Перейти к содержанию

Еще один троянец-вымогатель - теперь в MBR

Nikolay Lazarenko

Автор Nikolay Lazarenko
в Жизнь «Лаборатории Касперского»

 Поделиться

Рекомендуемые сообщения

Nikolay Lazarenko

Nikolay Lazarenko

Опубликовано
Опубликовано (изменено)

sl_maslennikov.jpg

Эксперт «Лаборатории Касперского» Денис Масленников 30 ноября 2010 года в 17:16 MSK публикует блог "Еще один троянец-вымогатель - теперь в MBR":

 

Сегодня мой коллега Виталий Камлюк написал о новом троянце-вымогателе, сильно напоминающем печально известный GpCode. Этот вымогатель шифрует пользовательские файлы криптоалгоритмами RSA-1024 и AES-256. Мы продолжаем наши исследования данной вредоносной программы и сообщим о всех изменениях.

 

Но GpCode.ax – не единственный троянец-вымогатель, найденный нами за последние сутки. Мы также обнаружили вредоносную программу, которая перезаписывает главную загрузочную запись (MBR) и требует деньги для получения пароля, необходимого для восстановления оригинального MBR. Вредоносная программа детектируется нами как Trojan-Ransom.Win32.Seftad.a и Trojan-Ransom.Boot.Seftad.a. Другая вредоносная программа Trojan.Win32.Oficla.cw ответственна за загрузку нового вымогателя на машину жертвы.

 

Если Seftad.a был загружен и запущен, инфицированный компьютер перезагрузится, после чего на экране появится следующее сообщение:

207760864.png

Жертве неизвестен пароль для разблокировки, поэтому если пользователь три раза введет пароль неправильно, зараженная машина перезагрузится и на экране опять появится это сообщение.

 

Введенные символы считываются с помощью int 16h, после чего следующая процедура считает значение и сравнивает его с хэшем размером в 2 байта:

207760865.png

К счастью, жесткий диск или файлы не шифруются (автор вредоносной программы утверждает обратное). Этот вымогатель только перезаписывает оригинальный MBR на свой:

207760866.png

Оригинальная главная загрузочная запись сохраняется в четвертом секторе жесткого диска вместе с маркером зловреда, лежащего по смещению 0x9FE:

207760867.png

При посещении вредоносного веб-сайта пользователя попросят заплатить $100 с помощью «Paysafecard» или «Ukash».

 

Если вы заразились этой вредоносной программой, то ни в коем случае не посещайте данный сайт. Вы можете воспользоваться нашим бесплатным сервисом разблокировки. В поле «Номер телефона» введите «Seftad» (без кавычек!) или указанный зловредом ID; поле «Текст смс» оставьте пустым. Нажав на кнопку «Получить код разблокировки», вы увидите пароль, который необходимо ввести. Если пароль не подошел, то вы можете восстановить оригинальный MBR с помощью Kaspersky Rescue Disk 10.

 

http://www.securelist.com/ru/blog

/207760863/Eshche_odin_troyanets_vymogatel_teper_v_MBR://http://www.securelist.com/ru/blog

/...tel_teper_v_MBR://http://www.securelist.com/ru/blog

/...tel_teper_v_MBR

Изменено пользователем Nikolay Lasarenko
Xenon

Xenon

Опубликовано
Опубликовано

а если стоит не оригинальная винда, а например сборка?

Radik

Radik

Опубликовано
Опубликовано
а если стоит не оригинальная винда, а например сборка?

 

Имеется ввиду "оригинальный MBR" системы а не "оригинальная винда"

Денис-НН

Денис-НН

Опубликовано
Опубликовано

Интересное а банальное

fixboot ( Bootrec.exe /fixboot)

fixmbr (Bootrec.exe /fixmbr) помогает?

Yustas

Yustas

Опубликовано
Опубликовано

Похоже, что эпидемия продолжается!?

Хотя на сайте ЛК указан Уровень опасности 2.

Или всё вышесказанное с учетом днями ранее обнаруженных опасностей не считается эпидемией?

StalkerVik

StalkerVik

Опубликовано
Опубликовано
Интересное а банальное

fixboot ( Bootrec.exe /fixboot)

fixmbr (Bootrec.exe /fixmbr) помогает?

Если да, то это самый лёгкий троянчик по способу выкорчёвывания, наверно :)

rok

rok

Опубликовано
Опубликовано
Если да, то это самый лёгкий троянчик по способу выкорчёвывания, наверно :)

главное чтоб Касперский его распознавал

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...