Trojan-Ransom.Win32.Mbro.a

Технические детали

Троянец-вымогатель, который блокирует работу OC. Является приложением Windows (PE-EXE файл). Имеет размер 18432 байта. Написана на С++.

Деструктивная активность

После запуска троянец копирует свое тело во временный каталог текущего пользователя под именем:

%Temp%\x2z8.exe

Создает уникальный идентификатор присутствия в системе с именем:

qwerty17_12345

Также создает файл:

%Temp%\fpath.txt

В который записывает путь к оригинальному телу троянца. Далее троянец удаляет свой оригинальный файл, выполняет модификацию главной загрузочной записи (MBR) и выполняет перезагрузку.

На начальных этапах загрузки троянец проверяет текущую дату и если она больше значения:

19:04 22-5-2011

То троянец восстанавливает оригинальную главную загрузочную запись. В противном случает троянец отображает следующее сообщение:

Где номер телефона может быть одним из следующего списка:

896884***53 896884***52 896884***51 896884***99 896884***98 896884***81 

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Ввести следующий пароль:

   875082

   При этом троянец восстановит оригинальную главную загрузочную запись (MBR).
2. Для получения кода разблокировки можно воспользоваться бесплатным сервисом Лаборатории Касперского Deblocker Windows:
3. Если восстановить работу ОС не удалось, восстановить оригинальную главную загрузочную запись (MBR) при помощи Kaspersky Rescue Disk 10 .
4. Удалить фалы:

   %Temp%\x2z8.exe %Temp%\fpath.txt 

5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами ( скачать пробную версию ).

MD5: 9F80F066BFE3100FFA0BF81282824E1E
SHA1: EA44E23D53C44394E77F422CBD773AAEF61094B3