вирус-вымогатель требует перевести 300грн (MBR.Locker)

23 Дек

Уже второй случай, когда одна и та же вирусня встречается в разных местах и по одинаковому пахнет

Вирус-вымогатель при включения компьютера загрузке винды записывается в загрузочный сектор жесткого диска блокирует экран входа в Windows, показывая говноокошко-уведомление о том, что на данном компьютере была просмотрена ггнушная информация, всяческие сайты педофи-направленности и просит отправить деньги в размере 300UAH на WEBMONEY U380684653704, U3804654335, U380684653537 кошельки, который сам по себе в системе webmoney не зарегистрирован, а данный номер скорее всего является номером телефона одного из абонентов Beeline (UA).

Текст сообщения гласит:

ВНИМАНИЕ! Ваш ПК заблокирован за просмотр и тиражирование порнографии с участием несовершеннолетних
 
гомосексуалистов, элементами извращений. Для разблокировки, Вам необходимо оплатить штраф в размере 300 гривен в
 
любом терминале оплаты. Выберите на экране терминала категорию "Электронные деньги"или подобный раздел. Найдите
 
эмблему платежной системы Webmoney. Пополните кошелек Webmoney, для этого - введите номер U кошелька(12 цифр) -
 
380684653537 и пополните его на 300 гривен. По завершению оплаты, на выданном терминалом чеке оплаты, Вам будет
 
выдан персональный код, после ввода которого, Ваш ПК будет автоматически разблокирован. В случае отказа от оплаты,
 
операционная система будет уничтожена, без возможности восстановления.
 
Enter code:

Итак, вирус называется Trojan-Ransom.Boot.Mbro.d (Kaspersky) его несколько разновидностей и у других антивирусов он называется примерно так:
BitDefender — Rootkit.MBR.Locker.* (Boot image)
Kaspersky — Trojan-Ransom.Boot.Mbro.d
DrWeb — Trojan.MBRlock.6
Comodo — TrojWare.Boot.Ransom.Mbro.D
Emsisoft — Trojan-Ransom.Boot.Mbro!IK
F-Secure — Rootkit.MBR.Locker.B /(Boot image/)
GData — Rootkit.MBR.Locker.D
Ikarus — Trojan-Ransom.Boot.Mbro
Sophos — Troj/RnsmMbr-D

Лечить его удается с помощью спасательного диска восстановления от Касперского (загрузить образ Kaspersky Rescue Disk можно с оф. сайта)
!Вирус записывается в загрузочный сектор жесткого диска (в MBR) и обычными fixboot или fixmbr врядли можно будет обойтись, и лучше их не задействовать!

Итак, для того чтобы удалить вирус необходимо скачать выше указанный образ диска восстановления и записать его на CD/DVD/USB носитель. Как записывать образ на CD/DVD думаю всем известно. А вот для записи этого образа на флешку (USB) необходимо так же скачать еще одну утилитку более подробное описание о том как это делать (как записывать образ на СД/ФЛЕШКУ) — читайте здесь

После записи образа на диск заходим в BIOS (когда включаете компьютер нажимаете все время клавишу F2 или Del.

выставляем первичную загрузку с ДИСКА/ФЛЕШКИ

Сохраняем все параметры биоса

компьютер перезагружается.
Нажимаем Enter в начальном меню загрузки KAV

В следующем меню (для вашего удобства) выбираем русский язык и снова Enter

Далее выбор уже стоит на «Kaspersky Rescue Disk. Графический режим» снова жмем Enter

Загружается диск. Ждем.
После того как он загрузился соглашаемся с лицензионным соглашением (клавиша C) и ждем пока он примонтирует разделы, настроит сетевые интерфейсы и в конце концов заходим в меню в нижней панели слева и выбираем Kaspersky Rescue Disk

В Kaspersky Resue Disk можно так же выбрать диски (разделы отметить галочками) которые хотите проверить на наличие вирусов и в итоге жмем на «Выполнить проверку объектов».

Ждем полной проверки системы
При проверке антивирус может выдать сообщение о найденном вирусе и предложить его вылечить или удалить. Жмем вылечить, если кнопка лечить не доступна — жмем удалить!
В конце проверки перезагружаемся. Все должно заработать!

 

UPD 03.02.2012: У кого в графическом режиме не загружается антивирус — попробуйте Текстовый режим !

UPD 19.02.2012:
Если ничего не помогло, попробуйте восстановить загрузочные сектора с помощью fixboot и fixmbr, для этого нужно:
Загрузиться в консоль восстановления Windows, она есть на загрузочных (установочных) дисках с Windows, и там в консоли набрать эти команды. Более подробно — здесь

UPD 14.03.2012:
Кому не помогло все выше — попробуйте LiveCD AntiWinLocker (записываете на CD/DVD диск и пользуетесь)

Возможные пароли для разблокировки загрузочного сектора:
1113332
03290940
98278728
10020000

65 thoughts on “вирус-вымогатель требует перевести 300грн (MBR.Locker)

  1. Вообще даный вирус, снимается перезаписью, (обнулением) MBR сектора, — диск сисадмина sonyaPE пригодится. Если честно поклоняюсь создателям вируса. Это вам не банер висящий в msconfig и реестре. Молодцы, идея супер.

  2. Сидел… ждал пока загрузится диск каспера.
    Ввел 123456… не сработало, ввел 123456789… Loading OS.
    Так что ребята 123456789… с юморком.
    Мой вариант тот что красными буковками про гомосексуалистов.

  3. оооо! спасибо огромное, а то уехала на дачу комп не вырубила, приезжаю, а тут такая фигня, я чуть в обморок не упала….

  4. Создал оба образа на CD дисках, каспевский нашёл Boot.Mbro но не удаляет, говорит неизлечим и оставляет только выбор отмена, после чего заявляет что пользователь саморучно отменил лечение.
    Затем я даже интернет подключил, обновил базу и повторил попытку, результат тот же… В текстовом режиме аналогично пишет неизлечим.

    Второй диск который LiveCD AntiWinLocker, тоже нашёл и якобы полечил, но гнусная надпись с требованиями по прежнему вылазит при запуске… отличие от Вашего скрина они требуют 860 грн.

    Ключи не один не подходит…
    Подскажите что ещё сделать надо?

  5. quadrathell, така сама ситуація. ППЦ це прям знущання якесь, особливо коли перечитуєш «Жмем вылечить, если кнопка лечить не доступна — жмем удалить!» ЗБС каспєр як завжди параша…

  6. UPD 19.02.2012:
    Если ничего не помогло, попробуйте восстановить загрузочные сектора с помощью fixboot и fixmbr, для этого нужно:
    Загрузиться в консоль восстановления Windows, она есть на загрузочных (установочных) дисках с Windows, и там в консоли набрать эти команды. Более подробно — здесь http://tovld.com/archives/1658

  7. У меня было можно сказать такое самое.У меня прога клинер стоит и там есть такая опция автозагрузка(проги которые на автозагрузке стоят).И я зашел в нее и изьял из автозагрузки некую программу «1374628546» или как то так.А при помощи этой же проги(CCleaner) нашел ее местонахождение и удалил.Вот и все :)

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.