Понедельник, 25.11.2024, 07:14
Приветствую Вас Гость | RSS
   Меню
Категории
Счетчики

Онлайн всего: 1
Гостей: 1
Пользователей: 0
Поддержи наш сайт
    материально!




 Главная » 2012 » Февраль » 5 » Trojan MBR.Lock
23:59
Trojan MBR.Lock

Удаление Вируса MBR Locker (Trojan MBR.Lock)

MBR_Locker

Расскажу вам про очередную уловку вирусописателей - вымогателей. Принесли мне ноутбук на лечение от очередного трояна-вымогателя. Ну я думаю выставлю в БИОС грузиться с флешки, вставлю флешку с Kaspersky Rescue Disk, нажму кнопочку  Kaspersky WindowsUnlocker и вуаля-готово! Но не тут-то было! При включении ноутбука сразу же после прохождения "POST"я увидел вот этот экранчик!

MBR_Locker


KAV_Start

Экран ноутбука полностью становится черным, то есть на нем ничего не отображается.
Видимо драйвер видео для этого ноута, у Kaspersky Rescue Disk так и не нашелся.
И тут к своему удивлению увидел, что файловая система на разделе С: "RAW" - то есть неопределенная.
И соответственно доступа к разделу нет физически ни проводнику, ни антивирусу!
Ну думаю совсем весело. Только этого не хватало.
CHKDSK - тоже на raw не проходил! И тут я вспомнил, что поврежденный нулевой сектор (загрузчик)
может выдавать сообщение о файловой системе "RAW".
Ну и конечно есть вполне стандартное средство для восстановления поврежденного загрузчика.
Это конечно стандартная "Консоль восстановления Windows" на установочном диске с дистрибутивом!
Которая в итоге мне и помогла загрузить систему в обычном режиме.
Ну а далее дело техники - Kaspersky Virus Removal Tool 2011, со свежими базами и чистка реестра и автозагрузки "Reg Organizer"ом!

Далее прилагаю подробную инструкцию.

Как оказалось это так называемый MBR.Lock (МБР-лок).

 Выглядят они все одинаково примитивно, так как выполняются в текстовом режиме при старте компьютера. Обычно это красный текст на черном фоне, в котором в общем нет ничего нового, с требованием оплатить штраф за просмотр гей-порно, детского порно и видеоматериалов содержащих насилие. В рунете распространяются мбр-локи с требованием оплатить штраф на счет абонента МТС или БИЛАЙН, в Украине и Белорусии на электронный кошелек WebMoney (ВебМани).

Проблема в том, что для неподготовленного пользователя ситуация может стать действительно тупиковой: компьютер не загружается ни в обычном, ни в безопасном режиме, загрузка и сканирование антивирусом с live-cd безрезультативна, даже попытка переустановки Windows может не увенчаться успехом!

Данный вирус поражает MBR — главную загрузочную запись жёсткого диска, доступа к которой ни пользователь, ни операционная система доступа обычно не имеют. В этом и заключается вся сложность, и, одновременно простота его удаления.

Заражение обычно происходит во время клика на заражённой ссылке или загрузки зараженной веб-страницы. Далее компьютер через несколько секунд выключается, пытается перезагрузиться и показывает сообщение от том, что «Ваш компьютер заблокирован за просмотр, копирование и тиражирование видео с элементами педофилии… Необходимо платить штраф в размере… » и т.д. и т.п.

Естественно никому платить не нужно - это не поможет. Ведь терминал по оплате мобильного телефона просто не может напечатать никакой код разблокировки. Искать код разблокировки тоже бессмысленно. Часто кодов для разблокировки баннеров просто не существует.

Удаление баннера в загрузочном секторе Windows XP через консоль восстановления.

Не все так страшно, как кажется. На самом деле удаление баннера MBR.lock намного проще, чем в случае с баннером на рабочем столе. Необходимо выполнить восстановление MBR (главной загрузочной записи).

Для лечения нам понадобится установочный диск Windows XP. Если у вас нет диска, его образ  нужно записать на болванку CD-R / DVD-R, например, с помощью программы "Nero Express". 

Загружаемся с диска (далее выбираем установка Windows в ручном режиме).

Начнется загрузка необходимых для установки драйверов, после чего появится следующее окно:



Нажимаем клавишу R для запуска консоли восстановления Windows XP.

После загрузки консоли, будет задан вопрос в какую копию Windows выполнить вход.



Выбираем свою копию. Если у вас всего одна ОС, вводим 1 и нажимаем Enter.

Потребуется ввести пароль администратора. Вводим пароль и нажимаем Enter. Если пароль не стоит, то ничего не вводим, а просто нажимаем Enter. После этого выполнится вход в систему. Об этом будет свидетельствовать командная строка.


