Способы борьбы с программами-вымогателями MBR (TR/Crypt.XPACK.Gen)

Этот тип трояна-вымогателя распространяется через вредоносное ПО или Интернет.

Он заражает MBR (Master Boot Record) операционной системы. При запуске троян перезаписывает MBR на жестком диске до сохранения оригинальной MBR во втором разделе.

Он отображает сообщения о том, что система заблокирована и пользователь должен передать вымогателю определенную сумму, чтобы снять блокировку. Во время этого сеанса вирус прерывает процедуру загрузки.

Поведение вредоносного ПО

Троян распространяется через вредоносные программы и загрузки с опасных сайтов.

Он создает собственную копию в папке
%Userprofile%\Local Settings\Temp\x2z8.exe

и оставляет чистый файл в каталоге
%Userprofile%\Local Settings\Temp\fpath.txt

Примечание.
При запуске троян перезаписывает оригинальную MBR и выполняет принудительную перезагрузку операционной системы. После этого появляется следующее сообщение:

TR/Crypt.XPACK.Gen
 

Решение

Мы выяснили, что "Код для снятия блокировки" встроен в зараженную MBR. Он статичен и не генерируется случайным образом. Поэтому, если вы заразились, воспользуйтесь для снятия блокировки следующим ключом: 21545455

В настоящее время этот троян определяется как TR/Crypt.XPACK.Gen, а зараженная MBR – как BOO/Ransom.A

Рассматриваемые продукты

  • Avira Professional Security [Windows]
  • Avira Free Antivirus [Windows]
  • Avira Antivirus Premium 2013 [Windows]
  • Avira Antivirus Pro [Windows]
  • Avira Internet Security [Windows]
  • Avira Internet Security Suite [Windows]
  • Avira Ultimate Protection Suite [Windows]
  • Создано : вторник, 17 апреля 2012 г.
  • Последнее изменение: четверг, 3 мая 2018 г.