Trojan-Ransom.Win32.DigiPog.m

Технические детали

Троянская программа, которая блокирует работу компьютера с целью получить выкуп за восстановление работы. Программа является приложением Windows (PE EXE-файл). Имеет размер 104273 байта. Упакована неизвестным упаковщиком. Распакованный размер – около 670 КБ. Написана на С++.

Инсталляция

Троянец распространяется под видом проигрывателя медиа – контента. После активации троянец копирует свое тело во временный каталог текущего пользователя Windows под именем "userwgkg.exe":

%Temp%userwgkg.exe

Деструктивная активность

Троянец показывает лицензионное соглашение, в котором пользователя предупреждают, что программа платная и через некоторое время компьютер будет заблокирован, до тех пор, пока не будет произведена оплата:

Если пользователь нажмет на кнопку "Не принимаю", то троянец завершает свою работу.

В случае согласия троянец соединяется с сервером злоумышленника для оповещения о заражении:

94.102.51.148

Global\xusrwgkgcycm

%Temp%\usrcycm.dll

Далее библиотека подгружается во все запущенные процессы в системе. При помощи данной библиотеки троянец регенерирует ключ автозапуска, блокирует доступ к диспетчеру задач Windows, следит за наличием своего процесса в системе.

Троянская программа выводит на передний план свое окно, которое перекрывает все запущенные пользователем окна:

После завершения своей работы троянец во временном каталоге текущего пользователя Windows создает файл командного интерпретатора под именем "tmpcycm.bat":

%Temp%\tmpcycm.bat

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Воспользоваться сервисом деактивации вымогателей-блокеров:

   http://support.kaspersky.ru/viruses/deblocker

2. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

   Источник