Nikolay Lazarenko 659 Опубликовано 30 ноября, 2010 Share Опубликовано 30 ноября, 2010 (изменено) Эксперт «Лаборатории Касперского» Денис Масленников 30 ноября 2010 года в 17:16 MSK публикует блог "Еще один троянец-вымогатель - теперь в MBR": Сегодня мой коллега Виталий Камлюк написал о новом троянце-вымогателе, сильно напоминающем печально известный GpCode. Этот вымогатель шифрует пользовательские файлы криптоалгоритмами RSA-1024 и AES-256. Мы продолжаем наши исследования данной вредоносной программы и сообщим о всех изменениях. Но GpCode.ax – не единственный троянец-вымогатель, найденный нами за последние сутки. Мы также обнаружили вредоносную программу, которая перезаписывает главную загрузочную запись (MBR) и требует деньги для получения пароля, необходимого для восстановления оригинального MBR. Вредоносная программа детектируется нами как Trojan-Ransom.Win32.Seftad.a и Trojan-Ransom.Boot.Seftad.a. Другая вредоносная программа Trojan.Win32.Oficla.cw ответственна за загрузку нового вымогателя на машину жертвы. Если Seftad.a был загружен и запущен, инфицированный компьютер перезагрузится, после чего на экране появится следующее сообщение: Жертве неизвестен пароль для разблокировки, поэтому если пользователь три раза введет пароль неправильно, зараженная машина перезагрузится и на экране опять появится это сообщение. Введенные символы считываются с помощью int 16h, после чего следующая процедура считает значение и сравнивает его с хэшем размером в 2 байта: К счастью, жесткий диск или файлы не шифруются (автор вредоносной программы утверждает обратное). Этот вымогатель только перезаписывает оригинальный MBR на свой: Оригинальная главная загрузочная запись сохраняется в четвертом секторе жесткого диска вместе с маркером зловреда, лежащего по смещению 0x9FE: При посещении вредоносного веб-сайта пользователя попросят заплатить $100 с помощью «Paysafecard» или «Ukash». Если вы заразились этой вредоносной программой, то ни в коем случае не посещайте данный сайт. Вы можете воспользоваться нашим бесплатным сервисом разблокировки. В поле «Номер телефона» введите «Seftad» (без кавычек!) или указанный зловредом ID; поле «Текст смс» оставьте пустым. Нажав на кнопку «Получить код разблокировки», вы увидите пароль, который необходимо ввести. Если пароль не подошел, то вы можете восстановить оригинальный MBR с помощью Kaspersky Rescue Disk 10. http://www.securelist.com/ru/blog /207760863/Eshche_odin_troyanets_vymogatel_teper_v_MBR://http://www.securelist.com/ru/blog /...tel_teper_v_MBR://http://www.securelist.com/ru/blog /...tel_teper_v_MBR Изменено 30 ноября, 2010 пользователем Nikolay Lasarenko Цитата Ссылка на сообщение Поделиться на другие сайты
Xenon 922 Опубликовано 30 ноября, 2010 Share Опубликовано 30 ноября, 2010 а если стоит не оригинальная винда, а например сборка? Цитата Ссылка на сообщение Поделиться на другие сайты
Radik 9 Опубликовано 30 ноября, 2010 Share Опубликовано 30 ноября, 2010 а если стоит не оригинальная винда, а например сборка? Имеется ввиду "оригинальный MBR" системы а не "оригинальная винда" Цитата Ссылка на сообщение Поделиться на другие сайты
Денис-НН 1 224 Опубликовано 30 ноября, 2010 Share Опубликовано 30 ноября, 2010 Интересное а банальное fixboot ( Bootrec.exe /fixboot) fixmbr (Bootrec.exe /fixmbr) помогает? Цитата Ссылка на сообщение Поделиться на другие сайты
ShRaM 90 Опубликовано 1 декабря, 2010 Share Опубликовано 1 декабря, 2010 Спасибо ! будем остерегаться. Цитата Ссылка на сообщение Поделиться на другие сайты
Nikolay Lazarenko 659 Опубликовано 1 декабря, 2010 Автор Share Опубликовано 1 декабря, 2010 Эксперты «Лаборатории Касперского» обнаружили два новых блокера-шантажиста Цитата Ссылка на сообщение Поделиться на другие сайты
Yustas 871 Опубликовано 1 декабря, 2010 Share Опубликовано 1 декабря, 2010 Эксперты «Лаборатории Касперского» обнаружили два новых блокера-шантажиста Похоже, что эпидемия продолжается!? Хотя на сайте ЛК указан Уровень опасности 2. Или всё вышесказанное с учетом днями ранее обнаруженных опасностей не считается эпидемией? Цитата Ссылка на сообщение Поделиться на другие сайты
StalkerVik 96 Опубликовано 1 декабря, 2010 Share Опубликовано 1 декабря, 2010 Интересное а банальное fixboot ( Bootrec.exe /fixboot) fixmbr (Bootrec.exe /fixmbr) помогает? Если да, то это самый лёгкий троянчик по способу выкорчёвывания, наверно Цитата Ссылка на сообщение Поделиться на другие сайты
rok 1 Опубликовано 3 декабря, 2010 Share Опубликовано 3 декабря, 2010 Если да, то это самый лёгкий троянчик по способу выкорчёвывания, наверно главное чтоб Касперский его распознавал Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.