Новый вымогатель модифицирует MBR

Обнаружен новый троянский вымогатель, который блокирует загрузку операционной системы и требует денег за возможность ее нормального запуска. Особенность этой вредоносной программы состоит в том, что она записывает себя в загрузочный сектор жесткого диска.



Заметим, что этот образец появился практически сразу после выхода новой версии печально известного шифровальщика GPCode, который производит криптование пользовательских данных и требует 120 долларов за предоставление дешифровочного ключа. Специалисты Лаборатории Касперского, обнаружившие вымогателя, дали ему наименование Trojan-Ransom.Win32.Seftad.a; сообщается, что этот вредоносный продукт распространяется посредством одного из последних вариантов троянского загрузчика Oficla.


Будучи запущенным, вирус перезаписывает MBR жесткого диска, добавляя туда собственный код, а затем вызывает перезагрузку операционной системы. После этого ОС перестает запускаться; вместо этого на экране отображается надпись "Ваш компьютер заблокирован. Все жесткие диски были зашифрованы. Перейдите на сайт www.[link].ru, чтобы получить доступ к вашей системе и всем файлам. Любая попытка восстановить информацию каким-либо другим способом приведет к потере данных !!! Запомните ваш уникальный номер: [далее указывается идентификатор из нескольких цифр]; с его помощью будет сгенерирован пароль. Введите пароль: _"


Перейдя на указанный в сообщении сайт, пользователь узнает, что за пароль нужно заплатить 100 долларов. Однако можно обойтись и без этого, поскольку шифрование данных на самом деле не производится - достаточно лишь подобрать пароль или восстановить загрузочный сектор. Для разблокировки ПК специалисты Лаборатории Касперского советуют пострадавшим воспользоваться соответствующим сервисом - http://support.kaspersky.ru/viruses/deblocker, либо задействовать бесплатный аварийный диск Kaspersky Rescue Disk 10.


На русском языке технические подробности изложены в блоге Securelist.


Судя по характерным признакам, "корни" вымогателя следует искать в России или странах СНГ.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Павел Дуров: Удалите WhatsApp, Facebook — часть шпионской программы

Павел Дуров в очередной раз призвал пользователей удалить мессенджер WhatsApp, поскольку, по мнению бизнесмена, он не обеспечивает должный уровень безопасности и конфиденциальности переписок пользователей.

Камни в огород средства обмена сообщениями от Facebook полетели в официальном Telegram-канале Дурова. В частности, Павел пишет:

«В мае я предсказывал, что в WhatsApp будут и дальше находить бэкдоры, что и произошло — на этой неделе был обнаружена критическая уязвимость в этом мессенджере. Как и предыдущие проблемы WhatsApp, этот бэкдор открывал хакерам и спецслужбам доступ к вашим данным».

Павел Дуров, известный своим непосредственным участием в создании конкурирующего мессенджера Telegram, имеет в виду уязвимость, позволяющую атаковать пользователей WhatsApp с помощью файлов в формате MP4. Другими словами, злоумышленнику нужно всего лишь отправить жертве видео.

«WhatsApp не только не в состоянии защитить ваши сообщения, но и постоянно выступает в роли "троянского коня", открывающего доступ ко всем вашим фотографиям и сообщениям. В чем причина? В том, что Facebook принимал участие в программе шпионажа задолго до того, как он купил WhatsApp», — продолжает Дуров.

Создатель Telegram также заявил, что Facebook пытается уйти от ответственности и запутать пользователей, утверждая, что никаких доказательств использования уязвимости в реальных атаках не было.

«Само собой, у них нет доказательств эксплуатации этой бреши. Они просто не могут их собрать, поскольку не хранят видеофайлы на своих серверах. Нечего анализировать — нет и доказательств».

Подытоживая все вышеизложенное, Дуров призвал своих читателей (на данный момент их 335 806) удалить WhatsApp со своих устройств.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru