Методы обнаружения вирусов

Trojan-Ransom.Win32.Mbro.a

Описание опубликовано 25 апр 2012 18:29 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянец-вымогатель, который блокирует работу OC. Является приложением Windows (PE-EXE файл). Имеет размер 18432 байта. Написана на С++.


Деструктивная активность

После запуска троянец копирует свое тело во временный каталог текущего пользователя под именем: 

%Temp%\x2z8.exe
Создает уникальный идентификатор присутствия в системе с именем: 
qwerty17_12345
Также создает файл: 
%Temp%\fpath.txt
В который записывает путь к оригинальному телу троянца. Далее троянец удаляет свой оригинальный файл, выполняет модификацию главной загрузочной записи (MBR) и выполняет перезагрузку.

На начальных этапах загрузки троянец проверяет текущую дату и если она больше значения: 

19:04 22-5-2011
То троянец восстанавливает оригинальную главную загрузочную запись. В противном случает троянец отображает следующее сообщение:

Где номер телефона может быть одним из следующего списка: 

896884***53
896884***52
896884***51
896884***99
896884***98
896884***81


Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Ввести следующий пароль: 
    875082
    При этом троянец восстановит оригинальную главную загрузочную запись (MBR).
  2. Для получения кода разблокировки можно воспользоваться бесплатным сервисом Лаборатории Касперского Deblocker Windows:
  3. Если восстановить работу ОС не удалось, восстановить оригинальную главную загрузочную запись (MBR) при помощи Kaspersky Rescue Disk 10.
  4. Удалить фалы: 
    %Temp%\x2z8.exe
%Temp%\fpath.txt
  5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).


MD5: 9F80F066BFE3100FFA0BF81282824E1E
SHA1: EA44E23D53C44394E77F422CBD773AAEF61094B3


НОВОЕ НА САЙТЕ

23 апреля 2024 года

Обращаем внимательность на дальнейшее обновление пасмурной версии песочницы Dr.Web vxCube, в взаимоотношения с чем 24 апреля с 13:00 перед началом 14:00 по столичному времени обслуживание будет недоступен для использования.

В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web

Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]

The post 25-26.05.24г. 10.00-15.00. III Всероссийский форум «БИЗН... Новости Безопастности

17 апреля 2024 года

В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости

11 апреля 2024 года

Компания «Доктор Веб» 4 апреля сообщила о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.

Обновление ориентировано н... Антивирус Dr.Web

4 апреля 2024 года

Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web

Main menu


Sub menu