Selbst ist der User: Trojan-Ransom.Win32.Krotten entfernen

Der nächste typische Vertreter seiner Art ist der Trojaner Trojan-Ransom.Win32.Krotten (gemäß der Klassifizierung von DrWeb auch bekannt als Trojan.Plastix).
Im Gegensatz zu den SMS-Erpressern, die den Systemstart blockieren ohne das System dabei zu beschädigen, richten die Vertreter dieser Erpresserfamilie reichlich Schaden im System selbst an, so dass die Anwesenheit des Trojaners und sein Autostart daraufhin schon nicht mehr wichtig sind. Andererseits sind die Schäden durchaus reparabel, da die meisten durch eine Modifizierung der System-Registry hervorgerufen werden. Der übliche Preis für die „Rettung des Systems“ beträgt $10.
Nehmen wir als Beispiel für eine typische Variante den Trojan-Ransom.Win32.Krotten.hu einmal genauer unter die Lupe. Die ausführbare Datei des Schadprogramms ist 139 KB groß. Das Icon der Datei ähnelt dem eines RAR-Archivs. Wird der betreffende Schädling gestartet, führt er eine Reihe von Operationen durch, die charakteristisch für die gesamte Krotten-Familie sind:

  1. Das Programm erstellt eine Policy zur eingeschränkten Nutzung des Programms (Schlüssel der Registry [SoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRestrictRun]), blockiert den Start aller Anwendungen außer thebat.exe, msimn.exe, iexplore.exe, MyIE.exe, Maxthon.exe, sbrowser.exe, absetup.exe, avant.exe, Photo.exe, notepad.exe, WinRAR.exe und WINZIP32.EXE.
  2. Es blockiert den Start von UsbStor (ein wichtiger Systemtreiber, der Treiber für alle USB-Speichermedien), und verhindert somit die Arbeit mit Flash-Speichern.
  3. Es treibt Unfug mit den Explorer-Einstellungen (unterdrückt insbesondere die Darstellung des Menüs „Start“ > „Ausführen“).
  4. Es erstellt eine Unmenge Sicherheits-Policys für Zugangsbeschränkung der Anwender zu den Systemeinstellungen und beschneidet nahezu alle Browser-Funktionen.
  5. Es ändert die Startseite des Internet Explorers (und ersetzt diese durch einen Link auf die Website poetry.rotten.com) sowie die Überschrift im Fenster des IE (und ersetzt diese durch derbe Flüche).
  6. Es deaktiviert das Kontextmenü in den Systemverzeichnissen.
  7. Es löscht den Ordner „Gemeinsame Dokumente“ aus dem „Arbeitsplatz“ (physisch wird der Ordner nicht gelöscht, es erfolgt lediglich ein Löschen{59031a47-3f72-44a7-89c5-5595fe6b30ee} aus dem Registry-Schlüssel [SOFTWAREMicrosoftWindowsCurrentVersionExplorerMyComputerNameSpaceDelegateFolders]).
  8. Aktiviert die Ausgabe von Benachrichtigungen über zu geringen freien Festplattenraum. Normalerweise erscheint diese Mitteilung nur dann, wenn weniger als 1% des Festplattenraums auf der HDD verfügbar ist. Aufgrund der Aktivität von Krotten wird diese Mitteilung immer ausgegeben.
  9. Verhindert die Darstellung von Desktop-Wallpapers.
  10. Erstellt eine nicht standardisierte Maske zur Zeitformatierung in den regionalen Einstellungen, was unter anderem dazu führt, dass anstelle der Uhrzeit anstößige Bemerkungen angezeigt werden und behindert die Funktion aller Programme, die die Uhrzeit gemäß der Systemeinstellungen der Formatierung anzeigen.
  11. Erstellt eine Mitteilung, die während des System-Neustarts angezeigt wird: Überschrift: DANGER, Text: Erpressung von $10 oder 500 für die Wiederherstellung der Funktionsfähigkeit des PC.
  12. Blockiert durch Policys den Start des Registry-Editors und des Task-Managers.
  13. Versucht Kopien seiner ausführbaren Datei unter den Namen
    C:WINDOWSProvisioningSchemaslsass.exe

    Und

    C:WINDOWSWinSxSManifestsexplorer.exe zu erstellen.
  14. Macht durch die Zerstörung des Registry-Schlüssels [regfileshellopencommand] den Import von REG-Dateien unmöglich.
  15. Verhindert die Darstellung und das Öffnen von Festplatten im Explorer.
  16. Erstellt leere Ordner auf der Festplatte C mit den Namen DOS und VISTA. Dabei installiert es für die Ordner „Dokumente und Einstellungen“, „Programmdateien“ und WINDOWS die Attribute Verborgen und System.

