Перейти к содержанию

Еще один троянец-вымогатель - теперь в MBR


Nikolay Lazarenko

Рекомендуемые сообщения

sl_maslennikov.jpg

Эксперт «Лаборатории Касперского» Денис Масленников 30 ноября 2010 года в 17:16 MSK публикует блог "Еще один троянец-вымогатель - теперь в MBR":

 

Сегодня мой коллега Виталий Камлюк написал о новом троянце-вымогателе, сильно напоминающем печально известный GpCode. Этот вымогатель шифрует пользовательские файлы криптоалгоритмами RSA-1024 и AES-256. Мы продолжаем наши исследования данной вредоносной программы и сообщим о всех изменениях.

 

Но GpCode.ax – не единственный троянец-вымогатель, найденный нами за последние сутки. Мы также обнаружили вредоносную программу, которая перезаписывает главную загрузочную запись (MBR) и требует деньги для получения пароля, необходимого для восстановления оригинального MBR. Вредоносная программа детектируется нами как Trojan-Ransom.Win32.Seftad.a и Trojan-Ransom.Boot.Seftad.a. Другая вредоносная программа Trojan.Win32.Oficla.cw ответственна за загрузку нового вымогателя на машину жертвы.

 

Если Seftad.a был загружен и запущен, инфицированный компьютер перезагрузится, после чего на экране появится следующее сообщение:

207760864.png

Жертве неизвестен пароль для разблокировки, поэтому если пользователь три раза введет пароль неправильно, зараженная машина перезагрузится и на экране опять появится это сообщение.

 

Введенные символы считываются с помощью int 16h, после чего следующая процедура считает значение и сравнивает его с хэшем размером в 2 байта:

207760865.png

К счастью, жесткий диск или файлы не шифруются (автор вредоносной программы утверждает обратное). Этот вымогатель только перезаписывает оригинальный MBR на свой:

207760866.png

Оригинальная главная загрузочная запись сохраняется в четвертом секторе жесткого диска вместе с маркером зловреда, лежащего по смещению 0x9FE:

207760867.png

При посещении вредоносного веб-сайта пользователя попросят заплатить $100 с помощью «Paysafecard» или «Ukash».

 

Если вы заразились этой вредоносной программой, то ни в коем случае не посещайте данный сайт. Вы можете воспользоваться нашим бесплатным сервисом разблокировки. В поле «Номер телефона» введите «Seftad» (без кавычек!) или указанный зловредом ID; поле «Текст смс» оставьте пустым. Нажав на кнопку «Получить код разблокировки», вы увидите пароль, который необходимо ввести. Если пароль не подошел, то вы можете восстановить оригинальный MBR с помощью Kaspersky Rescue Disk 10.

 

http://www.securelist.com/ru/blog

/207760863/Eshche_odin_troyanets_vymogatel_teper_v_MBR://http://www.securelist.com/ru/blog

/...tel_teper_v_MBR://http://www.securelist.com/ru/blog

/...tel_teper_v_MBR

Изменено пользователем Nikolay Lasarenko
Ссылка на комментарий
Поделиться на другие сайты

Похоже, что эпидемия продолжается!?

Хотя на сайте ЛК указан Уровень опасности 2.

Или всё вышесказанное с учетом днями ранее обнаруженных опасностей не считается эпидемией?

Ссылка на комментарий
Поделиться на другие сайты

Интересное а банальное

fixboot ( Bootrec.exe /fixboot)

fixmbr (Bootrec.exe /fixmbr) помогает?

Если да, то это самый лёгкий троянчик по способу выкорчёвывания, наверно :)

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ska79
      От ska79
      В сети пишут что после конвертации mbr в gpt может не загрузиться ОС,
      Возможно ли конвертировать mbr в gpt без потери данных (без необходимости переустановки\ в режиме обновления ОС,)? 
      В системе 4 физических накопителя - 2hdd, 2ssd.
      ssd на котором становлена ОСь разбит на 4 раздела
    • Алексей Андронов
      От Алексей Андронов
      Добрый день!
       
      Поймали шифровальщика, который работает до сих пор на отключенном от интернета ПК.
      Ничего не переустанавливали и не трогали.
      Все, что можно спасти, копируем.
      Пострадал один ПК и один резервный сменный накопитель.
      Шифровальщик затронул большинство файлов.
      Предположительно получен по почте 02.12.24 под видом акта сверки расчетов
       
      Прошу помощи в излечении и расшифровке
       
      Во вложении логи FRST, архив с документами и запиской вымогателей и, предположительно, дроппер с которого произошло заражение и резидентный модуль
      архив.zip virus.zip Addition.txt FRST.txt
    • C0c024
      От C0c024
      Меня атаковал вирус-вымогатель .elons, я хочу узнать больше информации об этом вредоносном ПО, поскольку то, что я видел на других форумах, решения не существует.Adición.txt  FRST.txt
    • grobique
      От grobique
      Здравствуйте! Образовалась такая ситуация - имеется машина, на Win7 x64, подключенная к интернету. Из портов были открыты 80, 3389, и несколько иных для различных программ, типа 8000 для радио, 25565 для игры, и всё такое. В один прекрасный момент раздается звук перезагрузки системы, и в итоге имею диск зашифрованных файлов.
      Что имеется в архиве - один зашифрованный .bat файл, так же - его копия до сего происшествия, а так же один аудиофайл, так же в зашифрованном и нормальном виде. Само собой, "записочка" от авторов.
      Так же на другой машине Windows 10 очень огрызается на все исполняемые файлы, которые я копирую с зараженного компьютера, говорит десятка, что Neshta.A.
      Desktop.zip FRST.txt Addition.txt
    • gentry
      От gentry
      Добрый день. Прошу помощи в дешифровке.
      Логи FRST, файл с требованиями и зашифрованные файлы во вложении.
      elpaco.rar
×
×
  • Создать...