Перейти к содержанию

Еще один троянец-вымогатель - теперь в MBR

Nikolay Lazarenko

От Nikolay Lazarenko
в Жизнь «Лаборатории Касперского»

 Share

Рекомендуемые сообщения

Nikolay Lazarenko Ветеран

Nikolay Lazarenko

Опубликовано
Опубликовано (изменено)

sl_maslennikov.jpg

Эксперт «Лаборатории Касперского» Денис Масленников 30 ноября 2010 года в 17:16 MSK публикует блог "Еще один троянец-вымогатель - теперь в MBR":

 

Сегодня мой коллега Виталий Камлюк написал о новом троянце-вымогателе, сильно напоминающем печально известный GpCode. Этот вымогатель шифрует пользовательские файлы криптоалгоритмами RSA-1024 и AES-256. Мы продолжаем наши исследования данной вредоносной программы и сообщим о всех изменениях.

 

Но GpCode.ax – не единственный троянец-вымогатель, найденный нами за последние сутки. Мы также обнаружили вредоносную программу, которая перезаписывает главную загрузочную запись (MBR) и требует деньги для получения пароля, необходимого для восстановления оригинального MBR. Вредоносная программа детектируется нами как Trojan-Ransom.Win32.Seftad.a и Trojan-Ransom.Boot.Seftad.a. Другая вредоносная программа Trojan.Win32.Oficla.cw ответственна за загрузку нового вымогателя на машину жертвы.

 

Если Seftad.a был загружен и запущен, инфицированный компьютер перезагрузится, после чего на экране появится следующее сообщение:

207760864.png

Жертве неизвестен пароль для разблокировки, поэтому если пользователь три раза введет пароль неправильно, зараженная машина перезагрузится и на экране опять появится это сообщение.

 

Введенные символы считываются с помощью int 16h, после чего следующая процедура считает значение и сравнивает его с хэшем размером в 2 байта:

207760865.png

К счастью, жесткий диск или файлы не шифруются (автор вредоносной программы утверждает обратное). Этот вымогатель только перезаписывает оригинальный MBR на свой:

207760866.png

Оригинальная главная загрузочная запись сохраняется в четвертом секторе жесткого диска вместе с маркером зловреда, лежащего по смещению 0x9FE:

207760867.png

При посещении вредоносного веб-сайта пользователя попросят заплатить $100 с помощью «Paysafecard» или «Ukash».

 

Если вы заразились этой вредоносной программой, то ни в коем случае не посещайте данный сайт. Вы можете воспользоваться нашим бесплатным сервисом разблокировки. В поле «Номер телефона» введите «Seftad» (без кавычек!) или указанный зловредом ID; поле «Текст смс» оставьте пустым. Нажав на кнопку «Получить код разблокировки», вы увидите пароль, который необходимо ввести. Если пароль не подошел, то вы можете восстановить оригинальный MBR с помощью Kaspersky Rescue Disk 10.

 

http://www.securelist.com/ru/blog

/207760863/Eshche_odin_troyanets_vymogatel_teper_v_MBR://http://www.securelist.com/ru/blog

/...tel_teper_v_MBR://http://www.securelist.com/ru/blog

/...tel_teper_v_MBR

Изменено пользователем Nikolay Lasarenko
Ссылка на комментарий
Поделиться на другие сайты
Yustas Ветеран

Yustas

Опубликовано
Опубликовано

Похоже, что эпидемия продолжается!?

Хотя на сайте ЛК указан Уровень опасности 2.

Или всё вышесказанное с учетом днями ранее обнаруженных опасностей не считается эпидемией?

Ссылка на комментарий
Поделиться на другие сайты
StalkerVik Ветеран

StalkerVik

Опубликовано
Опубликовано
Интересное а банальное

fixboot ( Bootrec.exe /fixboot)

fixmbr (Bootrec.exe /fixmbr) помогает?

Если да, то это самый лёгкий троянчик по способу выкорчёвывания, наверно :)

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем
×
×
  • Создать...