Medidas contra MBR Ransomware (TR/Crypt.XPACK.Gen)
Esse tipo de Ransom Trojan é desenvolvido por outro malware ou baixado da Internet.
Ele infecta o MBR (Master Boot Record) do sistema em funcionamento. O Trojan é executado, ele substitui o MBR no disco rígido e antes o MBR original será armazenado em uma segunda seção.
Ele exibe uma certa mensagem e informa o usuário de que o sistema está bloqueado e que ele precisa pagar para destravar o sistema novamente. Durante esta seção, todo o procedimento de inicialização é interrompido.
Comportamento do malware
O Trojan aparece através de outro malware deixado ou se alguém visita um site malicioso e faz algum download.
Ele faz uma cópia dele mesmo na seguinte pasta:
%Userprofile%\Local Settings\Temp\x2z8.exe
Ele também deixa um arquivo limpo nesta pasta:
%Userprofile%\Local Settings\Temp\fpath.txt
Observação:
O Trojan é executado, ele substitui o MBR original e força uma reinicialização do sistema operacional. Depois disso, a seguinte mensagem vai aparecer:
Solução
Durante a nossa investigação, descobrimos que o "Código de Desbloqueio" foi codificado no MBR infectado. O código é estático e não é gerado aleatoriamente. Então, se você está infectado, use a seguinte chave para desbloquear: 21545455
Atualmente, nós detectamos o Trojan como TR/Crypt.XPACK.Gen e o MBR infectado como BOO/Ransom.A
Produtos afetados
- Avira Professional Security [Windows]
- Avira Free Antivirus [Windows]
- Avira Antivirus Premium 2013 [Windows]
- Avira Antivirus Pro [Windows]
- Avira Internet Security [Windows]
- Avira Internet Security Suite [Windows]
- Avira Ultimate Protection Suite [Windows]
- Data de criação : terça-feira, 17 de abril de 2012
- Última atualização: quinta-feira, 3 de maio de 2018