04:46 - Пятница, 28 января 2022г.

Dr-Web Сообщает о новой версии TrojanMBRlock

Компания «Dr-Web» — российская компания по созданию средств безопасности в компьютерной сфере — информирует о появлении новой версии так называемой программы-вымогателя Trojan.MBRlock, который изменяет загрузочную запись Windows.

Вирусная программа Trojan.MBRlock.17 отличается от предыдущих версий тем, что сохраняет свои компоненты в случайные сектора и не сохраняет ключ разблокировки в открытом виде.

Главная особенность троянцев разновидности Trojan.MBRlock состоит в том, что эти опасные программы изменяют загрузочную запись Windows (MBR — Master Boot Record,), перезаписывая в другом разделе жесткого диска оригинальную MBR. Тем самым, троянец имеет возможность загружаться раньше операционной системы и блокировать ее стандартный запуск. Далее на экран компьютера отображается сообщение, которое содержит требования злоумышленников: например, для разблокировки компьютера компании world netpeak нужно заплатить 400 р. для жителей России, 120 грн. для жителей Украины, 60 000 белорусских рублей.

После запуска на зараженном компьютере, Trojan.MBRlock.17 записывается во временную директорию со случайным названием. Далее вирус запускает стандартную программу «Калькулятор», т.е. процесс calc.exe и добавляет в него свой код. Впоследствии, встроенный в процесс calc.exe Trojan.MBRlock.17 создает файл в директории %APPDATA%AdobeUpdate, который позднее удаляется, запускает процесс explorer.exe и опять же добавляет в него свой код. В конечном этапе основной системный процесс explorer.exe изменяет MBR и пытается прекратить работу Windows. В отличие от своих предшественников, Trojan.MBRlock.17 сохраняет свои компоненты, например, шрифты, отображаемый на экране текст, оригинальную MBR, в произвольные сектора жесткого диска, т.е. может изменять константы в своем коде, которые ответственны за выбор таких секторов. Также троянец в открытом виде не хранит ключ, необходимый для разблокировки: он формируется динамически на основе различных параметров. Кроме вышеуказанного троянец удаляет таблицу разделов, предварительно сохранив копию первого сектора, чтобы можно было впоследствии восстановить систему после получения от жертвы денежных средств. Запись об этой угрозе уже находится в базе вирусов компании Dr-Web.

Опубликовано в рубрике: Безопасность

Вирус-троян похищает информацию о банковских карточках у обладателей Android-гаджетов
Google+ подарил своим пользователям возможность использовать именные адреса
Иностранцы в Болгарии теперь защищены от афер с недвижимостью