Эксперты ЛК обнаружили два новых блокера-шантажиста

image

Теги: Лаборатория Касперского, вредоносное ПО

«Лаборатория Касперского» предупреждает о распространении двух программ-блокеров, шифрующих файлы пользователя и требующих деньги за восстановление данных.

«Лаборатория Касперского» предупреждает о распространении двух программ-блокеров, шифрующих файлы пользователя и требующих деньги за восстановление данных.

Один из зловредов представляет собой модификацию опасного троянца GpCode. Он шифрует файлы с популярными расширениями (doc, docx, txt, pdf, xls, jpg, mp3, zip, avi, mdb, rar, psd и др.), после чего самоуничтожается.

Эта программа была обнаружена аналитиками «Лаборатории Касперского» 29 ноября и детектируется как Trojan-Ransom.Win32.GpCode.ax. В настоящее время эксперты компании работают над способами восстановления зашифрованных данных.

GpCode не распространяется самостоятельно – на компьютер он попадает через зараженные сайты и уязвимости в Adobe Reader, Java, Quicktime Player или Adobe Flash. В отличие от предыдущих версий блокера, существующих еще с 2004 года, новая модификация не удаляет оригинальные файлы после расшифровки, а перезаписывает в них данные.

Вторым обнаруженным блокером стал троянец Seftad, поражающий главную загрузочную запись операционной системы (MBR). Две разновидности этой вредоносной программы добавлены в антивирусные базы компании под именами Trojan-Ransom.Win32.Seftad.a и Trojan-Ransom.Boot.Seftad.a.

После заражения Seftad переписывает главную загрузочную запись и требует деньги за предоставление пароля, с помощью которого можно восстановить изначальную MBR. После трех неверно введенных паролей инфицированный компьютер перезагружается, и троянец заново выводит требование о переводе средств.

Для предотвращения заражения блокерами GpCode и Seftad пользователям продуктов «Лаборатории Касперского» необходимо загрузить новые антивирусные базы. Эксперты компании рекомендуют регулярно обновлять все установленное ПО для закрытия существующих уязвимостей.


