Вниз

20 Июль 2011

82

Лечим Trojan-Ransom.Boot.Mbro.a / Trojan.MBRlock.6

Как обычно, принесли мне компьютер завирусованный на лечение :-)

Вроде бы все стандартно: СМС-блокер как всегда просит денег кинуть на счет. Есть одно НО: как оказалось, он прописан еще в MBR, и мои вялые попытки найти зловреда в реестре через Userinit оказались бесполезны. Вот, кстати, фото и сам текст, что он пишет (орфография и пунктуация этого грамотея сохранена):

Ваш компьютер заблокирован за просмотр, копирование и тиражирование видеоВаш компьютер заблокирован за просмотр, копирование и тиражирование видео с элементми педофилии, деского порно, гей-порно. Для снятия блокировки Вам необходимо оплатить штраф в размере 500 рублей. Для этого, в любом терминале оплаты, пополните счет абонента БИЛАЙН 89099715170 на указанную выше сумму. В случае оплаты суммы равной штрафу, либо превышающей ее, на фискальном чеке терминала Вы найдете код разблокировки. Его нужно ввести в поле в нижней части окна. После снятия блокировки Вы должны удалить все материалы, содержащие элементы насилия и педофилии. В случае отказа от оплаты, все данные на вашем персональном компьютере будут безвозвратно уничтожены.

Поначалу я проверял в течение 6 часов комп с помощью Dr.Web® LiveCD. Безрезультатно. Нашел 19 дряней, но загрузка все равно не шла из-за прописанного в MBR вируса. Потом полез с пиратского левого диска XPE смотреть реестр - тоже все чисто, исключая старые остатки от вирусни, но они были неопасны. Позже я стал гуглить... И наткнулся на Лайв-сиди Kaspersky Rescue Disk 10. Основан он все на том же Linux Gentoo - узнаю родимые поля, что называется :-D

Загрузился с помощью него, проверил загрузочный сектор. Хоп! Нашел зловреда Trojan-Ransom.Boot.Mbro.a. Подлечил. Хорошо подлечил, даже MBR не пришлось восстанавливать :-)

Между прочим, иногда есть смысл не мучиться с вирусами и продать свое старое железо, а потом купить ноутбуки в магазине МобилЛак. Выбор там богатый, а цены радуют.

А вот как этот вирус зовется у других антивирусов:
Antiy-AVL - Trojan/Boot.Mbro
BitDefender - Rootkit.MBR.Locker.B (Boot image)
Comodo - TrojWare.Boot.Ransom.Mbro.A
DrWeb - Trojan.MBRlock.6
Emsisoft - Trojan-Ransom.Boot.Mbro!IK
F-Secure - Rootkit.MBR.Locker.B /(Boot image/)
GData - Rootkit.MBR.Locker.B
Ikarus - Trojan-Ransom.Boot.Mbro
Kaspersky - Trojan-Ransom.Boot.Mbro.a
Sophos - Troj/RnsmMbr-A

Кстати, кто-то говорит, что в MBR код разблокировки прописан, и виден невооруженным глазом.

К чему я все это писал. А к тому, что впервые столкнулся с вирусом, который залез прямо в загрузочную область MBR *CRAZY* До этого о таком только в книжках читал. А еще хотел порекомендовать Лайв-сиди от Касперыча - он на этот раз нашел то, чего даже Доктор не смог :-)

Еще из рубрики Комповое
82 комментария Прокомментировать

  1. Adamov
    25 Май 2012
    Opera 11.64 Windows XP

    Я всё-таки попробовал восстановить загрузчик
    bootrec.exe /FixMbr
    никаких вирусов в нем не осталось, потом добил откуда они вылезли с помощью cureit
    оказалось — из архива с инструкцией по ремонту телека, вот такая «порнуха»

  2. 26 Май 2012
    Firefox 12.0 Ubuntu x64

    Нда, не на тех напали, надо было им вирус в какие-нибудь гламурные игрушки айфона подобное сувать :-D
    Ремонтники так просто не сдаются!

