Trojan-Ransom.Win32.Mbro.a

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянец-вымогатель, который блокирует работу OC. Является приложением Windows (PE-EXE файл). Имеет размер 18432 байта. Написана на С++.

Деструктивная активность

После запуска троянец копирует свое тело во временный каталог текущего пользователя под именем:

%Temp%\x2z8.exe

Создает уникальный идентификатор присутствия в системе с именем:

qwerty17_12345

Также создает файл:

%Temp%\fpath.txt

В который записывает путь к оригинальному телу троянца. Далее троянец удаляет свой оригинальный файл, выполняет модификацию главной загрузочной записи (MBR) и выполняет перезагрузку.

На начальных этапах загрузки троянец проверяет текущую дату и если она больше значения:

19:04 22-5-2011

То троянец восстанавливает оригинальную главную загрузочную запись. В противном случает троянец отображает следующее сообщение:

Где номер телефона может быть одним из следующего списка:

896884***53
896884***52
896884***51
896884***99
896884***98
896884***81

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Ввести следующий пароль:

   875082

   При этом троянец восстановит оригинальную главную загрузочную запись (MBR).
2. Для получения кода разблокировки можно воспользоваться бесплатным сервисом Лаборатории Касперского Deblocker Windows:
3. Если восстановить работу ОС не удалось, восстановить оригинальную главную загрузочную запись (MBR) при помощи Kaspersky Rescue Disk 10.
4. Удалить фалы:

   %Temp%\x2z8.exe
   %Temp%\fpath.txt
   

5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

MD5: 9F80F066BFE3100FFA0BF81282824E1E
SHA1: EA44E23D53C44394E77F422CBD773AAEF61094B3