Еще один троянец-вымогатель - теперь в MBR

[Nikolay Lazarenko 658]

Эксперт «Лаборатории Касперского» Денис Масленников 30 ноября 2010 года в 17:16 MSK публикует блог "Еще один троянец-вымогатель - теперь в MBR":

 

Сегодня мой коллега Виталий Камлюк написал о новом троянце-вымогателе, сильно напоминающем печально известный GpCode. Этот вымогатель шифрует пользовательские файлы криптоалгоритмами RSA-1024 и AES-256. Мы продолжаем наши исследования данной вредоносной программы и сообщим о всех изменениях.

 

Но GpCode.ax – не единственный троянец-вымогатель, найденный нами за последние сутки. Мы также обнаружили вредоносную программу, которая перезаписывает главную загрузочную запись (MBR) и требует деньги для получения пароля, необходимого для восстановления оригинального MBR. Вредоносная программа детектируется нами как Trojan-Ransom.Win32.Seftad.a и Trojan-Ransom.Boot.Seftad.a. Другая вредоносная программа Trojan.Win32.Oficla.cw ответственна за загрузку нового вымогателя на машину жертвы.

 

Если Seftad.a был загружен и запущен, инфицированный компьютер перезагрузится, после чего на экране появится следующее сообщение:

Жертве неизвестен пароль для разблокировки, поэтому если пользователь три раза введет пароль неправильно, зараженная машина перезагрузится и на экране опять появится это сообщение.

 

Введенные символы считываются с помощью int 16h, после чего следующая процедура считает значение и сравнивает его с хэшем размером в 2 байта:

К счастью, жесткий диск или файлы не шифруются (автор вредоносной программы утверждает обратное). Этот вымогатель только перезаписывает оригинальный MBR на свой:

Оригинальная главная загрузочная запись сохраняется в четвертом секторе жесткого диска вместе с маркером зловреда, лежащего по смещению 0x9FE:

При посещении вредоносного веб-сайта пользователя попросят заплатить $100 с помощью «Paysafecard» или «Ukash».

 

Если вы заразились этой вредоносной программой, то ни в коем случае не посещайте данный сайт. Вы можете воспользоваться нашим бесплатным сервисом разблокировки. В поле «Номер телефона» введите «Seftad» (без кавычек!) или указанный зловредом ID; поле «Текст смс» оставьте пустым. Нажав на кнопку «Получить код разблокировки», вы увидите пароль, который необходимо ввести. Если пароль не подошел, то вы можете восстановить оригинальный MBR с помощью Kaspersky Rescue Disk 10.

 

http://www.securelist.com/ru/blog

/207760863/Eshche_odin_troyanets_vymogatel_teper_v_MBR://http://www.securelist.com/ru/blog

/...tel_teper_v_MBR://http://www.securelist.com/ru/blog

/...tel_teper_v_MBR

Изменено 30 ноября, 2010 пользователем Nikolay Lasarenko

[Xenon 920]

а если стоит не оригинальная винда, а например сборка?

[Radik 9]

а если стоит не оригинальная винда, а например сборка?

 

Имеется ввиду "оригинальный MBR" системы а не "оригинальная винда"

[Денис-НН 1 224]

Интересное а банальное

fixboot ( Bootrec.exe /fixboot)

fixmbr (Bootrec.exe /fixmbr) помогает?

[ShRaM 90]

Спасибо ! будем остерегаться.

[Nikolay Lazarenko 658]

Эксперты «Лаборатории Касперского» обнаружили два новых блокера-шантажиста

[Yustas 871]

Эксперты «Лаборатории Касперского» обнаружили два новых блокера-шантажиста

Похоже, что эпидемия продолжается!?

Хотя на сайте ЛК указан Уровень опасности 2.

Или всё вышесказанное с учетом днями ранее обнаруженных опасностей не считается эпидемией?

[StalkerVik 96]

Интересное а банальное

fixboot ( Bootrec.exe /fixboot)

fixmbr (Bootrec.exe /fixmbr) помогает?

Если да, то это самый лёгкий троянчик по способу выкорчёвывания, наверно

[rok 1]

Если да, то это самый лёгкий троянчик по способу выкорчёвывания, наверно

главное чтоб Касперский его распознавал