Добро пожаловать в Клуб Любителей Симантек!
Собрано 4200 рублей без оплаты ключей. Из них через виджет - 4000. Спасибо за понимание!
Страница 1 из 3 123 ПоследняяПоследняя
Показано с 1 по 20 из 47

Тема: Trojan.Bootlock

  1. #1
    Старожил
    Статус: Black_N вне форума
    Регистрация : 04.12.2009
    Адрес : Украина
    Сообщений : 2,668
    Поблагодарил(а) 0
    Поблагодарили : 94 раз(-а), в 78 сообщениях
    Репутация : 104Array

    Потрясно! Trojan.Bootlock

    По данным Symantec Security Response появился троян-вымогатель заражающий главную загрузочную запись (MBR). При запуске компьютера с инфицированным MBR отображает сообщение с требованием оплаты за восстановление оригинальной MBR.
    [attachment=1:3atx37me]2010-120103-1558-99.1.JPG[/attachment:3atx37me]
    После посещения вредоносного веб-сайта и вставки ID, сайт запрашивает информацию об оплате.
    [attachment=0:3atx37me]2010-120103-1558-99.2.jpg[/attachment:3atx37me]
    Указанный троян-вымогатель определяется по данным Symantec Security Response, как Trojan.Bootlock>>>, а зараженная MBR определяется как Boot.Bootlock>>>
    Изображения

  2. #2
    Экс-участник
    Статус: bonzo вне форума
    Регистрация : 18.02.2010
    Адрес : Украина, Одесса
    Сообщений : 375
    Поблагодарил(а) 0
    Поблагодарили : 11 раз(-а), в 11 сообщениях
    Репутация : 11Array

    Re: Trojan.Bootlock

    Цитата Сообщение от Black_N
    ...При запуске компьютера с инфицированным MBR отображает сообщение с требованием оплаты за восстановление оригинальной MBR...
    ...зараженная MBR определяется как Boot.Bootlock>>>
    Это рассчитано на определенную группу пользователей (чайников).
    Консоль восстановления... fix mbr..

  3. #3
    Аватар для Aibolit
    Экс-участник
    Статус: Aibolit вне форума
    Регистрация : 10.10.2010
    Адрес : Россия, Ульяновск
    Сообщений : 83
    Поблагодарил(а) 0
    Поблагодарили : 0 раз(-а), в 0 сообщениях
    Репутация : 10Array

    Re: Trojan.Bootlock

    Цитата Сообщение от bonzo
    Это рассчитано на определенную группу пользователей (чайников).
    Консоль восстановления... fix mbr..
    Если можно по подробнее?

  4. #4
    Экс-участник
    Статус: bonzo вне форума
    Регистрация : 18.02.2010
    Адрес : Украина, Одесса
    Сообщений : 375
    Поблагодарил(а) 0
    Поблагодарили : 11 раз(-а), в 11 сообщениях
    Репутация : 11Array

    Re: Trojan.Bootlock

    http://www.symantec.com/business/securi ... 99&tabid=3
    "NOTE: угроза записывается поверх первых трех секторов MBR и не сохраняет первоначальные данные в секторах 2 и 3,
    делая те сектора неисправиммыми. Однако, во многих случаях те сектора не могут содержать никаких данных, так что
    это не может представлять проблему."
    Далее пошаговая инструкция:
    Restart the computer using Windows Recovery Console
    1. Insert the Windows XP CD-ROM into the CD-ROM drive.
    2. Restart the computer from the CD-ROM drive.
    3. Press R to start the Recovery Console when the "Welcome to Setup" screen appears.
    4. Select the installation that you want to access from the Recovery Console.
    5. Enter the administrator password and press Enter.
    6. Type the following command and press Enter:
    fixmbr
    7. Follow the onscreen instructions to restore the MBR.

    Type exit.
    Press Enter. The computer will now restart automatically.

  5. #5
    Аватар для p2u
    Экс-участник
    Статус: p2u вне форума
    Регистрация : 04.12.2009
    Адрес : Москва
    Сообщений : 1,828
    Поблагодарил(а) 0
    Поблагодарили : 37 раз(-а), в 35 сообщениях
    Репутация : 48Array

    Re: Trojan.Bootlock

    Цитата Сообщение от bonzo
    6. Type the following command and press Enter:
    fixmbr
    7. Follow the onscreen instructions to restore the MBR.
    А-а... Они вообще проверили эту информацию? Кроме того, что можете не попасть в консоль вообще, но без наличия таблиц разделов (по моим данным буткит их не оставляет) fixmbr вряд ли поможет...