 Вводим команду fixboot - восстанавливаем boot сектор. 

На запрос перезаписать бут сектор, отвечаем клавишей Y

Далее водим команду fixmbr и нажимаем Enter. 

На вопрос Подтверждаете запись новой MBR? 

вводим с клавиатуры в латинской раскладке y, что означает yes и нажимаем Enter


восстановление MBR через консоль восстановления

Если появится сообщение Новая основная загрузочная запись успешно сделана, значит все прошло успешно и MBR восстановлена. Вводим команду exit и нажимаем Enter. После этого компьютер перезагрузится. Вот и все, компьютер разблокирован!

 

Как восстановить MBR в Windows 7 - компьютер заблокирован до загрузки Windows.


Процесс восстановления MBR и разблокировки компьютера в Windows 7 аналогичен восстановлению MBR в Windows XP. Здесь я опишу восстановление MBR и соответственно разблокировки компьютера от Trojan.MBRLock с помощью ERD Commander.

1) Качаем образ диска ERD Commander для Windows 7 и записываем на диск, например, или делаем загрузочную флешку ERD Commander для Windows 7.

2) Ставим в БИОСе загрузку с диска или флешки (в зависимости от того, что записали). Загружаемся. В Меню выбора версии ERD Commander выбираем версию 6.5 for Windows 7.

Начнется загрузка. Некоторое время может быть просто черный экран и ощущение, что компьютер завис. Это не так. Просто образ загружается сначала в оперативную память и при этом на экране ничего не отображается.

3) После окончания загрузки будет предложено подключиться к сети в фоновом режиме. Отказываемся.

4) Нажимаем Да на вопрос о переназначении букв дисков.

5) Выбираем раскладку клавиатуры.

6) Выбираем нашу копию винды и жмем Далее.

7) В появившемся меню выбираем Командная строка

Появится окно командной строки. Вводим команду bootrec.exe /fixmbr и нажимаем Enter.

Восстановление MBR Windows 7 через ERD Commander

8) Закрываем командную строку и перезагружаем компьютер в обычном режиме. Все! Троян MBRlock обезврежен!

После всех манипуляций нужно просканировать систему  Kaspersky Virus Removal Tool 2011, или Doctor Web Cureit.

Хочется так же отметить практически полную несостоятельность антивирусов против данной угрозы: Платные и с громкими названиями, как и два года назад, они даже неспособны вовремя и адекватно реагировать против этой, действительно серьёзной угрозы!

При проверке файла sys3.exe из 43 антивирусов определить трояна смогли только 5!

Как всегда держат марку Касперский и Доктор Вэб.

Отличились еще 3 антивируса - Antiy-AVL, Comodo, и Panda.

Остальные просто молчали! Мол все чисто-вирусов нет!

Проверка вирусного файла mbr-winlock sys3.exe на сайте virustotal

Проверка вирусного файла sys3.exe на сайте virustotal.com показала, что на момент заражения из 43 антивирусов данный винлокер могло поймать только 5 антивирусов!

Каждый раз заражению соответствует наличие файла sys3.exe (собственно вирус) во временных файлах браузера и netprotocol.exe в автозагрузке (создаёт брешь в операционной системе) (версии данных файлов всё время изменяются и срабатываемость на них антивирусов остаётся  крайне низкой, названия файлов злоумышленники пока не изменяли).

Здесь находится свежий отчет о найденном мной теле свежего трояна!

Уязвимость операционной системы Windows: пользователь просто сёрфит в интернете, а злоумышленники в это время модифицируют MBR и перезагружают компьютер!!!

Беспомощность нашей милиции/полиции в борьбе с данным видом преступлений: как  ловить таких преступников они не знают, не  умеют, не могут и не хотят, чем мошенники пользуются и будут пользоваться.

Люди, которые платят мошенникам — соучастники и спонсоры данных преступлений. Эти вирусы будут появляться вновь и вновь до тех пор, пока это экономически выгодно.

На этом всё! Удачи вам в борьбе со зловредами!

