Trojan-Ransom.Win32.DoubleEagle.ez

Описание

Trojan-Ransom.Win32.DoubleEagle.ez - троян блокирующий работу компьютера с целью получить выкуп за восстановление работы. Является приложением Windows (PE-EXE файл). Размер - 186368 байт. Упакована неизвестным упаковщиком. Распакованный размер — около 139 КБ. Написана на C++.


Инсталляция
После запуска троян создает копию своего файла с именем "iefl.exe":

  • %WinDir%\temp\iefl.exe


Для автоматического запуска троян добавляет ссылки на свой исполняемый файл в ключи автозапуска системного реестра.

  • [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "AdobeUpdater" = "%WinDir%\temp\iefl.exe"

  • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "AdobeUpdater" = "%WinDir%\temp\iefl.exe"

  • [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe]
    "Debugger" = "%WinDir%\temp\iefl.exe"


Деструктивная активность
Для блокировки использования диспетчера задач Windows в бесконечном цикле закрывает окна со следующими заголовками:

  • Windows Task Manager
  • Диспетчер задач Windows


Троян запрещает использование сочетаний клавиш "Alt+Tab". После этого в бесконечном цикле отображает свое окно по центру экрана, предлагающее пополнить счет телефона злоумышленника:

  • +7 (911) 729 42 99

для восстановления работы операционной системы.

Окно блокировки Trojan-Ransom

Okno Trojan-Ransom

Троян перехватывает клавиатурный ввод, поэтому пользователь может вводить лишь цифры и использовать клавишу Backspace.


Рекомендации по удалению
Для удаления трояна необходимо:

  1. Т.к. данный троян не имеет кода разблокировки, то для его удаления необходимо воспользоваться утилитой разблокировки Windows от Kaspersky, либо от компании Доктор Веб.
  2. Удалить файл:
    • %WinDir%\temp\iefl.exe

  3. Удалить параметры ключей системного реестра:
    • [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "AdobeUpdater"

    • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "AdobeUpdater"

    • [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe]
      "Debugger"

  4. Произвести полную проверку компьютера бесплатной лечащей утилитой Dr.Web CureIt!.