вирус-вымогатель требует перевести 300грн (MBR.Locker)

23 Дек

Уже второй случай, когда одна и та же вирусня встречается в разных местах и по одинаковому пахнет

Вирус-вымогатель при включения компьютера загрузке винды записывается в загрузочный сектор жесткого диска блокирует экран входа в Windows, показывая говноокошко-уведомление о том, что на данном компьютере была просмотрена ггнушная информация, всяческие сайты педофи-направленности и просит отправить деньги в размере 300UAH на WEBMONEY U380684653704, U3804654335, U380684653537 кошельки, который сам по себе в системе webmoney не зарегистрирован, а данный номер скорее всего является номером телефона одного из абонентов Beeline (UA).

Текст сообщения гласит:

ВНИМАНИЕ! Ваш ПК заблокирован за просмотр и тиражирование порнографии с участием несовершеннолетних
 
гомосексуалистов, элементами извращений. Для разблокировки, Вам необходимо оплатить штраф в размере 300 гривен в
 
любом терминале оплаты. Выберите на экране терминала категорию "Электронные деньги"или подобный раздел. Найдите
 
эмблему платежной системы Webmoney. Пополните кошелек Webmoney, для этого - введите номер U кошелька(12 цифр) -
 
380684653537 и пополните его на 300 гривен. По завершению оплаты, на выданном терминалом чеке оплаты, Вам будет
 
выдан персональный код, после ввода которого, Ваш ПК будет автоматически разблокирован. В случае отказа от оплаты,
 
операционная система будет уничтожена, без возможности восстановления.
 
Enter code:

Итак, вирус называется Trojan-Ransom.Boot.Mbro.d (Kaspersky) его несколько разновидностей и у других антивирусов он называется примерно так:
BitDefender — Rootkit.MBR.Locker.* (Boot image)
Kaspersky — Trojan-Ransom.Boot.Mbro.d
DrWeb — Trojan.MBRlock.6
Comodo — TrojWare.Boot.Ransom.Mbro.D
Emsisoft — Trojan-Ransom.Boot.Mbro!IK
F-Secure — Rootkit.MBR.Locker.B /(Boot image/)
GData — Rootkit.MBR.Locker.D
Ikarus — Trojan-Ransom.Boot.Mbro
Sophos — Troj/RnsmMbr-D

Лечить его удается с помощью спасательного диска восстановления от Касперского (загрузить образ Kaspersky Rescue Disk можно с оф. сайта)
!Вирус записывается в загрузочный сектор жесткого диска (в MBR) и обычными fixboot или fixmbr врядли можно будет обойтись, и лучше их не задействовать!

Итак, для того чтобы удалить вирус необходимо скачать выше указанный образ диска восстановления и записать его на CD/DVD/USB носитель. Как записывать образ на CD/DVD думаю всем известно. А вот для записи этого образа на флешку (USB) необходимо так же скачать еще одну утилитку более подробное описание о том как это делать (как записывать образ на СД/ФЛЕШКУ) — читайте здесь

После записи образа на диск заходим в BIOS (когда включаете компьютер нажимаете все время клавишу F2 или Del.

выставляем первичную загрузку с ДИСКА/ФЛЕШКИ

Сохраняем все параметры биоса

компьютер перезагружается.
Нажимаем Enter в начальном меню загрузки KAV

В следующем меню (для вашего удобства) выбираем русский язык и снова Enter

Далее выбор уже стоит на «Kaspersky Rescue Disk. Графический режим» снова жмем Enter

Загружается диск. Ждем.
После того как он загрузился соглашаемся с лицензионным соглашением (клавиша C) и ждем пока он примонтирует разделы, настроит сетевые интерфейсы и в конце концов заходим в меню в нижней панели слева и выбираем Kaspersky Rescue Disk

В Kaspersky Resue Disk можно так же выбрать диски (разделы отметить галочками) которые хотите проверить на наличие вирусов и в итоге жмем на «Выполнить проверку объектов».

Ждем полной проверки системы
При проверке антивирус может выдать сообщение о найденном вирусе и предложить его вылечить или удалить. Жмем вылечить, если кнопка лечить не доступна — жмем удалить!
В конце проверки перезагружаемся. Все должно заработать!

 

UPD 03.02.2012: У кого в графическом режиме не загружается антивирус — попробуйте Текстовый режим !

UPD 19.02.2012:
Если ничего не помогло, попробуйте восстановить загрузочные сектора с помощью fixboot и fixmbr, для этого нужно:
Загрузиться в консоль восстановления Windows, она есть на загрузочных (установочных) дисках с Windows, и там в консоли набрать эти команды. Более подробно — здесь

UPD 14.03.2012:
Кому не помогло все выше — попробуйте LiveCD AntiWinLocker (записываете на CD/DVD диск и пользуетесь)

Возможные пароли для разблокировки загрузочного сектора:
1113332
03290940
98278728
10020000

Rating of article:
[Total: 0 Average: 0]

65 Replies to “вирус-вымогатель требует перевести 300грн (MBR.Locker)

  1. Вообще даный вирус, снимается перезаписью, (обнулением) MBR сектора, — диск сисадмина sonyaPE пригодится. Если честно поклоняюсь создателям вируса. Это вам не банер висящий в msconfig и реестре. Молодцы, идея супер.

    0
    0
  2. Сидел… ждал пока загрузится диск каспера.
    Ввел 123456… не сработало, ввел 123456789… Loading OS.
    Так что ребята 123456789… с юморком.
    Мой вариант тот что красными буковками про гомосексуалистов.

    0
    0
  3. оооо! спасибо огромное, а то уехала на дачу комп не вырубила, приезжаю, а тут такая фигня, я чуть в обморок не упала….

    0
    0
  4. Создал оба образа на CD дисках, каспевский нашёл Boot.Mbro но не удаляет, говорит неизлечим и оставляет только выбор отмена, после чего заявляет что пользователь саморучно отменил лечение.
    Затем я даже интернет подключил, обновил базу и повторил попытку, результат тот же… В текстовом режиме аналогично пишет неизлечим.

    Второй диск который LiveCD AntiWinLocker, тоже нашёл и якобы полечил, но гнусная надпись с требованиями по прежнему вылазит при запуске… отличие от Вашего скрина они требуют 860 грн.

    Ключи не один не подходит…
    Подскажите что ещё сделать надо?

    0
    0
  5. quadrathell, така сама ситуація. ППЦ це прям знущання якесь, особливо коли перечитуєш «Жмем вылечить, если кнопка лечить не доступна — жмем удалить!» ЗБС каспєр як завжди параша…

    0
    0
  6. UPD 19.02.2012:
    Если ничего не помогло, попробуйте восстановить загрузочные сектора с помощью fixboot и fixmbr, для этого нужно:
    Загрузиться в консоль восстановления Windows, она есть на загрузочных (установочных) дисках с Windows, и там в консоли набрать эти команды. Более подробно — здесь http://tovld.com/archives/1658

    0
    0
  7. У меня было можно сказать такое самое.У меня прога клинер стоит и там есть такая опция автозагрузка(проги которые на автозагрузке стоят).И я зашел в нее и изьял из автозагрузки некую программу «1374628546» или как то так.А при помощи этой же проги(CCleaner) нашел ее местонахождение и удалил.Вот и все :)

    0
    0

Добавить комментарий для Саша Отменить ответ

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.