Nikolay Lazarenko 439 Опубликовано 30 ноября, 2010 Share Опубликовано 30 ноября, 2010 (изменено) Эксперт «Лаборатории Касперского» Денис Масленников 30 ноября 2010 года в 17:16 MSK публикует блог "Еще один троянец-вымогатель - теперь в MBR": Сегодня мой коллега Виталий Камлюк написал о новом троянце-вымогателе, сильно напоминающем печально известный GpCode. Этот вымогатель шифрует пользовательские файлы криптоалгоритмами RSA-1024 и AES-256. Мы продолжаем наши исследования данной вредоносной программы и сообщим о всех изменениях. Но GpCode.ax – не единственный троянец-вымогатель, найденный нами за последние сутки. Мы также обнаружили вредоносную программу, которая перезаписывает главную загрузочную запись (MBR) и требует деньги для получения пароля, необходимого для восстановления оригинального MBR. Вредоносная программа детектируется нами как Trojan-Ransom.Win32.Seftad.a и Trojan-Ransom.Boot.Seftad.a. Другая вредоносная программа Trojan.Win32.Oficla.cw ответственна за загрузку нового вымогателя на машину жертвы. Если Seftad.a был загружен и запущен, инфицированный компьютер перезагрузится, после чего на экране появится следующее сообщение: Жертве неизвестен пароль для разблокировки, поэтому если пользователь три раза введет пароль неправильно, зараженная машина перезагрузится и на экране опять появится это сообщение. Введенные символы считываются с помощью int 16h, после чего следующая процедура считает значение и сравнивает его с хэшем размером в 2 байта: К счастью, жесткий диск или файлы не шифруются (автор вредоносной программы утверждает обратное). Этот вымогатель только перезаписывает оригинальный MBR на свой: Оригинальная главная загрузочная запись сохраняется в четвертом секторе жесткого диска вместе с маркером зловреда, лежащего по смещению 0x9FE: При посещении вредоносного веб-сайта пользователя попросят заплатить $100 с помощью «Paysafecard» или «Ukash». Если вы заразились этой вредоносной программой, то ни в коем случае не посещайте данный сайт. Вы можете воспользоваться нашим бесплатным сервисом разблокировки. В поле «Номер телефона» введите «Seftad» (без кавычек!) или указанный зловредом ID; поле «Текст смс» оставьте пустым. Нажав на кнопку «Получить код разблокировки», вы увидите пароль, который необходимо ввести. Если пароль не подошел, то вы можете восстановить оригинальный MBR с помощью Kaspersky Rescue Disk 10. http://www.securelist.com/ru/blog /207760863/Eshche_odin_troyanets_vymogatel_teper_v_MBR://http://www.securelist.com/ru/blog /...tel_teper_v_MBR://http://www.securelist.com/ru/blog /...tel_teper_v_MBR Изменено 30 ноября, 2010 пользователем Nikolay Lasarenko Ссылка на сообщение Поделиться на другие сайты
Xenon 720 Опубликовано 30 ноября, 2010 Share Опубликовано 30 ноября, 2010 а если стоит не оригинальная винда, а например сборка? Ссылка на сообщение Поделиться на другие сайты
Radik 5 Опубликовано 30 ноября, 2010 Share Опубликовано 30 ноября, 2010 а если стоит не оригинальная винда, а например сборка? Имеется ввиду "оригинальный MBR" системы а не "оригинальная винда" Ссылка на сообщение Поделиться на другие сайты
Денис-НН 1 101 Опубликовано 30 ноября, 2010 Share Опубликовано 30 ноября, 2010 Интересное а банальное fixboot ( Bootrec.exe /fixboot) fixmbr (Bootrec.exe /fixmbr) помогает? Ссылка на сообщение Поделиться на другие сайты
ShRaM 61 Опубликовано 1 декабря, 2010 Share Опубликовано 1 декабря, 2010 Спасибо ! будем остерегаться. Ссылка на сообщение Поделиться на другие сайты
Nikolay Lazarenko 439 Опубликовано 1 декабря, 2010 Автор Share Опубликовано 1 декабря, 2010 Эксперты «Лаборатории Касперского» обнаружили два новых блокера-шантажиста Ссылка на сообщение Поделиться на другие сайты
Yustas 789 Опубликовано 1 декабря, 2010 Share Опубликовано 1 декабря, 2010 Эксперты «Лаборатории Касперского» обнаружили два новых блокера-шантажиста Похоже, что эпидемия продолжается!? Хотя на сайте ЛК указан Уровень опасности 2. Или всё вышесказанное с учетом днями ранее обнаруженных опасностей не считается эпидемией? Ссылка на сообщение Поделиться на другие сайты
StalkerVik 64 Опубликовано 1 декабря, 2010 Share Опубликовано 1 декабря, 2010 Интересное а банальное fixboot ( Bootrec.exe /fixboot) fixmbr (Bootrec.exe /fixmbr) помогает? Если да, то это самый лёгкий троянчик по способу выкорчёвывания, наверно Ссылка на сообщение Поделиться на другие сайты
rok 0 Опубликовано 3 декабря, 2010 Share Опубликовано 3 декабря, 2010 Если да, то это самый лёгкий троянчик по способу выкорчёвывания, наверно главное чтоб Касперский его распознавал Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти