоящее время это вымогательское ПО находится в разработке и скорее всего не распространяется активно на данный момент.

    [​IMG]
    Рис. 1 Окно с опросом с выбором варианта ответа​


    После запуска вредоносной программы, вам предложат выбрать анкетную форму для опроса, как показано выше. Анкетная форма содержит многочисленные опросы, вы можете выбрать любую из них для того, чтобы разблокировать компьютер. Вымогательское ПО извлекает эти опросы из ссылки www.fileice.net/download.php?t=regular&file=3lhzu, как показано на рисунке ниже:


    [​IMG]
    Рис. 2 Источник, показывающий форму получения опросов

    Когда пользователь завершает опрос, на его компьютер будет загружен файл с именем ThxForYurTyme.txt, который выведет сообщение "Thank you for supporting me".

    [​IMG]
    Рис. 3 Сообщение с благодарностью за поддержку

    Я думаю, что этот файл в конечном счете будет содержать код, который будет использоваться для разблокировки и удаления экрана блокировки.


    Не все функции являются работающими

    Поскольку это вымогательское ПО в настоящее время находится на стадии разработки, оно содержит исходный код для выполнения различных функций, которые еще не работают. Например, хотя оно прописывается в автозагрузку и запускается, когда вы входите в систему, оно также имеет множество других возможностей, которые пока не работают правильно. Для примера, в нем содержится код, который должен блокировать сочетание клавиш CTRL+ALT+DEL, устанавливать различные политики в Windows для того, чтобы его сложнее было удалить, но им не удалось этого сделать в моем тесте.
    Политики, которые вымогатель пытается настроить и включить:

    Код (Text):
    HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableTaskMgr" = 1
    HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableLockWorkstation" = 1
    HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableChangePassword" = 1
    HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer "NoClose" = 1
    HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer "NoLogoff" = 1
    HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System "HideFastUserSwitching" = 1
    Экран блокировки вымогателя позволяет полагать, что он находится на стадии разработки. Этот экран содержит многочисленные параметры отладки, которые можно использовать для тестирования вымогателя.


    [​IMG]
    Рис. 4 Окно с разблокировкой компьютера

    Например, кнопка "Startup" пропишет вымогателя в автозагрузку, кнопка "Close" завершит его процесс, флажок напротив "Clear CTRL ALT DEL" включит или отключит политики, а установленный флажок рядом с "Disable keys" будет пытаться подключить клавиатуру так, чтобы клавиши не работали.

    Как многие и другие подобные вымогатели, которые сегодня обнаруживаются, есть хороший шанс, что этот вирус не получит широкого распространения, так как его достаточно легко победить.


    Файлы, связанные с Survey Ransomware:

    Код (Text):
    C:\Users\User\Downloads\ThxForYurTyme.txt
    C:\seo\Sdchost.exe

    Записи реестра, связанные с Survey Ransomware:


    Код (Text):
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Sdchost    C:\seo\Sdchost.exe

    Сетевой трафик, связанный с Survey Ransomware:

    Код (Text):
    http://www.fileice.net/download.php?t=regular&file=3lhzu

    Хеш-Суммы:
    Код (Text):
    SHA256: 60fba97585c3a48720bffdb1e11fb5be537e6b6344220015bc9740d084f58c0b

     
    Последнее редактирование: 29 окт 2016
    Kиpилл, akok и iskander-k нравится это.

Поделиться этой страницей