18.05.2022

Как бороться с вредоносными программами семейства Trojan-Ransom.Win32.Digitala

Вредоносная программа семейства Trojan-Ransom.Win32.Digitala (Get Accelerator, Digital Access, Get Access, Download Manager v1.34) – это программа-вымогатель. Вредоносная программа семейства Trojan-Ransom.Win32.Digitala блокирует доступ к интернету и выводит на экран сообщение о нарушении лицензионного соглашения. Сообщение содержит требование отправить смс с определенным кодом на указанный номер, чтобы разблокировать доступ к интернету.

1. Примеры сообщений
Семейство Trojan-Ransom.Win32.Digitala состоит из нескольких видов блокеров:

Digital Access
Get Accelerator
Get Access
Download Manager v1.34
Ilite Net Accelerator
Примерами сообщений от таких видов вирусов могут быть следующие:

Digital Access

Get Accelerator

Get Access

Download Manager v1.34

2. Признаки заражения
Вредоносная программа на компьютере пользователя может появиться:
Без участия пользователя, т. е. вредоносная программа может скачиваться из интернета и установиться без ведома пользователя с помощью других вредоносных программ (Get Access).
При участии пользователя, т. е. пользователь может сам запустить установку с виду легальной программы, которая выдает себя за Digital Access. При запуске такой «замаскированной» программы выводится лицензионнное соглашение. Если пользователь соглашается с этим лицензионным соглашением, то происходит заражение компьютера.

На экран будет выведено сообщение с требованием отправки смс-сообщения для получения кода активации, который позволит активировать установленную программу.
Сообщение может быть выведено как сразу после установки «замаскированной» программы, так и по прошествии 6 часов.

Через 5 минут после появления сообщения-требования вредоносная программа перезагружает компьютер и блокирует работу интернета.
В реестре системных записей (по пути HKEY_LOCAL_MACHINE->SOFTWARE->Microsoft->Windows->Current Version->Uninstall) будет создана новая папка с названием {ffffffff-F03B-4b40-A3D0-F62E04DD1C09}, в которой будет указан путь к деинсталлятору.
Содержимое переменной UninstallString находится в поле Data.

Процесс установки вредоносной программы в систему:
Устанавливает скрытую службу, файл службы размещает в C:\Windows\System32.
Устанавливает руткит (программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе) для сокрытия своих файлов, файл руткита размещает в C:\Windows\System32.
Удаляет свой инсталлятор.
Отсылает данные о своей деятельности (установка, активизация, деинсталляция) на сервер хозяина.
При отсутствии сети или некоторых настройках сети вредоносная программа не устанавливается на систему, выдает ошибку и удаляет свой инсталлятор.

3. Как получить копию вируса на зараженной системе
Чтобы получить копию вируса на зараженной системе и отправить копию на исследование в Вирусную Лабораторию, выполните следующие действия:

Откройте команду «Выполнить»:
Для пользователей ОС Windows XP/Vista
Для пользователей ОС Windows 7
Для пользователей ОС Windows 8
В окне Выполнить (Запуск программы для Windows XP) в поле Открыть введите cmd.exe.
Нажмите на кнопку ОК.
В окне командной строки введите следующую команду: copy<содержимое переменной UninstallString без ключа->
В реестре системных записей (по пути HKEY_LOCAL_MACHINE->SOFTWARE->Microsoft->Windows->Current Version->Uninstall) будет создана новая папка с названием {ffffffff-F03B-4b40-A3D0-F62E04DD1C09}, в которой будет указан путь к деинсталлятору. Содержимое переменной UninstallString находится в поле Data.

Например, copy%systemroot%\Installer\ffffffff-F03B-4b40-A3D0-F62E04DD1C09\userinit.exe

Копия вируса будет скопирована в текущую папку.
Отправьте запрос в Вирусную Лабораторию, прикрепив к запросу копию вируса.

4. Лечение зараженной системы
Чтобы вылечить зараженную систему, воспользуйтесь бесплатной утилитой Kaspersky Virus Removal Tool 2015 или Kaspersky Rescue Disk.

Добавить комментарий

Ваш адрес email не будет опубликован.