Перейти к содержанию
AM_Bot

Новый Trojan.MBRlock угрожает шифрованием файлов

Recommended Posts

AM_Bot

13 октября 2011 г.

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — сообщает о появлении нового троянца-блокировщика ОС Windows, заражающего Master Boot Record. В отличие от предыдущих модификаций этого семейства вредоносных программ, Trojan.MBRlock.16 не содержит в своих ресурсах необходимый для разблокировки операционной системы код, а генерирует его на основе данных об аппаратной конфигурации компьютера.

В своих новостях и обзорах компания «Доктор Веб» уже упоминала о троянских программах семейства MBRLock: первые образцы вымогателей, инфицирующих загрузочную запись жесткого диска, поступили в антивирусную лабораторию еще в мае 2011 года, а в сентябре появились модификации, ориентированные на западных пользователей. Напомним, что подобные троянцы блокируют не вход в операционную систему, как вредоносные программы семейства Trojan.Winlock, а сам ее запуск. Код записывается в главную загрузочную запись (MBR), при обращении к жесткому диску в процессе запуска компьютера он загружает с соседних секторов основное тело Trojan.MBRlock, после чего на экране демонстрируются требования злоумышленников. Большинство известных на сегодняшний день троянцев семейства Trojan.MBRlock хранили необходимый для разблокировки компьютера пароль в собственном коде, в связи с чем его было просто извлечь. Несколько иначе действует Trojan.MBRlock.16.

TrojanMBRLock16.1.png

Эта программа-вымогатель выдает себя за «полезную» утилиту Antivirus XP Hard Disk Repair, якобы предназначенную для удаления вирусов с жесткого диска компьютера. После запуска Trojan.MBRlock.16 инфицирует MBR и выводит на экран сообщение о том, что система якобы инфицирована вредоносной программой Trojan.Agent.ARVP, зашифровавшей всю информацию на жестких дисках (при этом фактически никакого шифрования не производится). Для спасения пользовательских данных злоумышленники предлагают жертве «купить лицензию» утилиты Antivirus XP Hard Disk Repair, для чего следует отправить сгенерированный программой ключ с помощью формы, размещенной на принадлежащем мошенникам сайте, и осуществить оплату. Сам уникальный ключ (HDDKEY) и пароль для разблокировки компьютера Trojan.MBRlock.16 генерирует на основе информации об аппаратной конфигурации ПК.

С целью помочь пользователям, пострадавшим от данной программы-вымогателя, специалисты компании «Доктор Веб» разработали специальный генератор паролей для разблокировки компьютера, который можно загрузить по ссылке ftp://ftp.drweb.com/pub/drweb/tools/mbrlock16keygen.exe. Сигнатура Trojan.MBRlock.16 добавлена в базы Dr.Web, кроме того, избавиться от последствий заражения этим троянцем можно с помощью бесплатных средств аварийного восстановления системы Dr.Web LiveCD или Dr.Web LiveUSB.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat
mbrlock16keygen.exe

забавно, кейген от легальной компании, у меня это слово совсем с другим ассоциируется. вот такой я испорченный :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      Зачем ? Только для файлов которые попали в подозрительные. Логика такая:  Файл в подозрительных > uVS берёт его SHA1 ( если таковая есть ) и прогоняет весь список на совпадение > если совпадение найдено - файл попадает в подозрительные > в Инфо. файла пишется информация по какой причине файл попал в подозрительные. Да и проверку можно проводить на  готовом образе\списке.
    • demkd
      И чего в ней странного? Обычный каталог с непонятным LSM.
        Кто-давно не говорил что uVS медленно создает образ...
    • PR55.RP55
      + + Крайняя форма извращения: ( там же ) uVS  поместил а Подозрительные только два файла из шести. Предлагаю: Автоматически помещать в Подозрительные все файлы при совпадении SHA1 ( и\или имени ) т.е. если файл  попал в подозрительные - то идёт проверка списка на совпадения. Есть совпадение > файл в подозрительные. ( с соответствующий записью в Инфо - о причине )
    • PR55.RP55
      + http://www.tehnari.ru/f183/t262601/ Тоже странная запись. Полное имя                  C:\PROGRAMDATA\{01456982-0145-0145-014569822880}\LSM.EXE
      Имя файла                   LSM.EXE
      Тек. статус                   ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                                 
      Сохраненная информация      на момент создания образа
      Статус                      в автозапуске
      Инф. о файле                Не удается найти указанный файл.
      Цифр. подпись               проверка не производилась
                                  
      Ссылки на объект            
      Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\MICROSOFT LOCALMANAGER[WINDOWS 8.1 SINGLE LANGUAGE]
                                  
    • demkd
      Кто-то криворукий прописал путь, так что ничего удивительного нет.
×