  3. impetrovi4
    14 Июн 2012
    Opera 11.64 Windows XP

    Такая же байда была, текст в стиле DOS, просили 800 с чем то грн :) Только что избавился от этой проблемы, открыл в Live CD екзешник TDSSKiller он за пол минуты вылечил Trojan-Ransom.Boot.Mbro.a / Trojan.MBRlock.6. Сейчас ставлю новую винду с софтом и дровами, потом сделаю копию диска в Acronis. Спасибо вам за советы. Kaspersky WindowsUnlocker нифига не помог, вирус нашел но полечить не смог.

  4. Vergilii
    26 Июн 2012
    Konqueror 4.4 GNU/Linux

    Находить ево то находит но вот хрен удаляет или лечит. Што на это скажете *CRAZY* *CRAZY* *CRAZY* 8)

  5. 27 Июн 2012
    Firefox 13.0.1 Ubuntu x64

    Странно, у меня тогда все без проблем удалил. А если вручную файл грохнуть? Или важный системный какой?

  6. alik
    27 Июн 2012
    MyIE2 Windows XP

    Новый появился, просит 880 гривен.
    Я не искал приключений — и за Акронис.

    http://s2.hostingkartinok.com/uploads/images/2012/06/f7265337abdcc74af8ad3d6893aa9b32.gif

  7. alik
    12 Июл 2012
    MyIE2 Windows XP

    Короче, вирус прописывается в буте.
    FIXMBR и FIXBOOT должны помочь.
    Я фиксил с загрузочного WIN XP
    Вообще, вирусни этой развелось.
    И через летитбит и скай монк и через что хочешь. Комодо не всегда справляется. Д.ВЭБ — эх-хе-хе. Еле отбиваюсь.)

  8. Андрей
    15 Июл 2012
    Google Chrome 18.0.1025.162 Windows 7

    Спасибо Автору -только Касперский рескью диск и помог. Благо хоть чистая болванка СД нашлась. С флешки не запускался раскрытый образ -хотя в биосе ставил -первым юсб -только с СД диска

  9. Юлия
    16 Июл 2012
    Internet Explorer 8.0 Windows XP

    Помогите! Эта гадость заблокировала комп! Требует пополнить кошелек 380971549575 на 810 грн. Что делать? Неужели переустанавливать винду? Заранее спасибо!

  10. 17 Июл 2012
    Firefox 13.0.1 Ubuntu x64

    Юлия, не факт, что переустановка поможет — нужно как минимум форматировать полностью винчестер.
    Легче скачать лайв-сиди от Касперского по ссылке выше и проверить им компьютер.

  11. alik
    17 Июл 2012
    MyIE2 Windows XP

    Форматирование тоже не поможет. Нужно чистить БУТ.

  12. 18 Июл 2012
    Firefox 13.0.1 Ubuntu x64

    Смотря какая разновидность зловреда. Недавно встречался с тем, который после загрузки венды блочит — вот там бы форматирование помогло враз. Правда, я вручную нашел вирус и удалил его, так что все оболошлось.
    А со случаем из топика — да, действительно, в зугрузочной области прописывается, зараза.

  13. Дима
    20 Июл 2012
    Opera 12.00 Windows 7 x64 Edition

    @ Amelia06:
    А что такое MBR ? :(

  14. Андрей
    20 Июл 2012
    Mozilla 1.0 Windows Vista

    ram32 пишет:

    @ Игорь:
    Неужели эта зараза способна даже вход в BIOS заблокировать? Попробуйте сбросить его настройки батарейкой на материнке…

    Вчера принесли ноут с MBR.Lock, с блокированием BIOS. Технология лечения простая, снимаете винт, подключаете к второму компу и Dr.Web CureIt! последней версией, выбираете Выборочное сканирование, и весь диск сканируете. В начале находит Master Boot Record HDD2 — Trojan.MBRlock.6, и дальше два .exe файла (могут быть подругими именами) типа 2wer.exe и xx_porno_tyvh.exe. Последние файлы сканер удалит. Потом ставите винт обратно и все ОК. Даже не надо восстанавливать MBR.