    Paul

  6. #6
    Экс-участник
    Статус: bonzo вне форума
    Регистрация : 18.02.2010
    Адрес : Украина, Одесса
    Сообщений : 375
    Поблагодарил(а) 0
    Поблагодарили : 11 раз(-а), в 11 сообщениях
    Репутация : 11Array

    Re: Trojan.Bootlock

    Цитата Сообщение от p2u
    А-а... Они вообще проверили эту информацию? Кроме того, что можете не попасть в консоль вообще, но без наличия таблиц разделов (по моим данным буткит их не оставляет) fixmbr вряд ли поможет...
    Должно быть проверили, т.к. консоль восстановления - это 2-й способ избавиться от этой угрозы. 1-й - это Norton Bootable Recovery Tool.

  7. #7
    Аватар для p2u
    Экс-участник
    Статус: p2u вне форума
    Регистрация : 04.12.2009
    Адрес : Москва
    Сообщений : 1,828
    Поблагодарил(а) 0
    Поблагодарили : 37 раз(-а), в 35 сообщениях
    Репутация : 48Array

    Re: Trojan.Bootlock

    Цитата Сообщение от bonzo
    Цитата Сообщение от p2u
    А-а... Они вообще проверили эту информацию? Кроме того, что можете не попасть в консоль вообще, но без наличия таблиц разделов (по моим данным буткит их не оставляет) fixmbr вряд ли поможет...
    Должно быть проверили, т.к. консоль восстановления - это 2-й способ избавиться от этой угрозы. 1-й - это Norton Bootable Recovery Tool.
    Как я уже говорил, данный буткит не оставляет таблицу разделов. Я не представляю, как на такой системе можно хоть что-нибудь восстановить с предложенными инструментами.

    Paul

  8. #8
    Аватар для adim
    Активный участник
    Старожил
    Статус: adim вне форума
    Регистрация : 04.12.2009
    Сообщений : 4,182
    Поблагодарил(а) 34
    Поблагодарили : 394 раз(-а), в 242 сообщениях
    Репутация : 642Array

    Re: Trojan.Bootlock

    А с диска Vista и Win7 восстановление загрузки - так же невозможно...?
    Когда в село войдут пришельцы я их брошу в тюрьму
    Нам русским за границей иностранцы ни к чему
    (Б.Г)

  9. #9
    Экс-участник
    Статус: bonzo вне форума
    Регистрация : 18.02.2010
    Адрес : Украина, Одесса
    Сообщений : 375
    Поблагодарил(а) 0
    Поблагодарили : 11 раз(-а), в 11 сообщениях
    Репутация : 11Array

    Re: Trojan.Bootlock

    Цитата Сообщение от p2u
    Как я уже говорил, данный буткит не оставляет таблицу разделов.
    Таблица разделов - часть MBR? Или я ошибаюсь?*

  10. #10
    Аватар для p2u
    Экс-участник
    Статус: p2u вне форума
    Регистрация : 04.12.2009
    Адрес : Москва
    Сообщений : 1,828
    Поблагодарил(а) 0
    Поблагодарили : 37 раз(-а), в 35 сообщениях
    Репутация : 48Array

    Re: Trojan.Bootlock

    Цитата Сообщение от bonzo
    Таблица разделов - часть MBR? Или я ошибаюсь?*
    Вот именно. Цель MBR — ещё не загрузка ОС, а всего лишь выбор, «с какого раздела жёсткого диска следует загружать ОС». На стадии MBR происходит выбор раздела диска, а этой информации нет...

    Paul

  11. #11
    Экс-участник
    Статус: bonzo вне форума
    Регистрация : 18.02.2010
    Адрес : Украина, Одесса
    Сообщений : 375
    Поблагодарил(а) 0
    Поблагодарили : 11 раз(-а), в 11 сообщениях
    Репутация : 11Array

    Re: Trojan.Bootlock

    Цитата Сообщение от p2u
    Вот именно. Цель MBR — ещё не загрузка ОС, а всего лишь выбор, «с какого раздела жёсткого диска следует загружать ОС». На стадии MBR происходит выбор раздела диска, а этой информации нет...
    Тогда вернемся к официальной информации
    http://www.symantec.com/business/securi ... 99&tabid=3
    "Note: The threat overwrites the first three sectors on the MBR and does not preserve the original data in sectors 2 and 3, therefore making those sectors are unrecoverable. However, in many cases those sectors may not contain any data so it may not pose a problem."
    Или таблица разделов не лежит в первых трех секторах, или опубликована непроверенная информация.
    P.S. Возникает вполне логичный вопрос. Если повреждается таблица разделов, т.е. полная невозможность загрузки, то каким образом будет достигнута цель вымогателей - посещение вредоносного сайта и оплата?

