Another MBR Ransomware, i got this one from EP_X0FF (thanks man)
Dropper in VB, a copy in /%TEMP%/ with the name 'x2z8.exe' is done.
Very familiar huh?
Code to unlock windows: 4011894
Ваш компьютер заблокирован за просмотр, копирование и тиражирование видео с
элементами педофилии, деского порно, гей-порно. Для снятия блокировки Вам
необходимо оплатить штраф в размере 500 рублей. Для этого, в любом терминале
оплаты, пополните счет абонента БИЛАЙН 89636197151 на указанную выше сумму.
В случае оплаты суммы равной штрафу, либо превышающей ее, на фискальном чеке
терминала Вы найдете код разблокировки. Его нужно ввести в поле в нижней части
окна. После снятия блокировки Вы должны удалить все материалы, содержащие
элементы насилия и педофилии. В случае отказа от оплаты, все данные на вашем
персональном компьютере будут безвозвратно уничтожены.
элементами педофилии, деского порно, гей-порно. Для снятия блокировки Вам
необходимо оплатить штраф в размере 500 рублей. Для этого, в любом терминале
оплаты, пополните счет абонента БИЛАЙН 89636197151 на указанную выше сумму.
В случае оплаты суммы равной штрафу, либо превышающей ее, на фискальном чеке
терминала Вы найдете код разблокировки. Его нужно ввести в поле в нижней части
окна. После снятия блокировки Вы должны удалить все материалы, содержащие
элементы насилия и педофилии. В случае отказа от оплаты, все данные на вашем
персональном компьютере будут безвозвратно уничтожены.
Infected MBR:
MD5: 05e01b6e95c5aff32f484298fd0b6429
во такаяже хрень выскачела етот код неподходит!
ReplyDeleteСтавишь установочный диск винды и загрузку с сдрома, устанавливаешь винду на тот же диск где была (к примеру с:), она станет в виде папки windows0 и исправит МБР сектор (вторичный загрузчик). Перезагружаешь комп на старую винду (выскочит меню с какой винды грузиться). Сносишь папку с windows0, в корне загрузочного диска в файле boot.ini текстовым редактором убираешь строку загрузки разных винд, запускаешь поиск файлов на поиск х2z8.exe - он ложится в темповую папку винды и удаляешь этот файл. В принципе достаточно. Лучше еще пройтись по реестру и убрать ветви автозапуска этой срани, но если в танке то прогнать реестр какой нибудь прогой оптимизации и проверки реестра, она сама поудаляет ссылки реестра на несуществующие файлы. Я использовал RegOrganaizer
ReplyDelete