MbrLock троянец, проживающий в Master boot record

Обратился друг с проблемой. Компьютер не грузится и все … Просит ввести пароль и вымогает 880 гривен.Глядим … Действительно.

До того, как загружается операционная система, на экране появляется следующий текст:

Ваш компьютер заблокирован за поиск, просмотр, тиражирование
видеоматериалов содержащих педофилию, извращения,сексуальное
насилие над детьми. Для разблокировки, Вам необходимо оплатить
штраф в любом терминале оплаты. Выберите на экране терминала
категорию «Электронные деньги» или подобный раздел. Найдите
эмблему платежной системы Webmoney. Пополните кошелек Webmoney,
для этого — введите номер кошелька(12 цифр) — 380971829024,на 880 гривен.
На выданном терминалом чеке оплаты, Вам будет выдан код, после
ввода которого, Ваш ПК будет автоматически разблокирован.В случае
отказа от оплаты, будет активировано самоуничтожение компьютера
и всех имеющихся на нем данных, без возможности восстановления.

после исследования интернета на предмет таких зверей было установлено, что
телефонных номеров там бывает несколько:  380971876071, 380975716173, 380971794475,
380971875834, 380975716173

а так же обнаружен код разблокировки: 65768688

Сам код, как оказалось хранится в незашифрованном виде в Boot Sector

Вывод: Если компьютер поражает вирус такого вида — глядим в boot sector

Сделать это можно к примеру используя  Alkid Live CD — там есть утилита MBRFix которая великолепно сохраняет Boot Sector в файл (А так же при использовании параметра MBR FIX сама исцеляет Ваш компьютер).

 

MbrLock троянец, проживающий в Master boot record: 6 комментариев

  1. А тупа загрузится с диска Винды и в консоли восстановления выполнить команду «fixmbr»?

    • Для начала можно было бы ТУПОЗАГРУЗИТЬСЯ. Но не все так тупо … Одна из модификаций данного зверя шифрует все на свете … можно потом долго колупаться в жестком диске, восстанавливая данные очередной кривой программкой.

  2. Загрузился с последней версии Alkid Live CD выбрал dr.Web, запустил сканирование загрузочной области, был найден 1, вирус в дальнейшем исцелен. Перезагрузился, все ок.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *