Дмитровский Форум V2

[карлик]

Эксперты компании «Доктор Веб», опубликовав отчет об основных направлениях в сфере вредоносного программного обеспечения за май 2011 года, отметили тенденцию замены вирусов WINlock (блокирующих аутентификацию учетной записи Windows) на MBRlock (блокирующих загрузку самой ОС путем модификации главной загрузочной записи Master Boot Record). При этом вирусы данного типа (например Trojan.MBRlock) действую весьма избирательно – если на компьютере установлено несколько операционных систем, то за вход в каждую из них злоумышленники вымогают плату отдельно. При этом зловреды сконструированы так, что попытки восстановления MBR с помощью стандартных средств может привести к полной потере данных пользователя, поскольку
оказывается поврежденной таблица разделов диска.
Особую тревогу вызывает то, что за прошедший месяц 2011 года количество таких программ увеличилось на 30.7%.



Кроме fixmbr и fixboot, можно еще попробовать ввести коды.
После установки троянец прописывается в главную загрузочную запись и близлежащие сектора жесткого диска. В главной загрузочной записи жесткого диска после заражения появляется код, который загружает информацию с соседних секторов диска. Как следствие — на экран выводятся требования заплатить за разблокировку системы.
При вводе верного пароля происходит восстановление исходного состояния загрузочной области диска, и загрузка установленной операционной системы происходит в обычном режиме.
Все известные коды:
ekol

jail

777888

zpo4301

zzp0193

281056

098SWO

875082

Пример локера:
Trojan.MBRlock.6 (DrWeb)
Trojan-Ransom.Win32.PornoAsset.eg (KAV) TR/Ransom.Mbro.a (AntiVir)

1. Троян проверяет время в BIOS. Активен примерно сутки от своего создания. Можно перевести часы в биос на сутки вперед и он нейтрализуется.
Правда,
— остаются файлы fpath.txt, x2z8.exe в юзертемпе. В fpath.txt — путь к исходному дропперу, но он самоудаляется после заражения.
x2z8.exe — копия дроппера.
— остается мусор в секторах 2 и далее на первой дорожке.
Оригинальный МБР исходно лежит в секторе 2

2. В MBR код разблокировки виден невооруженным взглядом, он не кодирован.
Код: [Выделить]<code style=«display: block; background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: #f0f0f0; color: black; font-family: 'dejavu sans mono', monaco, 'lucida console', 'courier new', monospace; font-size: x-small; border-top-width: 2px; border-top-style: solid; border-top-color: #999999; border-bottom-width: 2px; border-bottom-style: solid; border-bottom-color: #999999; overflow-x: auto; overflow-y: auto; white-space: pre-wrap; max-height: 24em; background-position: initial initial; background-repeat: initial initial; padding: 0.5em;» data-second_best="[object Object]" data-result="[object Object]" class=«perl»>║А ╣ ╕☺☻hj↑•1█═‼hj↑▼Ъ j↑1█О█О├О╙@☼Д☼☺║А ╣♥ ╕♥☻╗ ►═‼s♣╕G♫═►╕ ◄╜ ►╣@ ║└ ╖►│ ═►║А ╣♣ ╕♦☻╗0═‼f`╕☺‼╗♀ ╣0•1╥╜ 0═►faf`╕☺‼╗♫ ╣♀ ║ ↨╜R}═►fa┐ l┤ W═■_ы7<◘u3f`┤♥╖ А·═►favхf`┤♥╖ ═►R■╩╖ ┤☻═►╕ ♫═►Z■╩╖ ┤☻═►faOы┴<uU╛е}┐ l╡ К♫д}єжt[f`┤☻╖ ║♀↨═►╕ ╣d ═►╣♣ 1╥┤Ж═§╕☺‼╗♀ ╣♠ ║ ↑ш♠Error]═►┤☻╖ ║♀↨═►fa┐ lщh < ☼Вb <~☼З\ к┤♫W═►_щR j • ♫‼♦═↕┴р♠О└1 ╛^}╣F єд♠j ╦Enter code: f`╕☺‼╗◘ ╣♫║ ↑ш♫ Loading OS…]═►faj •▓А╣☻ ╕☺☻╗ |═‼▓А╣☺ ╕☺♥╗ |═‼ъ | ♠281056RD ,Dc@B@B А☺☺ •■? ¶мUк[CODE]


Для этого экземпляра код 281056