Новый вредоносный код меняет MBR-запись на жестком диске

13.04.2012 | 11:24
Антивирусная компания Trend Micro сообщила об обнаружении нового варианта вредоносного кода, блокирующего загрузку операционной системы Windows путем замены главной загрузочной записи MBR новыми данными, которые при загрузке требуют от пользователя денежный перевод, чтобы возобновить работу компьютера. Новый вредонос-шантажист копирует содержание оригинального MBR в отдельный файл и заменяет MBR-запись своими данными.

Крис Пантанилла, инженер по безопасности Trend Micro, говорит, что сразу после завершения операций над MBR вредоносный код отдает системе команду на принудительную перезагрузку, после чего восстановить работу Windows без стороннего вмешательства уже нельзя.

Интересно отметить, что вредоносный код требует перевести деньги за снятие блокировки в кошелек в платежной системе Qiwi, популярной в России и странах СНГ. Авторы программы-шантажиста обещают, что после перевода денег код будет удален. Естественно, что в реальности мошенники не производят никакого восстановления MBR, так как удаленно это сделать просто невозможно.

В Trend Micro говорят, что для обычного пользователя восстановление оригинальной записи MBR может стать довольно сложной задачей, так как тут необходимо пользоваться установочным диском и специальной последовательностью команд в программной строке.

Также антивирусная компания заявляет, что использование кодом-шантажистом MBR - это новшество, так как прежде подобные программы ограничивались шифрованием каких-либо файлов или системных функций, но не отключали систему полностью.
вредоносный код, MBR-запись
По материалам CyberSecurity.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (2)
  1. Добавлено Сер 15.04.2012 | 16:00Обленились антивирусники во времена ДОС они запрещали изменение MBR
  2. Добавлено Олег 17.04.2012 | 23:43Ой новшество прям какое ... есть такой Zillya Live-CD , так вот там по стандарту идет утилита MBR recovery - уже год как.
Оставьте комментарий:CaptchaОбновить проверочный код