Технические детали
Троянец-вымогатель, который блокирует работу OC. Является приложением Windows (PE-EXE файл). Имеет размер 18432 байта. Написана на С++.
Деструктивная активность
После запуска троянец копирует свое тело во временный каталог текущего пользователя под именем:
%Temp%/x2z8.exe
Создает уникальный идентификатор присутствия в системе с именем:
qwerty17_12345
Также создает файл:
%Temp%/fpath.txt
В который записывает путь к оригинальному телу троянца. Далее троянец удаляет свой оригинальный файл, выполняет модификацию главной загрузочной записи (MBR) и выполняет перезагрузку.
На начальных этапах загрузки троянец проверяет текущую дату и если она больше значения:
19:04 22-5-2011
То троянец восстанавливает оригинальную главную загрузочную запись. В противном случает троянец отображает следующее сообщение:
Где номер телефона может быть одним из следующего списка:
896884***53
896884***52
896884***51
896884***99
896884***98
896884***81
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Ввести следующий пароль:
875082
При этом троянец восстановит оригинальную главную загрузочную запись (MBR).
- Для получения кода разблокировки можно воспользоваться бесплатным сервисом Лаборатории Касперского Deblocker Windows.
- Если восстановить работу ОС не удалось, восстановить оригинальную главную загрузочную запись (MBR) при помощи Kaspersky Rescue Disk 10.
- Удалить фалы:
%Temp%/x2z8.exe
%Temp%/fpath.txt
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
| 
