Небольшая заметка о "штампованных" вирусах в MBR, требующих денег, а также методах борьбы с ними... О том, как я столкнулся с Trojan.MbrLock

(Если не интересна сама история, а нужно лишь решение проблемы - сразу переходите к разделу "Решение проблемы")

Буквально вчера звонит знакомый: "Спасай! Комп накрылся, надо починить!". "Привози, будем смотреть" - говорю я. Здраво рассудив, что лучше один раз увидеть, чем 100 раз услышать (тем более от человека, что далек от компьютерного мира), жду больного...

Вкратце рассказ звучал примерно так; "Приехали друзья, сели за комп, решили посмотреть видео из сети... Не знаю (да и не важно, наверное) какое видео они собирались смотреть, но один из сайтов выдал запрос на установку "чего-то" для просмотра видео с данного сайта! Ну и конечно же - согласие было дано! После чего компьютер решил перезагрузится, а на экране появилась надпись о том, что пытались смотреть порнографию с малолетними, геями, ну черт знает с чем еще... Предложение ввести код для разблокировки, ну и конечно в противном случае - угроза потерять всю информацию. А чтобы получить данный код, нужно ни много ни мало, а отправить 670 грн на номер QIWI кошелька 380635723157 (даже потрудились объяснить, что это можно сделать через платежные терминалы)."

Первая мысль - очередной банер-блокер. Включаю - система даже не пробует грузится, а сразу появляется обозначенное сообщение. Вывод - "это" срабатывает еще до загрузки системы. Наиболее вероятная проблема - вирус в MBR. Давненько я такую дичь не встречал... А что там у нас с данными?! Загружаю Alkid Live CD и беглая проверка показывает, что данные в полном порядке (не зашифрованы, не испорчены). Отлично - это самое главное!

Google выдает пару сайтов, на которых под большинство таких запросов (с привязкой к номеру телефона или номеру кошелька) уже есть готовые коды разблокировки. Хм... Вероятно знакомому повезло - он поймал что-то новенькое, чего еще нет в базе. Глянув еще пару сайтов, я на каком-то (увы не помню на каком именно дабы дать ссылку) сайтов наткнулся на информацию о следующем варианте решения: создать резервную копию MBR, затем открыть ее HEX редактором и найти в ней текст "Enter the code:", а затем чуть дальше будет числовая или буквенно-числовая последовательность - код разблокировки.

Решение проблемы

(Метод для опытных пользователей, к сожалению нет возможности и времени все описать пошагово со скриншотами - чтобы мог применить любой)
За основу я взял выше описанный метод, но поступил несколько иначе:

Загружаемся с Alkid Live CD, запускаем любой Disk Editor (там их вроде несколько), хотя я думаю вполне подойдет и старый добрый diskedit, главное - возможность просмотреть MBR запись в HEX редакторе. Находим текст "Enter the code:" или аналогичный (собственно текст запроса кода на экране блокировки), затем ищем ближайшую более-менее осмысленную комбинацию цифр (или букв-цифр), аккуратно записываем (у меня это было 65753334)! Перезагружаемся и вводим данную комбинацию - все! Компьютер разблокирован! Пришлось правда еще поправить политики Internet Explorer-а, относительно аномальной доверчивости к сторонним ActiveX компонентам.

P.S. - судя по всему есть некий генератор вируса, куда достаточно ввести номер телефона/кошелька, сумму денег и текст блокировки, а на выходе получить готовый вирус Trojan.MbrLock. К такому методу может прибегнуть любой, умеющий пользоватся поисковыми системами... Данная проблема решается относительно легко ввиду шаблонности вируса и ограниченного размера MBR записи. Но будьте осторожны - никогда не устанавливайте программ (компонентов), о которых ничего не знаете, никогда не открывайте подозрительных вложений - это уже прописные истины.

А еще когда-то вирус был произведением искусства (хоть и вредоносного)... и трава была зеленее! :)

Дополнение:

Судя по информации от Юлии вирус продолжает развиватся и для полного востановления работы операционной системы могут потребоватся дополнительные действия:

загружаемся с Alkid Live CD и заменяем taskmgr.exe той винды в которой это случилось, в редких случаях в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon изменить значение ключа Shell на explorer.exe, удалив все, что там содержалось. Юлия