Medidas contra el ransomware MBR (TR/Crypt.XPACK.Gen)

Este tipo de troyano ransom lo libera otro software malicioso o bien se descarga de Internet.

Infecta el MBR (Master Boot Record) del sistema en ejecución. Si el troyano se ejecuta, sobrescribe el MBR de la unidad de disco duro y antes de que el MBR original se guarde en una segunda sección.

Muestra un determinado mensaje e informa al usuario de que el sistema está bloqueado y debe pagar una suma de dinero para desbloquearlo. Durante esta sesión, todo el proceso de arranque queda interrumpido.

Comportamiento del software malicioso

El troyano procede de otro software malicioso o bien se descarga de un sitio Web malicioso en cualquier visita.

Se replica en la carpeta siguiente:
%Userprofile%\Local Settings\Temp\x2z8.exe

También deja un archivo limpio en esta carpeta:
%Userprofile%\Local Settings\Temp\fpath.txt

Nota:
Si el troyano se ejecuta, sobrescribe el MBR original y provoca un reinicio del sistema operativo. Después, se muestra el mensaje siguiente:

TR/Crypt.XPACK.Gen
 

Solución

Durante nuestro análisis, hemos visto que el "código de desbloqueo" está preprogramado en el MBR infectado. El código es estático y no se genera de forma aleatoria. Así pues, si está infectado, utilice la clave siguiente para el desbloqueo: 21545455.

Actualmente, el troyano se detecta como TR/Crypt.XPACK.Gen y el MBR infectado como BOO/Ransom.A.

Productos afectados

  • Avira Professional Security [Windows]
  • Avira Free Antivirus [Windows]
  • Avira Antivirus Premium 2013 [Windows]
  • Avira Antivirus Pro [Windows]
  • Avira Internet Security [Windows]
  • Avira Internet Security Suite [Windows]
  • Avira Ultimate Protection Suite [Windows]
  • Creado : martes, 17 de abril de 2012
  • Última actualización: jueves, 3 de mayo de 2018
¿Le ha sido útil?