Троянские программы: Trojan-Ransom

Вредоносная программа, предназначенная для несанкционированной пользователем модификации данных на компьютере-жертве таким образом, чтобы сделать невозможным работу с ними, либо блокировать нормальную работу компьютера.

После того, как данные «взяты в заложники» (блокированы), пользователю выдвигается требование выкупа.

Озвученную в требовании сумму жертва должна передать злоумышленнику, после чего злоумышленник обещает выслать программу для восстановления данных или нормальной работоспособности компьютера.

Например:

Trojan-Ransom.Win32.Krotten.n:

- Является приложением Windows (PE EXE-файл);
- Имеет размер около 53947 байт;

Данный троянец распространялся под видом файла-обманки — генератора кодов для пополнения счета мобильных телефонов.

В итоге попытка пользователя нелегально пополнить свой лицевой счет, запустив данный файл, оборачивается для пользователя невозможностью использовать в полном объеме ресурсы операционной системы и необходимостью пополнить баланс злоумышленника, который предлагает за вознограждение восстановить работоспособность системы.

Специалисты предупреждают пользователей интернета о том, что необходимо быть максимально бдительными при работе с сомнительными неизвестными файлами.

Кроме того, ни в коем случае нельзя переводить деньги злоумышленнику, так как это станет для него стимулом для создания новых версий троянской программы.

Троянец изменяет различные ключи системного реестра с целью ограничения действий пользователя. Например, блокирует запуск самого системного реестра (RegEdit), запуск Диспетчера Задач (Task Manager), блокирует закрытие окон проводника, окон Internet Explorer, блокирует доступ к настройкам файлов и папок, изменяет содержание меню «Пуск» («Start»), блокирует запуск командной строки и другие действия.

Изменяет различные настройки Internet Explorer — заголовок окна, стартовую страницу; в системном трее вместо часов показывающих системное время — троянец помещает нецензурные выражения.

Троянец изменяет атрибуты для папок «Windows» и «Program Files». Одновременно с этим создается папка «Типа Windows». Также в корне диска C: троянец создает несколько пустых папок.

Однако самой главной целью авторов данного троянца является вымогание денежных средств с пользователей зараженных компьютеров. Троянец предлагает «жертвам» восстановить нормальную работу компьютера за небольшую сумму, перечисленную на счет авторов троянца.

Во время загрузки компьютера троянец выдает следующее сообщение:

Если ты хочешь восстановить нормальную работу своего компьютера не потеряв ВСЮ информацию! И с экономив деньги, пришли мне на e-mail ****@rambler.ru код пополнения счета на киевстар на 25 гривень. В ответ в течение двенадцать часов на свой e-mail ты получишь файл для удаления этой программы.