Просмотров: 8826 | Добавил: sender_j | Теги: вирус-блокировщик, Блокировщик Windows, Trojan MBR.Lock, вирус-вымогатель, MBR.Lock, trojan | Рейтинг: 5.0/1
Всего комментариев: 8
0  
8 Lkazop   (08.08.2012 21:00) [Материал]
Огромное спасибо, вся процедура заняла 30сек
Еще раз спасибо

0  
7 дэн   (27.06.2012 13:24) [Материал]
Чё за херь? Я себе сделал загрузочный диск с чистой виндой, нарыл ключ активации и переустановил систему!!! Ебать мозги такими алгоритмами - на хер нужно? У вас что, миллионы долларов в веб-кошельках?!
Насчет этой срани - MBR.Lock: этот виртуальный пидор попадает через зараженные ссылки-строчки - факт! Но что самое интересно, его ни хуя не регистрирует ни ебаный "Каспер" ни ему подоноые: всякие там "Комоды", и прочая "мебель". А вот "Аваст" (галимый, блядь, "Аваст"!!) - его видит! ну, не так прям, чтобы орать, типа: вот он, сука, я его вижу! Я имею в виду - он тут же предупреждает о зараженном сайте! Так что ставьте "Аваст" и не ебите мозги всякой хуйней от Касперского: у меня ваще впечатление такое, что и вирусы и антивирусы пиздячит одна и та же контора!

0  
6 sesam   (13.05.2012 01:13) [Материал]
и да забыл
фиксбутом решил проблему надписи в начале загрузки, но диски по прежднему не проявились

0  
5 sesam   (13.05.2012 01:09) [Материал]
я думаю подобный вирус может быть очень серьезен!! цена моего варианта 900грн
программа вымогатель не размножается с компа на комп. но это и не нужно ведь возможно он распространяется по сайтам.
итак: вирус создал некий диск который является какбы ярлыком на различные папки локального диска с: с системой, при загрузке все идет именно с этого ярлыка, ничего поменять в нем нельзя так как нет доступа,
как я это увидел :с помощью акронис, жесткий 320гб на данный момент представляет собой два логических диска с:\51гб(система) и д:\250гб которые были когда система работала, и еще один 56гб(свободно 0), акронис и другие программы определяют последний как неизвестный диск с неизвестной файловой системой. как видно он не является реальным диском, в 320гб не влазиет, если просмотреть файлы на С: диске то некоторые папки являются частью этого неизвестного диска и тоже указаны как неизвестные с неизвестным форматом, доступа к ним нет, даже открыть нельзя, в статистике диска с: указано >15000 жестких ссылок. на д такого нет.
при любой загрузке с попыткой использовать нормальные диски виден только этот неизвестный диск и так как он неизвестного формата ничего с ним сделать нельзя. как я понимаю если чем вроде акрониса его удалить как диск то скорее всего удаляться все папки с которыми он связан((
признаюсь загрузил касперского securedisk, он к счастью увидел логические диски, и даже обнаружил троян (как обычно в кеше мозилы) НО лечить удалить или переместить не смог так не имел доступа на изменение О_о
получается ни один антивирус ничего не может сделать потому как лечить нужно не сам вирус а поврежденную файловую систему, лечение я даже не представляю простыми способами. я если честно восхищаюсь подобным вирусом, он показывает насколько платные антивирусы все нахрен не нужны, тем более если есть бесплатные альтернативы
на хабрхабр видел чувак дает описание как создавать жесткие ссылки на рнр )))
Вы только представьте если подобный вирус сможет реально распространяться в сети интернета, половина систем будут снесены и это не поможет и жесткие будут отформатированы и это тоже не поможет .... ААААааа
прощайте

0  
4 Oleg   (30.04.2012 13:29) [Материал]
Bujhm
это новая версия вируска, у меня тож самое было запустился Акронис Труе Имедж и все показал оно как то маскирует походу хер его знает, на флеху образ нулевой винды(естесно образ должен быть Акронисовский) и востанавлюй себе МБР

0  
3 Bujhm   (19.04.2012 00:18) [Материал]
Привет . Раньше я тоже так делал как ты описал но вот второй день встречаюсь с похожим ,но другим вирусом . просит 680 грн после этой процедуры толку никакого insert disk. через досовское окно пытаюсь на любой диск залезть их как бы нет все время x:\ с диска команда bootrec.exe /fixmbr проходит а /fixboot нет , а раньше проходила . с флэшки попробoвал тоже самое оно мне флэху запароло:)) А сегодня хотел вообще не париться и сразу винду переставить форматнул диск c: и после формата пропал d: и диск в 500 гб превратился в диск 50 гб только акроникс помог . не встречался с таким ?? как его убивать не грохать же все на компе ???

0  
2 ZzzFedor   (13.04.2012 06:41) [Материал]
Mudvayne читать умник обучен? для тебя по русски написали

"" файловая система на разделе С: "RAW""

Автору за подробное описание спасибо, думаю многим пригодится

0  
1 Mudvayne   (07.04.2012 21:49) [Материал]
Хрень,а не процедура.Загружаешся с Live XP PE от "Урода" и улитой DrWeb с флешки.Вот и вся песня.

Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
         Вход
  Поиск по сайту
Онлайн Радио

        Чат
Наши друзья

Наши друзья
www.liex.ru - автоматическое размещение статей с прямыми ссылками