Komputer zablokowany, dysk zaszyfrowany. Wyślij SMS o treści..

Przytrafił mi się ten sam problem. Na szczęście na maszynie wirtualnej i to mało ważnej. Ale dzięki temu mogłem pobawić się bez ryzyka w naprawienie tego. Mam Windows 7 Pro x64.

Wirus nie szyfruje dysku. Jedyne co zrobił to nadpisał MBR - zarówno program ładujący jak i tablicę partycji.

Co zrobiłem ja:
1. Odpaliłem program TestDisk z płytki UBCD http://www.ultimatebootcd.com/ i postępowałem zgodnie z instrukcją http://www.cgsecurity.org/wiki/TestDisk_Step_By_Step. Dzięki temu odzyskałem tablicę partycji



2. Odpaliłem płytkę startową z Windowsem i wybrałem opcję napraw. Wyskoczyło okienko, że wykryto problem z sektorem rozruchowym i czy naprawić i zrestartować. Tak.

3. Odpaliłem jeszcze raz płytkę z Windowsem i naprawiłem MBR zgodnie z intrukcją: http://siedem.it/adam/jak-naprawic-master-boot-record-mbr-w-windows-7

4. System powinien już być zdatny do uruchomienia, ale nie polecam tego robić, bo to paskudztwo dalej siedzi i z chęcią nam zrobi to jeszcze raz Zamiast tego ściągnałem płytę startową z antywirusem AVG: http://www.avg.com/pl-pl/download.prd-arl i zrobiłem skan systemu. Wykryło trojana w pliku c:\windows\update.exe. Usunąłem plik.

5. Teraz można już uruchomić Windowsa. Niemniej ponieważ system został skompromitowany mocno polecam format i reinstalację.

Piszą może gdzieś, w jaki sposób wirus ten infekuje system?
WWW, mejl?

PRL sciagasz i klikasz na cos pod windows, infekcja uruchamia sie przy starcie systemu, infekuje mbr i gotowe.

Pliki wchodzace w sklad infekcji:
C:\Windows\System32\Tasks\update
C:\Windows\update.exe
C:\Windows\point.dll
C:\Windows\conf.dll

Quote:

klikasz na cos pod windows

Coś... Ale co? Przecież nie cokolwiek.

No ja się zdziwiłem, bo na tej wirtualce robiłem rzeczy mocno specjalistyczne, a "klikania w cosie" było bardzo mało...

Dodano po 2 [godziny] 5 [minuty]:

Zrobiłem analizę kodu maszynowego naszego przyjaciela z MBR i znalazłem prawidłowe hasło, które trzeba wpisać. Jest to xxxxxxxx27, gdzie x to dowolny znak. Ma być 10 znaków, a sprawdzane są tylko ostatnie dwie cyfry. Po wpisaniu hasła stara zawartość MBR jest przywracana i system się uruchamia. Pozdrawiam

Witam wszystkich. I dziękuje za poświęcony czas:]

Jestem twórcą w/w aplikacji.


Wielki Szacunek dla m4jkel'a któremu chciało się przeanalizować kod mojego programu.

Całość została napisana w języku Assembler (który uwielbiam) przy użyciu kompilatora Fasm. Poniżej opiszę w

jaki sposób nastąpiła infekcja komputerów. Na życzenie jestem w stanie udostępnić źródło programu będące moją

własnością.


Infekcja nastąpiła podczas instalacji
- NIE-oryginalnych programów,
- NIE-oryginalnych gier lub
- NIE-oryginalnych systemów operacyjnych

więc użytkownik gdyby KUPIŁ oryginalny software to nigdy by nie miał problemów.

Mój program z opóźnieniem czasowym podmienia boot sektor windowsa i zapisuje oryginalnego MBR w inne miejsce

na dysku.

W momencie wpisania odpowiedniego kodu oryginalny bootsector powraca.

UWAGA dla użytkowników którzy zainfekowali się najnowszą wersją: INFEKCJA NASTĄPI 01 STYCZNIA 2014r.

więc prosze pamiętać żeby nie wysyłać sms-ów i wprowadzić kod z końcówką '27' lub 'XP' np
KarolGje27,
KarolGjeXP
KarolG27,
KarolGXP

(te kody są uniwersalne do każdej wersji mojego programu)

kontakt do mnie: carlosdelag(malpa)wp.pl
(proszę nie pisać gróźb ani obraźliwych słów bo i tak to oleję)

Wielka prośba: NIE WYSYŁAJCIE SMS-ów, bo otrzymany kod nie odblokuję wam komputera (jest to wada usługi

Premium SMS która nie chciała mi wygenerować kodów zakończonych tymi oto znakami).
Komputer odblokuję się tylko gdy dwa ostatnie znaki to "27" (dla wersji WP A4792) lub "XP" (w wersji

AP.HRM2).

Pozdrawiam i proszę o zamknięcie tematu.

Karol

Moderated By DriverMSG:

Tematu nie zamykamy. Z chęcią poczytam to, co "zarażeni" mają Ci do powiedzenia.

A to pod paragraf czasami się nie kwalifikuje?

PRL wrote:

A to pod paragraf czasami się nie kwalifikuje?

WSTĘP
Przestępstwa komputerowe .....

2 Jednymi z najgroźniejszych przestępstw są;
a)Rozpowszechnianie i wysyłanie wirusów ( samo tworzenie nie jest wzięte pod uwagę w postępowaniu karnym, ponieważ można również tworzyć tak zwane withe wirus, tzw. wirus pomocniczy np. do czyszczenia folderu "temp" )

więc chyba tak