Nach Ausführung der beschriebenen Operationen öffnet der Trojaner ein Fenster mit seiner „Lösegeldforderung“:

Nach dem Neustart sieht der befallene Computer folgendermaßen aus: Das Hintergrundbild auf dem Desktop ist nach links verschoben, auf dem Desktop befinden sich keine Icons mehr, das Menü Eigenschaften des Desktop funktioniert nicht, das Startmenü wurde buchstäblich auf Null reduziert, der Registry-Editor und der Taskmanger sind blockiert, im Explorer wird die HDD nicht dargestellt und während des Neustarts öffnet sich ein Fenster mit der Lösegeldforderung (in der sowohl die geforderte Summe als auch eine Kontakt-E-Mail angegeben sind).
Trotz allem ist es nur halb so schlimm und die Funktionsfähigkeit des Systems lässt sich wiederherstellen.
Zunächst einmal kann man den Explorer entweder über das Menü starten, das aufgerufen wird, wenn man mit der rechten Maustaste auf die Schaltfläche Start klickt, oder durch das gleichzeitige Drücken der Tasten Win+E. Zwar erhält man von hier aus keinen Zugriff auf die Festplatte, doch es ist im Prinzip möglich, ein Programm mit erlaubten Namen (s. Punkt 1 oben) zu starten. Um allerdings den Namen nicht erraten zu müssen (die Zusammenstellung der erlaubten Programme kann je nach Trojaner-Modifikation variieren und das Laden des benötigten Programms kann zum Problem werden), muss man lediglich die folgenden Schritte ausführen:

  1. Das System im „geschützten Modus aus der Befehlszeile“ starten.
  2. In dem sich nach dem Laden öffnenden Fenster die folgenden Befehle auswählen:
    REG DELETE HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer
    REG DELETE
    HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer
  3. Nach jedem Befehl muss die Enter-Taste betätigt werden. Nun muss das Löschen der einzelnen Registry-Schlüssel mit der Y-Taste bestätigt werden.
  4. Desweiteren kann der Explorer auch durch Ausführen des Befehls explorer.exe gestartet werden. Da für den Explorer dabei keine Einschränkungen wirksam werden, kann aus dem Explorer jede beliebige Anwendung gestartet und jede beliebige Festplatte geöffnet werden.
  5. AVZ, AVPTool oder Kaspersky Internet Security starten und in ihnen das folgende Skript ausführen:
    var
    i : integer;
    Begin
    For i := 1 to 9 do
    ExecuteRepair(i);
    ExecuteRepair(11);
    ExecuteRepair(17);
    RegKeyIntParamWrite(‚HKLM‘, ‚SYSTEMCurrentControlSetServicesUsbStor‘,
    ‚Start‘, 1);
    RegKeyStrParamWrite(‚HKCU‘, ‚Control PanelInternational‘, ’sTimeFormat‘,
    ‚H:mm:ss‘);
    RegKeyParamDel(‚HKLM‘, ‚SYSTEMCurrentControlSetServiceslanmanserverparameters‘,
    ‚DiskSpaceThreshold‘);
    RegKeyCreate(‚HKLM‘, ‚SOFTWAREMicrosoftWindowsCurrentVersionExplorerMyComputerNameSpac
    eDelegateFolders{59031a47-3f72-44a7-89c5-5595fe6b30ee}‘);
    ExecuteWizard(‚TSW‘, 2, 3, true);
    DeleteDirectory(‚%SysDisk%DOS‘);
    DeleteDirectory(‚%SysDisk%VISTA‘);
    ExecuteFile(‚attrib -R -S -H „‚+NormalFileName(‚%WinDir%‘)+'“‚, “, 1, 10000, true);
    ExecuteFile(‚attrib -R -S -H „‚+NormalFileName(‚%PF%‘)+'“‚, “, 1, 10000, true);
    ExecuteFile(‚attrib -R -S -H „‚+NormalFileName(‚%ProfileDir%‘)+'“‚, “, 1, 10000,
    true);
    RebootWindows(true);
    end.

Das Ergebnis: Die Funktionsfähigkeit Ihres Computers ist wiederhergestellt und die Folgen der Infizierung mit Trojan-Ransom.Win32.Krotten wurden beseitigt.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.