  12. #12
    Аватар для p2u
    Экс-участник
    Статус: p2u вне форума
    Регистрация : 04.12.2009
    Адрес : Москва
    Сообщений : 1,828
    Поблагодарил(а) 0
    Поблагодарили : 37 раз(-а), в 35 сообщениях
    Репутация : 48Array

    Re: Trojan.Bootlock

    Цитата Сообщение от bonzo
    Тогда вернемся к официальной информации
    http://www.symantec.com/business/securi ... 99&tabid=3
    "Note: The threat overwrites the first three sectors on the MBR and does not preserve the original data in sectors 2 and 3, therefore making those sectors are unrecoverable. However, in many cases those sectors may not contain any data so it may not pose a problem."
    Или таблица разделов не лежит в первых трех секторах, или опубликована непроверенная информация.
    По Касперскому "Оригинальная главная загрузочная запись сохраняется в четвёртом секторе жёсткого диска вместе с маркером зловреда, лежащего по смещению 0x9FE". Они там поподробнее изучали эту проблему и потом выяснили, что fixmbr не помогает.

    Цитата Сообщение от bonzo
    P.S. Возникает вполне логичный вопрос. Если повреждается таблица разделов, т.е. полная невозможность загрузки, то каким образом будет достигнута цель вымогателей - посещение вредоносного сайта и оплата?
    Дело в том, что зловред не шифрует ни даннные, ни диск(и), а делает своё в самом MBR. Полагаю, что их код (после оплаты) вернёт всё на свои места, хотя если посмотреть в голову больных с точностью всё равно не скажешь, что будет.

    Paul

  13. #13
    Экс-участник
    Статус: bonzo вне форума
    Регистрация : 18.02.2010
    Адрес : Украина, Одесса
    Сообщений : 375
    Поблагодарил(а) 0
    Поблагодарили : 11 раз(-а), в 11 сообщениях
    Репутация : 11Array

    Re: Trojan.Bootlock

    Цитата Сообщение от p2u
    По Касперскому "Оригинальная главная загрузочная запись сохраняется в четвёртом секторе жёсткого диска...
    Речь идет о MBR, сохраняющейся в четвертом секторе жесткого диска?
    По Симантек речь идет о первых трех секторах MBR, а не жесткого диска.
    Или я неправильно понимаю?

  14. #14
    Аватар для p2u
    Экс-участник
    Статус: p2u вне форума
    Регистрация : 04.12.2009
    Адрес : Москва
    Сообщений : 1,828
    Поблагодарил(а) 0
    Поблагодарили : 37 раз(-а), в 35 сообщениях
    Репутация : 48Array

    Re: Trojan.Bootlock

    Цитата Сообщение от bonzo
    Цитата Сообщение от p2u
    По Касперскому "Оригинальная главная загрузочная запись сохраняется в четвёртом секторе жёсткого диска...
    Речь идет о MBR, сохраняющейся в четвертом секторе жесткого диска?
    По Symantec речь идет о первых трех секторах MBR, а не жесткого диска.
    Или я неправильно понимаю?
    Вот Вам статья: http://www.securelist.com/ru/blog/20776 ... eper_v_MBR
    Я дал цитату из этой статьи, хотя теперь тоже вижу, что есть неточности в фразировке и расхождения в информации, которую дают Гиганты...

    Paul

  15. #15
    Экс-участник
    Статус: bonzo вне форума
    Регистрация : 18.02.2010
    Адрес : Украина, Одесса
    Сообщений : 375
    Поблагодарил(а) 0
    Поблагодарили : 11 раз(-а), в 11 сообщениях
    Репутация : 11Array

    Re: Trojan.Bootlock

    Цитата Сообщение от p2u
    http://www.securelist.com/ru/blog/20776 ... eper_v_MBR
    "...Жертве неизвестен пароль для разблокировки, поэтому если пользователь три раза введет пароль неправильно, зараженная машина перезагрузится и на экране опять появится это сообщение..."
    Если зараженная машина сохраняет возможность перезагрузиться, то таблица разделов на месте? Это же вымогатели. Им деньги нужны, а не просто вывести компьютер из строя.

  16. #16
    Аватар для Энди-701
    Совладелец Клуба
    Совет Клуба
    Norton Forever!
    Партнёр Symantec
    Администратор
    Статус: Энди-701 вне форума
    Регистрация : 01.05.2010
    Адрес : Россия, Центр
    Сообщений : 11,553
    Поблагодарил(а) 12,641
    Поблагодарили : 24,134 раз(-а), в 8,088 сообщениях
    Записей в дневнике : 8
    Репутация : 24236Array

    Re: Trojan.Bootlock

    p2u
    А если взять другий такой же хард, забутить его отдельно на той же машине.
    Скопировать в гекс-редакторе код его MBR и вставить его на место запатченного - от сих до сих.

