Esse tipo de Ransom Trojan é desenvolvido por outro malware ou baixado da Internet.

Ele infecta o MBR (Master Boot Record) do sistema em funcionamento. O Trojan é executado, ele substitui o MBR no disco rígido e antes o MBR original será armazenado em uma segunda seção.

Ele exibe uma certa mensagem e informa o usuário de que o sistema está bloqueado e que ele precisa pagar para destravar o sistema novamente. Durante esta seção, todo o procedimento de inicialização é interrompido.

Comportamento do malware

O Trojan aparece através de outro malware deixado ou se alguém visita um site malicioso e faz algum download.

Ele faz uma cópia dele mesmo na seguinte pasta:
%Userprofile%\Local Settings\Temp\x2z8.exe

Ele também deixa um arquivo limpo nesta pasta:
%Userprofile%\Local Settings\Temp\fpath.txt

Observação:
O Trojan é executado, ele substitui o MBR original e força uma reinicialização do sistema operacional. Depois disso, a seguinte mensagem vai aparecer:


 

Solução

Durante a nossa investigação, descobrimos que o "Código de Desbloqueio" foi codificado no MBR infectado. O código é estático e não é gerado aleatoriamente. Então, se você está infectado, use a seguinte chave para desbloquear: 21545455

Atualmente, nós detectamos o Trojan como TR/Crypt.XPACK.Gen e o MBR infectado como BOO/Ransom.A