Троянская программа Trojan-Ransom.Win32.HmBlocker.bqk


Описание
Trojan-Ransom.Win32.HmBlocker.bqk - троянская программа, устанавливающая и запускающая другое программное обеспечение на зараженном компьютере без ведома пользователя. Является приложением Windows (PE-EXE файл). Размер - 58880 байта. Написана на C++.


Деструктивная активность
После запуска троян извлекает из своего тела и запускает на исполнение файл:

  • %USERPROFILE%\2228923847\2228923847.EXE


Данный файл имеет размер 70144 байт.

Для автоматического запуска извлеченного файла, добавляется на него ссылка в ключ автозапуска системного реестра:

  • [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Userinit" ="%System%\userinit.exe,%USERPROFILE%\2228923847\2228923847.EXE"


Для удаления своего файла при следующем запуске системы добавляет информацию в ключ автозапуска системного реестра:

  • [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
    "2228923847_del" = "cmd.exe /c dEl <путь к файлу трояна>"


Извлеченный файл в бесконечном цикле завершает процессы с именами:

  • taskmgr.exe
  • Taskmgr.exe


После этого отображает свое окно по центру экрана с предложением пополнить телефонный счет злоумышленника для восстановления работы системы:

Opoveshenie Trojan-Ransom.Win32.HmBlocker.bqk

При этом троян устанавливает перехватчики на все события от клавиатуры и мыши, таким образом пользователь может лишь вводить текст в поле окна трояна.

Если оставить окно трояна активным, то по прошествии 36 часов троян удаляет свое оригинальное тело и завершит свое выполнение.


Методы борьбы
Для удаления вредоносной программы необходимо:

  1. Ввести код разблокировки:
    • СHILDREN OF DUNE

    при этом троян удалит свое оригинальное тело и завершит свое выполнение.


  2. Восстановить значение параметра ключа системного реестра на следующее:
    • [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
      "Userinit" = "%WINDIR%\system32\userinit.exe,"

  3. Произвести полную проверку компьютера лечащей утилитой Dr.Web CureIt! либо Антивирусом Касперского с обновленными антивирусными базами.