Как бороться с вредоносными программами семейства Trojan-Ransom.Win32.Digitala

Вредоносная программа семейства Trojan-Ransom.Win32.Digitala (Get Accelerator, Digital Access, Get Access, Download Manager v1.34) – это программа-вымогатель. Вредоносная программа семейства Trojan-Ransom.Win32.Digitala блокирует доступ к интернету и выводит на экран сообщение о нарушении лицензионного соглашения. Сообщение содержит требование отправить смс с определенным кодом на указанный номер, чтобы разблокировать доступ к интернету.

1. Примеры сообщений
Семейство Trojan-Ransom.Win32.Digitala состоит из нескольких видов блокеров:

Digital Access
Get Accelerator
Get Access
Download Manager v1.34
Ilite Net Accelerator
Примерами сообщений от таких видов вирусов могут быть следующие:

Digital Access

Get Accelerator

Get Access

Download Manager v1.34


2. Признаки заражения
Вредоносная программа на компьютере пользователя может появиться:
Без участия пользователя, т. е. вредоносная программа может скачиваться из интернета и установиться без ведома пользователя с помощью других вредоносных программ (Get Access).
При участии пользователя, т. е. пользователь может сам запустить установку с виду легальной программы, которая выдает себя за Digital Access. При запуске такой «замаскированной» программы выводится лицензионнное соглашение. Если пользователь соглашается с этим лицензионным соглашением, то происходит заражение компьютера.

На экран будет выведено сообщение с требованием отправки смс-сообщения для получения кода активации, который позволит активировать установленную программу.
Сообщение может быть выведено как сразу после установки «замаскированной» программы, так и по прошествии 6 часов.

Через 5 минут после появления сообщения-требования вредоносная программа перезагружает компьютер и блокирует работу интернета.
В реестре системных записей (по пути HKEY_LOCAL_MACHINE->SOFTWARE->Microsoft->Windows->Current Version->Uninstall) будет создана новая папка с названием {ffffffff-F03B-4b40-A3D0-F62E04DD1C09}, в которой будет указан путь к деинсталлятору.
Содержимое переменной UninstallString находится в поле Data.

Процесс установки вредоносной программы в систему:
Устанавливает скрытую службу, файл службы размещает в C:\Windows\System32.
Устанавливает руткит (программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе) для сокрытия своих файлов, файл руткита размещает в C:\Windows\System32.
Удаляет свой инсталлятор.
Отсылает данные о своей деятельности (установка, активизация, деинсталляция) на сервер хозяина.
При отсутствии сети или некоторых настройках сети вредоносная программа не устанавливается на систему, выдает ошибку и удаляет свой инсталлятор.

3. Как получить копию вируса на зараженной системе
Чтобы получить копию вируса на зараженной системе и отправить копию на исследование в Вирусную Лабораторию, выполните следующие действия:

Откройте команду «Выполнить»:
Для пользователей ОС Windows XP/Vista
Для пользователей ОС Windows 7
Для пользователей ОС Windows 8
В окне Выполнить (Запуск программы для Windows XP) в поле Открыть введите cmd.exe.
Нажмите на кнопку ОК.
В окне командной строки введите следующую команду: copy<содержимое переменной UninstallString без ключа->
В реестре системных записей (по пути HKEY_LOCAL_MACHINE->SOFTWARE->Microsoft->Windows->Current Version->Uninstall) будет создана новая папка с названием {ffffffff-F03B-4b40-A3D0-F62E04DD1C09}, в которой будет указан путь к деинсталлятору. Содержимое переменной UninstallString находится в поле Data.

Например, copy%systemroot%\Installer\ffffffff-F03B-4b40-A3D0-F62E04DD1C09\userinit.exe

Копия вируса будет скопирована в текущую папку.
Отправьте запрос в Вирусную Лабораторию, прикрепив к запросу копию вируса.

4. Лечение зараженной системы
Чтобы вылечить зараженную систему, воспользуйтесь бесплатной утилитой Kaspersky Virus Removal Tool 2015 или Kaspersky Rescue Disk.