Mesures contre le rançonlogiciel MBR (TR/Crypt.XPACK.Gen)

Ce type de cheval de Troie à rançon provient d'un autre malware ou est téléchargé à partir d'Internet.

Il infecte le MBR (Master Boot Record) du système actif. Si le cheval de Troie est exécuté, il écrase le MBR sur le disque dur et le MBR d'origine est d'abord stocké dans une deuxième section.

Il affiche un certain message et signale à l'utilisateur que le système est verrouillé et qu'il doit payer pour le déverrouiller. Pendant cette session, l'ensemble de la procédure de démarrage est interrompue.

Comportement du malware

Le cheval de Troie provient d'un autre malware récupéré ou est téléchargé lorsque que quelqu'un consulte un site internet malveillant.

Il se copie lui-même dans le répertoire suivant :
%Userprofile%\Local Settings\Temp\x2z8.exe

. Il dépose également un fichier propre dans ce répertoire :
%Userprofile%\Local Settings\Temp\fpath.txt

Note :
 Si le cheval de Troie est exécuté, il écrase le MBR d'origine et effectue un redémarrage forcé du système d'exploitation. Par la suite, le message suivant s'affiche :

TR/Crypt.XPACK.Gen
 

Solution

Au cours de notre analyse du problème, nous avons découvert que le « Code de déverrouillage » était codé en dur dans le MBR infecté. Ce code est fixe et n'est pas généré de façon aléatoire. Ainsi, si vous êtes infecté, veuillez utiliser la clé suivante pour déverrouiller votre système : 21545455.

Actuellement, nos produits détectent le cheval de Troie en tant que TR/Crypt.XPACK.Gen et le MBR infecté comme BOO/Ransom.A

Produits concernés

  • Avira Professional Security [Windows]
  • Avira Free Antivirus [Windows]
  • Avira Antivirus Premium 2013 [Windows]
  • Avira Antivirus Pro [Windows]
  • Avira Internet Security [Windows]
  • Avira Internet Security Suite [Windows]
  • Avira Ultimate Protection Suite [Windows]
  • Créé le : mardi 17 avril 2012
  • Dernière MAJ: jeudi 3 mai 2018
Ceci vous a-t-il été utile ?