RSS-каналы
Уровень опасности: 1
Главная→Блог→Virus Watch→30 ноя 2010→Еще один троянец-вымогатель - теперь в MBR
Еще один троянец-вымогатель - теперь в MBR
Сегодня мой коллега Виталий Камлюк написал о новом троянце-вымогателе, сильно напоминающем печально известный GpCode. Этот вымогатель шифрует пользовательские файлы криптоалгоритмами RSA-1024 и AES-256. Мы продолжаем наши исследования данной вредоносной программы и сообщим о всех изменениях.
Но GpCode.ax – не единственный троянец-вымогатель, найденный нами за последние сутки. Мы также обнаружили вредоносную программу, которая перезаписывает главную загрузочную запись (MBR) и требует деньги для получения пароля, необходимого для восстановления оригинального MBR. Вредоносная программа детектируется нами как Trojan-Ransom.Win32.Seftad.a и Trojan-Ransom.Boot.Seftad.a. Другая вредоносная программа Trojan.Win32.Oficla.cw ответственна за загрузку нового вымогателя на машину жертвы.
Если Seftad.a был загружен и запущен, инфицированный компьютер перезагрузится, после чего на экране появится следующее сообщение:
Жертве неизвестен пароль для разблокировки, поэтому если пользователь три раза введет пароль неправильно, зараженная машина перезагрузится и на экране опять появится это сообщение.
Введенные символы считываются с помощью int 16h, после чего следующая процедура считает значение и сравнивает его с хэшем размером в 2 байта:
К счастью, жесткий диск или файлы не шифруются (автор вредоносной программы утверждает обратное). Этот вымогатель только перезаписывает оригинальный MBR на свой:
Оригинальная главная загрузочная запись сохраняется в четвертом секторе жесткого диска вместе с маркером зловреда, лежащего по смещению 0x9FE:
При посещении вредоносного веб-сайта пользователя попросят заплатить $100 с помощью «Paysafecard» или «Ukash».
Если вы заразились этой вредоносной программой, то ни в коем случае не посещайте данный сайт. Вы можете воспользоваться нашим бесплатным сервисом разблокировки. В поле «Номер телефона» введите «Seftad» (без кавычек!) или указанный зловредом ID; поле «Текст смс» оставьте пустым. Нажав на кнопку «Получить код разблокировки», вы увидите пароль, который необходимо ввести. Если пароль не подошел, то вы можете восстановить оригинальный MBR с помощью Kaspersky Rescue Disk 10.
|
30 ноя 2010, 21:05
|
|
2 |
Re: Предотвращение
Не прокатит, т.к. данный троянец записывает в загрузочную область не через сервисы BIOS
|
1 |
Re: Re: Предотвращение
Если защита реализована посредством перехвата INT 13h, то такая защита будет работать только под DOS и Windows 95/98.
02 дек 2010, 23:22
|
|
2 |
Re: Лечение
К сожалению нет, т.к. троян в измененной загрузочной записи не сохраняет таблицу разделов, т.е. вы не сможете загрузить ОС.
|
06 дек 2010, 06:19
All the hard drives are encrypted Ну как бы на такое время надо - сразу бы перезагрузка не прошла. Отсюда три варианта: |
|
0 |
Re: All the hard drives are encrypted
Читайте внимательно: "К счастью, жесткий диск или файлы не шифруются (автор вредоносной программы утверждает обратное). Этот вымогатель только перезаписывает оригинальный MBR на свой"
|
-2 |
Re: Re: All the hard drives are encrypted
Я читаю очень внимательно, но Вы видимо не поняли вопрос. Что текущий образец ничего не криптует, а только подменяет MBR я прекрасно понял. Самого зловреда Вы анализировали? Там процедуры криптования нет вообще или она проста не сработала? Если первое - ОК, все рады. Если второе - через месяц-два автор пофиксит багу и станет совсем весело.
|
03 янв 2011, 22:34
главное что не криптует диск :) |
© ЗАО «Лаборатория Касперского», 1997-2013
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей.
Мнение авторов может не совпадать с официальной позицией «Лаборатории Касперского».