Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

A teraz program szantażujący nadpisujący MBR

Denis Maslennikow
Kaspersky Lab Expert
Dodany 10 grudnia 2010, 08:51 CET
Tagi:

Mój kolega Vitaly Kamluk pisał niedawno o nowym programie szantażującym GpCode, który szyfruje pliki użytkowników przy użyciu algorytmu RSA-1024 oraz AES-256.

Jednak GpCode.ax to nie jedyny program szantażujący, jakiego możemy dzisiaj spotkać. Właśnie wykryliśmy szkodliwe oprogramowanie, które nadpisuje MBR i żąda okupu w zamian za otrzymanie hasła i przywrócenie oryginalnego MBR-a. Szkodnik ten jest wykrywany jako Trojan-Ransom.Win32.Seftad.a oraz Trojan-Ransom.Boot.Seftad.a.

Ten program szantażujący jest pobierany przez trojana o nazwie Trojan.Win32.Oficla.cw.

Gdy Seftad.a zostanie pobrany przez Oficla.cw i uruchomiony, następuje ponowne uruchomienie komputera PC ofiary, a na ekranie pojawia się następujący komunikat:

Ofiara nie zna hasła do programu szantażującego. Dlatego po nieudanych próbach zainfekowana maszyna zostanie ponownie uruchomiona, a na ekranie wyświetli się taki sam komunikat:

Wprowadzone symbole będą odczytywane w odstępie czasu 16 godzin, a następnie następująca procedura obliczy wartość i porówna ją z 2 bajtowym hashem:

Na szczęście, wbrew temu, co twierdzi autor tego szkodliwego oprogramowania, ani dyski twarde, ani pliki nie są zaszyfrowane. Szkodnik nadpisuje jedynie oryginalny MBR szkodliwym:

Oryginalny MBR jest zapisywany w czwartym sektorze dysku twardego, natomiast marker infekcji szkodliwego oprogramowania jest przechowywany w 0x9FE:

Jeżeli ofiara wejdzie na stronę internetową autora tego szkodnika, pojawi się żądanie zapłacenia 100 dolarów za pośrednictwem systemu ‘Paysafecard’ lub ‘Ukash’.

Jeżeli jesteś zainfekowany szkodnikiem, o którym piszemy, nie odwiedzaj strony internetowej cyberprzestępcy. Użyj hasła ‘aaaaaaciip’ (bez cudzysłowu), aby przywrócić oryginalny MBR. Jeżeli hasło nie zadziała, spróbuj wyleczyć MBR za pomocą Kaspersky Rescue Disk 10.

Aktualizacja: Właśnie zidentyfikowaliśmy nową wersję trojana Trojan-Ransom.Win32.Seftad. Wykrywanie tego programu zostanie dodane do baz tak szybko jak to możliwe. Aby przywrócić oryginalny MBR, należy użyć hasła 'aaaaadabia' (bez cudzysłowu).

Aktualizacja 2: Nie używaj narzędzia 'fixmbr' na wypadek gdyby twój komputer był zainfekowany tym trojanem. I tak nie przywróci twojej tablicy partycji i nie zdoła uruchomić systemu operacyjnego. Jeżeli twój komputer jest zainfekowany, a hasła nie działają, podepnij swój dysk twardy do działającego komputera i użyj tego darmowego narzędzia, które przywróci twój MBR.