Блог от said_t Май 20 2019 14:46:08

Boot вирус - вымогатель

Способ заработать на неосторожных пользователях Интернета приобретает неожиданные оттенки. Стали "популярны" программы, вирусы - вымогатели, при срабатывании требующие тем или иным способом перечислить деньги злоумышленнику. Веский аргумент заставляющий уплатить это: различные блокировки панелей задач и редактора реестр или полное блокирования системы, постоянно мелькающим окном, систематическими перезагрузками системы, Но есть среди вирусов - вымогателей самые страшные, работающие еще до начала запуска системы. Для антивируса эта программа становится недоступна, по той причине, что система еще и не начала загружаться и уже не загрузится. Это новые варианты древних boot вирусов. Они модифицируют главную загрузочную запись MBR (Master Boot Record) жесткого диска.
Таких вирусов появилось несколько с десятками модификациями. Рассмотрим на примере самого яркого представителя современных boot вирусов - Trojan.MBRlock или как его обозвал касперский - Trojan-Ransom.Boot.Mbro.d


Запускает механизм вируса как обычно сам пользователь, щелкая по прикрепленному файлу, полученному электронной почте. После перезагрузки, обычно инициируемой самим вирусом, привычной загрузки системы мы уже не увидим, а вместо этого наблюдаем окошко с пугающей надписью "Внимание! Ваш ПК заблокирован за просмотр и тиражирование порнографии с участием несовершеннолетних гомосексуалистов... и т.д.:


Вирус вымогатель Trojan.MBRlock. Проявление вируса.


Кстати, жадность этих писак все больше и больше, в первых версиях вируса запрашиваемые суммы были в сотню раз меньше и на этом лохотроне разводят десятки, а то и сотни неосторожных пользователей сети.

Бороться с вирусом затруднительно по причине банальной невозможности запуска системы. Здесь не поможет ни простое форматирование, ни накат сохраненного ранее образа системы программами от Acronis-а или Norton Ghost.

Бывает исход немного иным. Система запустится и пользователь может и не догадывается, что его машина несет в себе троянскую программу Trojan.Rmnet, которая также модифицируют MBR, но специализируются на воровстве паролей к FTP,  может обучаться воровать и другие. Лечение тоже - восстанавливать MBR

Восстановить MBR можно различными способами: банальное затирание первых 100 секторов диска древней DOS-овской программой Clearhdd, перезапись командой fdisk /mbr том же DOS -e или командой CLRMBR в программе MHDD с полной потерей данных. Если данные на диске нам терять не охота, а обычно это так, то операция исправления MBR должна быть более аккуратна, например применить специальную функцию программы Paragon Partition Manager или подобного монстра для работы с жесткими дисками.
Для начала воспользуемся легкой программой Bootice и для ее запуска нужен загрузочный диск LiveCD с системой на основе Windows, я для этих целей предпочитаю ERD commander.

программа Bootice для восстановления MBR

Обычно программа сама определяет активный диск с системой, а иногда нужно в этом ей помочь. После выбора диска жмем кнопочку Process MBR.

окно программы bootice , выбор файловой системы


на этом этапе система выбирает файловую систему диска, хотя и это не всегда это ей удается, значит помогаем. Для Windows XP, Windows 2000  выберем Windows NT 5.х MBR, для систем Windows 2003, Windows 2008, Windows Vista, Windows Seven - Windows NT 6.x MBR.
Backup MBR - сохраняем существующую таблицу в файл, хотя сохранение можно и не делать, для чего нам такая запись, а вот для исправления главной загрузочной записи диска жмем кнопку Install/Config, далее по программе везде соглашаемся нажавши ОК.
Перезагружаем машину, натравливаем свой антивирус на все разделы всех определенных системой дисков и вылавливаем файл - носителя вируса, он их может прятать в различных бинарниках, библиотеках, временных файлах, на различных разделах диска, хотя возможно иное...

Качаем программку Bootice.  

ПС

Данный способ лечения хорош, потому, что прост. Само тело вируса прячется в видоизмененном загрузчике в первом секторе по адресу с 0х000 по 0х1B7 и заменой MBR (обычно первого сектора диска) программой Bootice  все следы вируса не очищаются. Его части разбросаны в начальных секторах. Но при удаления его части с MBR работоспособность его нарушается. В наведенном здесь примере надпись о блокировке была найдена по адресу 0х0800 - 0х0AE7. Для уничтожения этих следов нужны средства с полной очисткой начальных секторов диска, что чревато потерей данных или ручное редактирование заглавия диска. Последний способ в наше время, как бы из области фантастики.....

Комментарии
Нет комментариев.
Добавить комментарий
Пожалуйста, залогиньтесь для добавления комментария.
Партнеры сайта
Основатель аэрокосмической компании FireFly Ukraine Макс Поляков встретился с президентом Украины
Навигация
Главная
Статьи
Файлы
Фотогалерея
Каталог ссылок
Обратная связь
Поиск
Site Map
статистика
Авторизация
Логин

Пароль



Вы не зарегистрированы?
Нажмите здесь для регистрации.

Забыли пароль?
Запросите новый здесь.
__________

Meta Tags
программа-Bootice boot-вирус---вымогатель восстанавление-MBR Master-Boot-Record программа-Clearhdd CLRMBR ERD-commander Backup-MBR Trojan.MBRlock Trojan-Ransom.Boot.Mbro.d Ваш-ПК-заблокирован первых-100-секторов MHDD полная-потеря-данных Partition-Manager главная-загрузочная-запись

© said_t 2009

Powered by PHP-Fusion copyright © 2002 - 2012 by Nick Jones.

Released as free software without warranties under GNU Affero GPL v3.