Компания Trend Micro сообщает об обнаружении нового варианта вредоносного кода, который блокируюет загрузку операционной системы Windows путем замены главной загрузочной записи MBR новыми данными, которые при загрузке требуют от пользователя денежный перевод, чтобы возобновить работу компьютера. Новый вредонос-шантажист копирует содержание оригинального в отдельный файл и заменяет MBR-запись своими данными.
Крис Пантанилла, инженер по безопасности Trend Micro, говорит, что сразу после завершения операций над MBR вредоносный код отдает системе команду на принудительную перезагрузку, после чего восстановить работу Windows без стороннего вмешательства уже нельзя.
Интересно отметить, что вредоносный код требует перевести деньги за снятие блокировки в кошелек в платежной системе Qiwi, популярной в России и странах СНГ. Авторы программы-шантажисты обещают, что после перевода денег код будет удален. Естественно, что в реальности мошенники не производят никакого восстановления MBR, так как удаленно это сделать просто невозможно.
В Trend Micro говорят, что для обычного пользователя восстановление оригинальной записи MBR может стать довольно сложной задачей, так как тут необходимо пользоваться установочным диском и специальной последовательностью команд в программной строке.
Также антивирусная компания заявляет, что использование кодом-шантажистом MBR — это новшество, так как прежде подобные программы ограничивались шифрованием каких-либо файлов или системных функций, но не отключали систему полностью.
Источник: cybersecurity.ru
