Monday, 18 April 2011

Trojan.Ransom - КОМПЬЮТЕР ЗАБЛОКИРОВАН!





This trojan blocker ( MD5: 0b525aba7d3134d853d3a9a172abb300 - e7f93f0d7106ff1b0534fbe28023138d ) prevents all software execution.
To remove the Trojan (and unlock windows), infected users need to enter a valid serial number.

pa.exe is detected by just one antivirus as 'SpyEye' http://www.virustotal.com/file-scan/report.html?id=9aa49286577dbab965bcd943c46b1def61458663c7ca26a67160d5665f35a256-1303162581


Number to Call: 8-911-013-30-35
Number to Call: 8-911-722-24-88
Problem i got... i don't found the unlock code...
If a reverser want have a look ? so here is my analysis:

Create a mutex, who look like a serial, certainly to mislead reverse engineers:

Says goodbye to taskmgr, userinit (a big problem):



Create a load regkey:


Appdata:

"Неверный код" part:

Infection come from this server:

Binary Infection:
C:\%SystemRoot%\System32\dllcache\taskmgr.exe
C:\%SystemRoot%\System32\dllcache\userinit.exe
C:\%SystemRoot%\System32\taskmgr.exe
C:\%SystemRoot%\System32\userinit.exe
C:\%SystemRoot%\System32\03014D3F.exe
C:\Documents and Settings\All Users\Application Data\22CC6C32.exe

Registry Infection:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

Event if you bought a unlock key that will not restore the damaged taskmgr and userinit !
A solution (not tested) is to manual restore these file with a live cd like "Hiren's Boot CD" "Shardana Antivirus Rescue Disk Utility" or more official with the Microsoft CD and try a system repair.
The difficult part is not to delete these files but to restore a proper copy of userinit.exe and taskmgr.exe.



Ascii dump:
00403438                                         .Ваш компьютер заблокиров
00403478  ан за просмотр, копирование и тиражирование видеоматериалов соде
004034B8  ржащих элементы педофилии и насилия над детьми. Для снятия блоки
004034F8  ровки Вам необходимо оплатить штраф в размере 400 рублей на номе
00403538  р телефона МТС 8-%s, после снятия блокировки удалить все материа
00403578  лы содержащие элементы насилия и педофилии. В противном случае,
004035B8  через 12 часов все данные будут безвозвратно удалены с Вашего ПК
004035F8  , а дело передано для разбирательства в Управление К МВД РФ, по
00403638  статье 242 ч.1 УК РФ..Код разблокировки будет напечатан на фиска
00403678  льном чеке терминала в случае оплаты суммы равной штрафу либо пр
004036B8  евышающей ее....911-013-30-35

00403178  Статья 242.1. Изготовление и оборот материалов или предметов с п
004031B8  орнографическими изображениями несовершеннолетних..Изготовление,
004031F8   хранение или перемещение через Государственную границу Российск
00403238  ой Федерации в целях распространения, публичной демонстрации или
00403278   рекламирования либо распространение, публичная демонстрация или
004032B8   рекламирование материалов или предметов с порнографическими изо
004032F8  бражениями несовершеннолетних, а равно привлечение несовершеннол
00403338  етних в качестве исполнителей для участия в зрелищных мероприяти
00403378  ях порнографического характера лицом, достигшим восемнадцатилетн
004033B8  его возраста, - наказываются лишением свободы на срок от двух до
004033F8   восьми лет с ограничением свободы на срок до одного года либо б
00403438  ез такового....

Thanks to mrbelyash for the sample.

1 comment:

  1. http://rghost.ru/5239177

    pass-virus

    ReplyDelete