Способи боротьби з програмами-вимагачами MBR (TR / Crypt.XPACK.Gen)
Цей тип трояна-здирника поширюється через шкідливі програми та Інтернет.
Він заражає MBR (Master Boot Record) операційної системи. При запуску троян перезаписує MBR на жорсткому диску до збереження оригінальної MBR в другому розділі.
Він відображає повідомлення про те, що система заблокована і користувач повинен передати вимагача певну суму, щоб зняти блокування. Під час цього сеансу вірус перериває процедуру завантаження.
Поведінка шкідливого ПО
Троян поширюється через шкідливі програми і завантаження з небезпечних сайтів.
Він створює власну копію в папці
% Userprofile% \ Local Settings \ Temp \ x2z8.exe
і залишає чистий файл в каталозі
% Userprofile% \ Local Settings \ Temp \ fpath.txt
Примітка.
При запуску троян перезаписує оригінальну MBR і виконує примусову перезавантаження операційної системи. Після цього з'являється наступне повідомлення:
Ми з'ясували, що "Код для зняття блокування" вбудований в заражену MBR. Він є статичною і не генерується випадковим чином. Тому, якщо ви заразилися, скористайтеся для зняття блокування наступним ключем: 21545455
В даний час цей троян визначається як TR / Crypt.XPACK.Gen. а заражена MBR - як BOO / Ransom.A