    Ещё, если кто помнит, у Dr.Web есть Shark, который позволяет отметить модиф. MBR, сохранить и заменить на оригинальную.


    Norton by Symantec — лучшая комплексная защита Windows и персональных данных!

  17. #17
    Аватар для p2u
    Экс-участник
    Статус: p2u вне форума
    Регистрация : 04.12.2009
    Адрес : Москва
    Сообщений : 1,828
    Поблагодарил(а) 0
    Поблагодарили : 37 раз(-а), в 35 сообщениях
    Репутация : 48Array

    Re: Trojan.Bootlock

    Цитата Сообщение от Энди-другой-знакомый
    p2u
    А если
    Я реагировал только на сказанное про fixmbr в качестве лёгкого решения.
    Off-top: А Вы потом ещё доверяли бы такой системе? Я нет, даже если 100 антивирусов говорят, что она "здорова".

    Paul

  18. #18
    Аватар для Энди-701
    Совладелец Клуба
    Совет Клуба
    Norton Forever!
    Партнёр Symantec
    Администратор
    Статус: Энди-701 вне форума
    Регистрация : 01.05.2010
    Адрес : Россия, Центр
    Сообщений : 11,553
    Поблагодарил(а) 12,641
    Поблагодарили : 24,134 раз(-а), в 8,088 сообщениях
    Записей в дневнике : 8
    Репутация : 24236Array

    Re: Trojan.Bootlock

    fixmbr в качестве лёгкого решения
    Согласен. Создатели MBR-патчера вряд ли бы так слабо подготовились. Я регулярно вижу "новинки вымогательства" и видел более простой вариант в начале лета 2009 года у активного пользователя варезных сайтов. Но тогда в MBR вписывалась веб-ссылка, которая сразу открывала "нужный" сайт и запускала на выполнение троян-загрузчик. При открытии харда в гекс-редакторе www-ка была хорошо видна.

    даже если 100 антивирусов говорят, что она "здорова".
    Антивирусы? Я уже и забыл про этот анахронизм.


    Norton by Symantec — лучшая комплексная защита Windows и персональных данных!

  19. #19
    Экс-участник
    Статус: bonzo вне форума
    Регистрация : 18.02.2010
    Адрес : Украина, Одесса
    Сообщений : 375
    Поблагодарил(а) 0
    Поблагодарили : 11 раз(-а), в 11 сообщениях
    Репутация : 11Array

    Re: Trojan.Bootlock

    Цитата Сообщение от Энди-другой-знакомый
    Согласен. Создатели MBR-патчера вряд ли бы так слабо подготовились...
    :Bravo:
    А два ведущих производителя антивирусных решений (Симантек и ЛК) официально вешают пользователям лапшу на уши относительно этой конкретной угрозы, предлагая в качестве решения восстановление оригинального MBR!
    P.S. Есть еще более простые и быстрые варианты восстановления оригинального mbr, чем fixmbr.

  20. #20
    Аватар для Aibolit
    Экс-участник
    Статус: Aibolit вне форума
    Регистрация : 10.10.2010
    Адрес : Россия, Ульяновск
    Сообщений : 83
    Поблагодарил(а) 0
    Поблагодарили : 0 раз(-а), в 0 сообщениях
    Репутация : 10Array

    Re: Trojan.Bootlock

    Цитата Сообщение от bonzo
    P.S. Есть еще более простые и быстрые варианты восстановления оригинального mbr, чем fixmbr
    А вы не могли бы их описать? Если можно по подробнее!!!

 

 
Страница 1 из 3 123 ПоследняяПоследняя

Информация о теме

Пользователи, просматривающие эту тему

Эту тему просматривают: 1 (пользователей: 0 , гостей: 1)

Похожие темы

  1. Trojan.Tapaoux
    от Rustock.C в разделе Описания обнаруженных угроз
    Ответов: 0
    Последнее сообщение: 16.11.2011, 16:41
  2. Trojan.MBRlock.6
    от PavelA в разделе Вирусы и другие вредоносы
    Ответов: 2
    Последнее сообщение: 27.05.2011, 19:21
  3. Trojan Horse
    от Black_N в разделе Вирусы и другие вредоносы
    Ответов: 0
    Последнее сообщение: 08.04.2011, 14:53
  4. Trojan.Gpcoder.G, Trojan-Ransom.Win32.Gpcode.ax
    от SDA в разделе Вирусы и другие вредоносы
    Ответов: 11
    Последнее сообщение: 08.12.2010, 00:00

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •