Новая программа-вымогатель Trojan.MBRlock.17


Trojan.MBRlock.17 — программа-вымогатель, изменяющая загрузочную запись Windows, а также записывающая свои компоненты в случайные сектора и не хранящая в открытом виде ключ разблокировки.

Ключевая особенность троянов семейства Trojan.MBRlock заключается в том, что эти вредоносные программы модифицируют загрузочную запись Windows (Master Boot Record, MBR), сохраняя оригинальную MBR в другой части жесткого диска. Таким образом, троян получает возможность стартовать раньше операционной системы и блокировать ее штатный запуск. После этого на экран компьютера выводится сообщение, содержащее требования вымогателей. В данном случае за разблокировку компьютера злоумышленники требуют заплатить:

  • для жителей России - 400 рублей;
  • для жителей Украины - 120 гривен;
  • или для жителей обеих стран - 60 000 белорусских рублей.

trojanmbrlock17 450

Запускаясь на компьютере жертвы, Trojan.MBRlock.17 сохраняется во временную папку со случайным именем. Далее троян запускает процесс

  • calc.exe

(стандартную программу "Калькулятор") и встраивает в него свой код. После этого встроенный в процесс calc.exe Trojan.MBRlock.17 создает файл в папке

  • %APPDATA%\Adobe\Update\

который впоследствии удаляется, запускает процесс

  • explorer.exe

и копирует свой код в него. В свою очередь, процесс explorer.exe инфицирует MBR и пытается завершить работу Windows. Любопытно, что в отличие от своих предшественников, Trojan.MBRlock.17 записывает свои компоненты, такие как шрифты, выводимый на экран текст и оригинальную MBR, в случайные сектора жесткого диска, то есть способен изменять в своем коде отвечающие за выбор таких секторов константы. Ключ разблокировки троян также не хранит в открытом виде: он создается динамически на основе ряда параметров. Помимо этого троян уничтожает таблицу разделов, предварительно сделав копию первого сектора для последующего восстановления.