  15. Олег
    22 Июл 2012
    Firefox 14.0.1 Windows 7

    Точно такая неприятность была у товарища. Вылечили Каспером LiveCD. Только вначале надо включать Windows 7.

  16. 23 Июл 2012
    Firefox 14.0.1 Ubuntu x64

    @ Дима:
    Главная загрузочная запись (англ. master boot record, MBR) — код и данные, необходимые для последующей загрузки операционной системы и расположенные в первых физических секторах (чаще всего в самом первом) на жёстком диске или другом устройстве хранения информации.

    MBR содержит небольшой фрагмент исполняемого кода, таблицу разделов (partition table) и специальную сигнатуру.

  17. alik
    24 Июл 2012
    MyIE2 Windows XP

    А ведь этот вирусняк, должно быть, приличные деньги приносит.
    Значит, разраб будет его совершенствовать.

  18. Андрей
    25 Июл 2012
    Mozilla 1.0 Windows Vista

    Мне недавно приходило предложение, стоимость всего комплекта 1000 долларов.

  19. Вася
    27 Июл 2012
    Firefox 14.0.1 Windows XP

    все намного проще: эта шняга лечится командой fixmbr из консоли восстановления.

  20. 28 Июл 2012
    Firefox 14.0.1 Ubuntu x64

    @ Вася:
    Надо лечить не только следствие, но и причину. Вирус не только в MBR прописан.

  21. Андрей
    28 Июл 2012
    Mozilla 1.0 Windows Vista

    @ Вася:
    Если у тебя не заблокирован BIOS. Читайте внимательнее.

  22. Ольга
    11 Авг 2012
    Google Chrome 21.0.1180.75 Windows XP

    Спасибо огромное!!! И Касперскому — тоже :)))

  23. 16 Авг 2012
    Firefox 14.0.1 Windows 7 x64 Edition

    такая же фигня выскочила.
    загрузился со зверя, запустил сканер доктор веб, сразу нашло, вылечило, перегрузился — всё гуд.

  24. IzyMey
    13 Сен 2012
    Google Chrome 12.0.742.100 Windows XP

    Да … касперский унлокер 1.0.3 справился с этим за 5 минут, просто проверить / загрузчик. и опа ТРОЯН )) потом дизинфект и вуаля.

  25. юра
    20 Сен 2012
    Opera Mini 5.1.21051 J2ME/MIDP Device

    Мне загрузочник от касперского помог. Машинка работает без проблем. Спасибо, что вы мне помогли.

  26. юра
    20 Сен 2012
    Firefox 15.0.1 Windows 7 x64 Edition

    спасибо. сижу лечу каспером *CRAZY*

  27. alik
    22 Сен 2012
    MyIE2 Windows XP

    Касперский не панацея. Не хвалитесь, не получив настоящую пилюлю.

  28. 23 Сен 2012
    Firefox 15.0.1 Ubuntu x64

    Настоящая панацея — только голова на плечах.

  29. Ярослав
    1 Ноя 2012
    Google Chrome 22.0.1229.94 Windows 7 x64 Edition

    Спасибо тебе, добрый человек.
    Клиент доволен, я тоже.

    Досадно, что не может объяснить последовательность действий, после которой он эту дрянь нажил.

  30. Евгений
    7 Ноя 2012
    Opera Mini 6.0.24095 Unknown

    помогите пожалуйста найти код разблокировик 380984178174

  31. 8 Ноя 2012
    Firefox 16.0 Ubuntu x64

    @ Евгений:
    Коды разблокировки:
    46756868
    88377373

    Взяты отсюда: https://www.drweb.com/xperf/unlocker/

  32. 17 Фев 2013
    Firefox 18.0 Windows 7 x64 Edition

    у доктора есть в настройках функция «запретить низкоуровневую запись на диск» поэтому mbrlock физически не может заразить машину

Поделись своими мыслями!

(обязательно)
(обязательно)

Почтовые адреса не публикуются.

Подпишись на комментарии