Trojan-Ransom.Win32.Mbro.a

После запуска троянец копирует свое тело во временный каталог текущего пользователя.

Технические детали

Троянец-вымогатель, который блокирует работу OC. Является приложением Windows (PE-EXE файл). Имеет размер 18432 байта. Написана на С++.


Деструктивная активность

После запуска троянец копирует свое тело во временный каталог текущего пользователя под именем:

%Temp%\x2z8.exe
Создает уникальный идентификатор присутствия в системе с именем:
qwerty17_12345
Также создает файл:
%Temp%\fpath.txt
В который записывает путь к оригинальному телу троянца. Далее троянец удаляет свой оригинальный файл, выполняет модификацию главной загрузочной записи (MBR) и выполняет перезагрузку.

На начальных этапах загрузки троянец проверяет текущую дату и если она больше значения:

19:04 22-5-2011
То троянец восстанавливает оригинальную главную загрузочную запись. В противном случает троянец отображает следующее сообщение:

Где номер телефона может быть одним из следующего списка:

896884***53 896884***52 896884***51 896884***99 896884***98 896884***81 

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Ввести следующий пароль:
    875082
    При этом троянец восстановит оригинальную главную загрузочную запись (MBR).
  2. Для получения кода разблокировки можно воспользоваться бесплатным сервисом Лаборатории Касперского Deblocker Windows:
  3. Если восстановить работу ОС не удалось, восстановить оригинальную главную загрузочную запись (MBR) при помощи Kaspersky Rescue Disk 10.
  4. Удалить фалы:
    %Temp%\x2z8.exe %Temp%\fpath.txt 
  5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

MD5: 9F80F066BFE3100FFA0BF81282824E1E
SHA1: EA44E23D53C44394E77F422CBD773AAEF61094B3