Welche Maßnahmen kann ich gegen MBR Ransomware (TR / Crypt.XPACK.Gen) ergreifen?

info-symbol

Diese Art von Ransom Trojaner wird von anderer Malware angestoßen oder aus dem Internet heruntergeladen.

Der Trojaner infiziert den MBR (Master Boot Record) des Betriebssystemss. Wird der Trojaner ausgeführt, überschreibt er den MBR auf der Festplatte, bevor der original MBR in einem zweiten Abschnitt gespeichert wird.

Er zeigt eine bestimmte Nachricht an und informiert den Anwender, dass das System gesperrt ist und er Geld dafür bezahlen muss, um das System wieder zu entsperren. Während dieser Zeit ist die gesamte Boot-Prozedur unterbrochen.

settings-icon

Verhalten der Malware

Der Trojaner kommt über andere vorhandene Malware oder über einen Download durch eine infizierte Website.

Er macht eine Kopie von sich selbst in folgendem Ordner:
%Userprofil%\Lokale Einstellungen\Temp\x2z8.exe

Er hinterlässt außerdem eine leere Datei in diesem Ordner:
%Userprofil%\Lokale Einstellungen\Temp\fpath.txt

Hinweis:
Wurde der Trojaner ausgeführt, überschreibt er den Original MBR und erzwingt einen Neustart des Betriebssystems. Danach erscheint folgende Nachricht:

TR/Crypt.XPACK.Gen
 

Lösung

Während unserer Nachforschungen fanden wir heraus, dass der “Entsperrcode” im infizierten MBR hard-codiert wurde. Der Code ist statisch und nicht zufallsgeneriert. Im Falle einer Infektion geben Sie bitte folgenden Code zum Entsperren ein: 21545455

Derzeit erkennen wir den Trojaner als TR/Crypt.XPACK.Gen und den infizierten MBR als BOO/Ransom.A

Betroffene Produkte

  • Avira Professional Security [Windows]
  • Avira Free Antivirus [Windows]
  • Avira Antivirus Premium 2013 [Windows]
  • Avira Antivirus Pro [Windows]
  • Avira Internet Security [Windows]
  • Avira Internet Security Suite [Windows]
  • Avira Ultimate Protection Suite [Windows]
  • Erstellt : Dienstag, 17. April 2012
  • Zuletzt aktualisiert: Donnerstag, 3. Mai 2018
War das hilfreich?