Medidas contra MBR Ransomware (TR/Crypt.XPACK.Gen)

Esse tipo de Ransom Trojan é desenvolvido por outro malware ou baixado da Internet.

Ele infecta o MBR (Master Boot Record) do sistema em funcionamento. O Trojan é executado, ele substitui o MBR no disco rígido e antes o MBR original será armazenado em uma segunda seção.

Ele exibe uma certa mensagem e informa o usuário de que o sistema está bloqueado e que ele precisa pagar para destravar o sistema novamente. Durante esta seção, todo o procedimento de inicialização é interrompido.

Comportamento do malware

O Trojan aparece através de outro malware deixado ou se alguém visita um site malicioso e faz algum download.

Ele faz uma cópia dele mesmo na seguinte pasta:
%Userprofile%\Local Settings\Temp\x2z8.exe

Ele também deixa um arquivo limpo nesta pasta:
%Userprofile%\Local Settings\Temp\fpath.txt

Observação:
O Trojan é executado, ele substitui o MBR original e força uma reinicialização do sistema operacional. Depois disso, a seguinte mensagem vai aparecer:

TR/Crypt.XPACK.Gen
 

Solução

Durante a nossa investigação, descobrimos que o "Código de Desbloqueio" foi codificado no MBR infectado. O código é estático e não é gerado aleatoriamente. Então, se você está infectado, use a seguinte chave para desbloquear: 21545455

Atualmente, nós detectamos o Trojan como TR/Crypt.XPACK.Gen e o MBR infectado como BOO/Ransom.A

Produtos afetados

  • Avira Professional Security [Windows]
  • Avira Free Antivirus [Windows]
  • Avira Antivirus Premium 2013 [Windows]
  • Avira Antivirus Pro [Windows]
  • Avira Internet Security [Windows]
  • Avira Internet Security Suite [Windows]
  • Avira Ultimate Protection Suite [Windows]
  • Data de criação : terça-feira, 17 de abril de 2012
  • Última atualização: quinta-feira, 3 de maio de 2018
Isto lhe ajudou?