Вирусы MBRlock приходят на смену WINlock

Эксперты компании «Доктор Веб», опубликовав отчет об основных направлениях в сфере вредоносного программного обеспечения за май 2011 года, отметили тенденцию замены вирусов WINlock (блокирующих аутентификацию учетной записи Windows) на MBRlock (блокирующих загрузку самой ОС путем модификации главной загрузочной записи Master Boot Record).

 

При этом вирусы данного типа (например Trojan.MBRlock) действую весьма избирательно – если на компьютере установлено несколько операционных систем, то за вход в каждую из них злоумышленники вымогают плату отдельно. При этом зловреды сконструированы так, что попытки восстановления MBR с помощью стандартных средств может привести к полной потере данных пользователя, поскольку
оказывается поврежденной таблица разделов диска.

Особую тревогу вызывает то, что за прошедший месяц 2011 года количество таких программ увеличилось на 30.7%.


Вот как выглядит:


 
Как удалить MBRlock:



 
Обсудить у себя 1
Комментарии (5)
Блин-блин-блин… Это видео мне не глянуть, и причина не в видео, а во мне. Подозреваю, Консоль восстановления и fixmbr? Или fixboot? Тогда, просовокуплял дистрибутив куда-то — и кирдык. Учитывая фиговую моду пользоваться быдлосборками вместо лицензии. А если есть дистрибутив — проблема детская. Хотя… стандартные средсва, значит, не помогают? Тогда интересно.
Перед fixmbr и fixboot, можно еще попробовать ввести коды.
После установки троянец прописывается в главную загрузочную запись и близлежащие сектора жесткого диска. В главной загрузочной записи жесткого диска после заражения появляется код, который загружает информацию с соседних секторов диска. Как следствие — на экран выводятся требования  заплатить за разблокировку системы.
При вводе верного пароля происходит восстановление исходного состояния загрузочной области диска, и загрузка установленной операционной системы происходит в обычном режиме.
Все известные коды:
 ekol

 jail

 777888

 zpo4301

 zzp0193

 281056

 098SWO

 875082 

Пример локера:
Trojan.MBRlock.6 (DrWeb)
Trojan-Ransom.Win32.PornoAsset.eg (KAV) TR/Ransom.Mbro.a (AntiVir)

1. Троян проверяет время в BIOS. Активен примерно сутки от своего создания. Можно перевести часы в биос на сутки вперед и он нейтрализуется.
Правда,
— остаются файлы fpath.txt, x2z8.exe в юзертемпе. В fpath.txt — путь к исходному дропперу, но он самоудаляется после заражения.
x2z8.exe — копия дроппера.
— остается мусор в секторах 2 и далее на первой дорожке.
Оригинальный МБР исходно лежит в секторе 2

2. В MBR код разблокировки виден невооруженным взглядом, он не кодирован.
Код: [Выделить]<code style=«display: block; background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: #f0f0f0; color: black; font-family: 'dejavu sans mono', monaco, 'lucida console', 'courier new', monospace; font-size: x-small; border-top-width: 2px; border-top-style: solid; border-top-color: #999999; border-bottom-width: 2px; border-bottom-style: solid; border-bottom-color: #999999; overflow-x: auto; overflow-y: auto; white-space: pre-wrap; max-height: 24em; background-position: initial initial; background-repeat: initial initial; padding: 0.5em;» data-second_best="[object Object]" data-result="[object Object]" class=«perl»>║А ╣ ╕☺☻hj↑•1█═‼hj↑▼Ъ j↑1█О█О├О╙@☼Д☼☺║А ╣♥ ╕♥☻╗ ►═‼s♣╕G♫═►╕ ◄╜ ►╣@ ║└ ╖►│ ═►║А ╣♣ ╕♦☻╗0═‼f`╕☺‼╗♀ ╣0•1╥╜ 0═►faf`╕☺‼╗♫ ╣♀ ║ ↨╜R}═►fa┐ l┤ W═■_ы7<◘u3f`┤♥╖ А·═►favхf`┤♥╖ ═►R■╩╖ ┤☻═►╕ ♫═►Z■╩╖ ┤☻═►faOы┴<uU╛е}┐ l╡ К♫д}єжt[f`┤☻╖ ║♀↨═►╕ ╣d ═►╣♣ 1╥┤Ж═§╕☺‼╗♀ ╣♠ ║ ↑ш♠Error]═►┤☻╖ ║♀↨═►fa┐ lщh < ☼Вb <~☼З\ к┤♫W═►_щR j • ♫‼♦═↕┴р♠О└1 ╛^}╣F єд♠j ╦Enter code: f`╕☺‼╗◘ ╣♫║ ↑ш♫ Loading OS…]═►faj •▓А╣☻ ╕☺☻╗ |═‼▓А╣☺ ╕☺♥╗ |═‼ъ | ♠281056RD ,Dc@B@B А☺☺ •■? ¶мUк[CODE]


Для этого экземпляра код 281056
Спасибо! Теперь вспомнил. Я такое видел еще когда холодно было. Только там аглицкими буквами было про оплату лицензии на русский мобильник Но там у людей до того Хрюха была, а в сидюке торчала тыреная Семерка Ну, я ситуацию оценил не совсем верно, а тем не менее фиксанул бут — и щщастье. Еще раз спасибо! Ценная инфа и хорошее пояснение.
кстати я пароля в явном виде пока не видел, он всега попадался только зашифрованным
Метод: загрузка с Alkid LiveCD
HDD Tool -> fixmbr
сохранение mbr на жесткий диск
внтури mbr.bin (открываем текстовым редактором) находим коды для разблокировки зловреда...
Чтобы комментировать надо зарегистрироваться или если вы уже регистрировались войти в свой аккаунт.

Войти через социальные сети:

SM2k
SM2k
Было на сайте никогда
Читателей: 26 Опыт: 0 Карма: 1
все 26 Мои друзья