Технические детали
Вредоносная программа, требующая выкуп за получение содержимого зашифрованного архива, который, по мнению пользователя, содержит необходимый ему файл. Является приложением Windows (PE-EXE файл). Имеет размер 4945408 байт. Упакована при помощи UPX. Распакованный размер - около 12 МБ. Написана на C++.
Деструктивная активность
Троянец отображает следующее окно:
После подтверждения пункта "Я согласен(на) с правилами", выбора места распаковки, а также нажатия на кнопку "Распаковать" – вредонос имитирует процесс распаковки файлов. На определенном этапе данный процесс останавливается и пользователя уведомляют о том, что нужно выполнить определенные условия:
Пользователю предлагается заполнить поля формы, а потом отправить 3 SMS-сообщения:
Для других стран предлагается отправить СМС с текстом на номер, которые указаны ниже (в формате "Страна Текст Номер"):
Украина 59190***8373 9395
Беларусь 756***48373 3336
Абхазия 59190***8373 1315
Азербайджан 756***48373 9014
Албания 59190***8373 15191
Армения 756***48373 1121
Аргентина 59190***8373 55567
Австрия 756***48373 0930399999
Австралия 59190***8373 19995577
Босния 59190***8373 91810700
Бельгия 756***48373 7796
Болгария 756***48373 1098
Боливия 59190***8373 636
Канада 59190***8373 88188
Швейцария 59190***8373 543
Чили 59190***8373 1123
Колумбия 59190***8373 7766
Косово 59190***8373 15191
Чешская Республика 756***48373 9090199
Германия 756***48373 80888
Дания 756***48373 1945
Эквадор 59190***8373 7722
Египет 59190***8373 93401
Испания 756***48373 5339
Финляндия 756***48373 179479
Великобритания 59190***8373 80079
Грузия 59190***8373 4145
Греция 59190***8373 54540
Хорватия 59190***8373 88108
Венгрия 756***48373 90645045
Ирландия 59190***8373 57030
Израиль 59190***8373 5599
Исландия 59190***8373 5453
Италия 59190***8373 483233
Кыргызстан 756***48373 1171
Камбоджа 59190***8373 3339
Казахстан 756***48373 9915
Литва 756***48373 1645
Люксембург 59190***8373 64747
Латвия 756***48373 1874
Марокко 59190***8373 9089
Молдова 59190***8373 1045
Черногория 59190***8373 14941
Македония 59190***8373 141991
Мексика 59190***8373 7766
Нигерия 59190***8373 35810
Нидерланды 756***48373 7117
Норвегия 756***48373 2322
Новая Зеландия 59190***8373 4500
Перу 59190***8373 7766
Польша 756***48373 7910
Португалия 59190***8373 68999
Румыния 59190***8373 1288
Сербия 59190***8373 1553
Саудовская Аравия 59190***8373 676849
Швеция 756***48373 72170
Словения 59190***8373 3838
Таджикистан 756***48373 1171
Соединенные Штаты 59190***8373 97605
Узбекистан 59190***8373 8385
Венесуэла 59190***8373 7766
Южная Африка 59190***8373 42170
При отправке подтверждающего сообщения троянец осуществляет следующий HTTP запрос:
GET /api/startSmsSubscribeSms24/id/54748373/phone/7номер телефона/short_code/8916 HTTP/1.1
Cookie: symfony=rnd1
Connection: Keep-Alive
Accept-Language: ru-RU,en,*
User-Agent: Mozilla/5.0
Host: ***cash.ru
где rnd1 - произвольная последовательность цифр и букв латинского алфавита.
Ссылка "Служба поддержки" указывает на следующий ресурс:
http://***achalo6.ru/contact.html
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи Диспетчера задач завершить троянский процесс.
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
|