Trojan-Ransom.Win32.Mbro.a
После запуска троянец копирует свое тело во временный каталог текущего пользователя.
Технические детали
Троянец-вымогатель, который блокирует работу OC. Является приложением Windows (PE-EXE файл). Имеет размер 18432 байта. Написана на С++.
Деструктивная активность
После запуска троянец копирует свое тело во временный каталог текущего пользователя под именем:
%Temp%\x2z8.exeСоздает уникальный идентификатор присутствия в системе с именем:
qwerty17_12345Также создает файл:
%Temp%\fpath.txtВ который записывает путь к оригинальному телу троянца. Далее троянец удаляет свой оригинальный файл, выполняет модификацию главной загрузочной записи (MBR) и выполняет перезагрузку.
На начальных этапах загрузки троянец проверяет текущую дату и если она больше значения:
19:04 22-5-2011То троянец восстанавливает оригинальную главную загрузочную запись. В противном случает троянец отображает следующее сообщение:
Где номер телефона может быть одним из следующего списка:
896884***53 896884***52 896884***51 896884***99 896884***98 896884***81
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Ввести следующий пароль:
875082
При этом троянец восстановит оригинальную главную загрузочную запись (MBR). - Для получения кода разблокировки можно воспользоваться бесплатным сервисом Лаборатории Касперского Deblocker Windows:
- Если восстановить работу ОС не удалось, восстановить оригинальную главную загрузочную запись (MBR) при помощи Kaspersky Rescue Disk 10 .
- Удалить фалы:
%Temp%\x2z8.exe %Temp%\fpath.txt
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами ( скачать пробную версию ).
MD5: 9F80F066BFE3100FFA0BF81282824E1E
SHA1: EA44E23D53C44394E77F422CBD773AAEF61094B3
Ищем уязвимости в системе и новых подписчиков!
Первое — находим постоянно, второе — ждем вас