или введите имя

CAPTCHA
Страницы: 1  2  
ЪАдминЪ
02-12-2010 10:33:05
Троянец в МБР-ке! Проблема - Ха! Загружаемся с любого лив-сиди с никсами. Выбираем "режим восстановления". Далее восстанавливаем или загрузчик линухи или восстанавливаем загрузчик винды. А если поставить груб или лило, то никакой подобный строянс не возметься там что-то менять, ибо не поймет запись нах. Тот же груб4дос благополучно грузитсистему из ntldr напрямую.
0 |
ввв
02-12-2010 10:46:10
маленькая проблема он шифрует таблицы размещения файла, так что /fixmbr не поможет
0 |
ЪАдминЪ
02-12-2010 11:51:43
ntfsfix в этих целях мне всегда помогал. Как-то пришлось восстанавливать винт после того как человек сначала поставил шифровать раздел, а потом его же "быстро" форматнул. Даже другой винт не понадобился для слива инфы.
0 |
XiTri
02-12-2010 11:52:10
таблицы размещения файла, умерли вместе с fat.
0 |
123
02-12-2010 22:43:38
>таблицы размещения файла, умерли вместе с fat. Да нет живут заразы даже в NTFS - называется "Таблица MFT" (Master File Table)
0 |
09857
02-12-2010 12:04:56
[QUOTE]А если поставить груб или лило, то никакой подобный строянс не возметься там что-то менять, ибо не поймет запись нах. Тот же груб4дос благополучно грузитсистему из ntldr напрямую. [CODE] Ему разбираться ни в чем и не надо... Он просто перезаписывает MBR и ему без разницы, что у вас GRUB, LILO или NTLDR
0 |
ЪАдминЪ
02-12-2010 18:43:10
Ну и на что он сможет мне перезаписать MBR? Искать загрузчик в активном разделе? Написать свой начальный загрузчик дело не далеко не простое. А уж уместить такой большой функционал в 512 байтах нереально MBR. Скорее он будет менять загрузчик уже VBR. До полного просветления читать: http://ru.wikipedia.org/wiki/Главная_загрузочная_запись#MBR_.D0.BE.D1.82_Microsoft_.28MS_DOS_.D0.B8_MS_Windows.29 http://en.wikipedia.org/wiki/GNU_GRUB#Boot_process
0 |
Красноглазый
02-12-2010 22:11:59
А разве mbr не ссылается на ваш загрузчик в активном разделе?
0 |
ЪАдминЪ
03-12-2010 06:46:28
По второй ссылке в моем предыдущем сообщении сходите и прочитайте процесс загрузки GRUB. А потом по первой прочитайте процесс загрузки от Microsoft. Хотя и так расскажу GRUB-у неинтересно какой раздел активный. Он будет искать дополнительную часть своего кода в указанном заранее месте. (как правило в первых 30 килобайтах диска). А потом на заранее определенном разделе будет искать конфиг того, что нужно загружать. LILO вообще весь свой код и конфиг держит в MBR. Так что никсовые загрузчики смогут загрузить ОС даже если нет ни одного основного (primary) раздела. Загрузчик от MS в процессе загрузки ОС три раза передает управление другой загрузочной программе. прежде чем запустит ядро ОС.
0 |
82627
03-12-2010 11:20:52
Ни че ваш ГРУБ искать не будет...потому что дело до него не дойдет, как не пляши сначала идет MBR... Как вы этого понять то не можете...
0 |
ЪТруАдминЪ
03-12-2010 12:42:36
Вам говорят, что груб засел частью в мбр. Заседает он там настолько, что винда не всегда при установке-то может его затереть. И как не пляши, а прежде чем говорить что такое MBR и что там лежит, нужно хотя бы сходить по ссылкам выше.
0 |
82627
03-12-2010 15:08:50
Вы вдумайтесь сами, в то что говорите... Вам говорят, что груб засел частью в мбрMBR перетерли, что стало с это частью вашего ГРУБа??? Вы сами еще раз сходите по своим ссылкам и вчитайтесь, что, как и в какой последовательности грузится... При прочтение включите мозг
0 |
Йух с большой дороги
03-12-2010 20:14:27
Малыш, почитай о том где Unix хранит таблицу разделов. Особенно не в вариации DOS. Ведь еще есть и вариация BSD (а в ней может быть несколько расширенных разделов). При попытке записать что-то в MBR такого диска винда выпадет в глубокий осадок. Да и от грубовского MBR тоже нырнет в BSOD. Вирусу сначала нужно будет обойти ограничение винды на низкоуровневый доступ к железу. И то, винда сначала считает таблицу разделов, потым BSOD-нет. Вы, я вижу, кроме виндового загрузчика никогда других не видели. И не пытались средствами работающей винды восстановить MBR на том же диске, где винда работает.
0 |
АнклГость
05-12-2010 11:24:18
Что ж вы тут такие тупые-то? Причем тут таблица разделов? BIOS компа при загрузке с жесткого передает управление коду, находящемуся в нулевом секторе винча, т.е. MBR, для идиотов расшифую - Главная Загрузочная Запись. И причем тут 6ля таблицы разделов? И какая нахрен разница какой там загрузчик - никсовый или нет? Вирусу ничего не надо обходить, никаких ограничений, запись MBR делается элементарно через функции win-api для работы с файлами, главное что бы привелегий было достаточно, а учитывая то, что у нас 90% работают с админской учеткой - то все понятно.
0 |
ЪТруАдминЪ
06-12-2010 06:51:07
Вот тебе и объясняется, что винда не сможет прочитать таблицу разделов в MBR. Попробуй средствами винды записать файл на устройство на которое формально разрешена запись, а реально записать нельзя. К примеру, примонтируй флэшку как сетевое устройство на другом компе и вытащи ее, а потом запиши туда файл. Еще раз специально для умственно неполноценных повторю фразу Юха. "При попытке записать что-то в MBR такого диска средствами Win-API винда выпадет в глубокий осадок. Да и от грубовского MBR тоже нырнет в BSOD." Еще раз повторю вам: "попробуйте средствами винды ручками переписать MBR с грубовским или LILO-вским загрузчиком."
0 |
20776
06-12-2010 08:28:38
Какой вы твердолобый идиот
0 |
39488
07-12-2010 22:13:31
Семен Семенович? Много раз приходилось восстанавливать grub из-за переустаноки венды. О руткитах не слышали?
0 |
Гость
02-12-2010 11:08:26
А в Линуксе эта гадость работает?
0 |
XiTri
02-12-2010 11:53:08
И вообще читаем сообщение от спецов http://defendium.info/showthread.php/1155-Trojan-Ransom.Boot.Seftad.a-Еще-один-троянец-вымогатель-теперь-в-MBR
0 |
02-12-2010 15:11:22
А почему постеснялся сразу сослаться на оригинал? Пиаришь каких то олухов, пытающихся заработать используя инструменты Касперского и других реальных производителей антивирусов?
0 |
XiTri
04-12-2010 18:49:56
Там красивей написано. Оформление понравилось.
0 |
91329
04-12-2010 18:59:09
У архидобросовестного админа всегда есть резервная копия MBR
0 |
ЪТруАдминЪ
04-12-2010 20:10:49
Как правило архивная копия MBR есть у любителей мультибута. А добросовестные админы винду держат в гипервизоре.
0 |
MegoHard
05-12-2010 18:56:17
Если я правильно понимаю, до загрузки системы дело не доходит? Т.е. отправить SMS вирус просит через консоль? Ну и в чем проблема проанализировать полкило ассемблерного кода и понять, куда он "прячет" MBR?
0 |
Страницы: 1  2