Misure contro MBR Ransomware (TR/Crypt.XPACK.Gen)

Questo tipo di Ransom Trojan viene rilasciato da altro malware o viene scaricato da Internet.

Infetta l' MBR (Master Boot Record) del sistema operativo. Se il Trojan viene eseguito, sovrascrive l'MBR sul disco fisso e sarà salvato in una seconda sezione prima dell'MBR originale.

Visualizza un certo messaggio e informa l'utente che il sistema è bloccato e che deve versare denaro per sbloccarlo nuovamente. Durante questa sessione viene interrotta l'intera procedura di avvio.

Comportamento del malware

Il trojan proviene da altro malware oppure viene scaricato dopo una visita ad un sito web maligno.

Fa una copia di se stesso nella seguente cartella:
%Userprofile%\Local Settings\Temp\x2z8.exe

Lascia anche un file pulito in questa cartella:
%Userprofile%\Local Settings\Temp\fpath.txt

Nota:
se il trojan viene eseguito, sovrascrive l'MBR originale e forza un riavvio del sistema operativo. Successivamente viene visualizzato il seguente messaggio:

TR/Crypt.XPACK.Gen
 

Soluzione

Durante le nostre indagini, abbiamo scoperto che il "Codice di sblocco" era codificato in forma fissa all'interno dell'MBR infettato. Il codice è statico e non generato casualmente. Se si è infettati, utilizzare la seguente chiave per sbloccare: 21545455

Attualmente rileviamo il trojan come TR/Crypt.XPACK.Gen e l'MBR infettato come BOO/Ransom.A

Prodotti interessati

  • Avira Professional Security [Windows]
  • Avira Free Antivirus [Windows]
  • Avira Antivirus Premium 2013 [Windows]
  • Avira Antivirus Pro [Windows]
  • Avira Internet Security [Windows]
  • Avira Internet Security Suite [Windows]
  • Avira Ultimate Protection Suite [Windows]
  • Creato : martedì 17 aprile 2012
  • Ultimo aggiornamento: giovedì 3 maggio 2018
Ti è stato utile?