Главная особенность троянцев разновидности Trojan.MBRlock состоит в том, что эти опасные программы изменяют загрузочную запись Windows (MBR - Master Boot Record,), перезаписывая в другом разделе жесткого диска оригинальную MBR. Тем самым, троянец имеет возможность загружаться раньше операционной системы и блокировать ее стандартный запуск. Далее на экран компьютера отображается сообщение, которое содержит требования злоумышленников: например, для разблокировки компьютера нужно заплатить 400 р. для жителей России, 120 грн. для жителей Украины, 60 000 белорусских рублей.
После запуска на зараженном компьютере, Trojan.MBRlock.17 записывается во временную директорию со случайным названием. Далее вирус запускает стандартную программу «Калькулятор», т.е. процесс calc.exe и добавляет в него свой код. Впоследствии, встроенный в процесс calc.exe Trojan.MBRlock.17 создает файл в директории %APPDATA%\Adobe\Update\, который позднее удаляется, запускает процесс explorer.exe и опять же добавляет в него свой код. В конечном этапе основной системный процесс explorer.exe изменяет MBR и пытается прекратить работу Windows. В отличие от своих предшественников, Trojan.MBRlock.17 сохраняет свои компоненты, например, шрифты, отображаемый на экране текст, оригинальную MBR, в произвольные сектора жесткого диска, т.е. может изменять константы в своем коде, которые ответственны за выбор таких секторов. Также троянец в открытом виде не хранит ключ, необходимый для разблокировки: он формируется динамически на основе различных параметров. Кроме вышеуказанного троянец удаляет таблицу разделов, предварительно сохранив копию первого сектора, чтобы можно было впоследствии восстановить систему после получения от жертвы денежных средств. Запись об этой угрозе уже находится в базе вирусов компании Dr-Web.
