- Kaspersky Viruslist nyomán -
Szó sincs titkosításról, kamuzik a váltságdíjjal zsaroló trójai.

2010. december 02.

A Gpcode lemez-titkosító kártevő új AX jelű változatának megjelenése

után nem sokkal egy másik, az adatok visszaszolgáltatásáért váltságdíjat követelő fertőzésről is beszámoltak a Kaspersky Lab antivírus cég kutatói.

A Seftad.a nevű új fertőzés a számítógép merevlemezének boot-szektorára hat és a fejlett AES/RSA algoritmusokat alkalmazó Gpcode-dal ellentétben nem önálló kártevő, hanem az "Oficla.cw" trójai egyik kiegészítője. Ráadásul a Seftad-fertőzés során a felhasználókat ijesztgető fenyegetés még kamu is - ez azonban nem akadályozza a trójait abban, hogy tényleg komoly adatvesztést okozhasson a megtámadott rendszerben.

A Seftad-dal fertőződött gép előtt ülők arra figyelhetnek fel, hogy a rendszer újraindul, majd a folyamat a Windows logó megjelenése előtt leáll és a fekete-fehér képernyőn egy szöveges üzenet jelenik meg. A zsaroló hackerek ebben kerek 100 dollárt követelnek az "eltitkosított" lemeztartalom feloldásáért - a rendszer pedig a továbbiakban csak egy titkos jelszó beírása után indítható.

A felhasználó hibás döntése esetén tud ártani a trójai
Denis Maslennikov víruselemző szerint az átverésnek nem szabad bedőlni: a Seftad.a kártevő valójában nem is kódolta el az adatokat, mindössze az eredeti MBR indító-blokkot mozgatta át a merevlemez negyedik szektorába, hogy megakadályozza a gép használatát. Nincs értelme annak, hogy a netezők a hackerek által üzemeltetett webhelyen drága pénzért kvázi visszavásárolják a PC használati jogát, mert a mentesítés egyszerűbben megoldható!

- A fertőzött gép indítását az aaaaaaciip vagy aaaaadabia titkos jelszó beírásával hajthatjuk végre és utána a Windows alóli vírusmentesítés az AVP-Tool eszközzel megkezdhető. Egyes esetekben azonban ez a módszer sikertelen lehet, de még ilyenkor is háromféle lehetőség kínálkozik a Seftad.a trójaitól való megszabadulásra!

- A Kaspersky cég Rescue Disk elnevezésű, gépindításra alkalmas lemezképet egy másik számítógépen le lehet tölteni és CD-R nyersanyagra kiírni, hogy ilyen módon optikai meghajtóról bootolhassuk a fertőzéstől indításra képtelenné vált, mentesítésre szoruló számítógépet.

- A fertőzött gép lemezegységét kiszerelve és egy másik gépbe áthelyezve, ott is futtathatjuk az AVP-Tool elnevezésű egyedi vírus-mentesítő eszközt. (Ez a módszer szakértelmet igényel, mert a merevlemez óvatlan áthelyezése a fertőzés további terjedését okozhatja!)

- A számítógéphez rendszergazdai szinten értő netezők egy harmadik, meglehetősen bonyolult, további programokat igénylő módszerrel is próbálkozhatnak, amelyet ez a Youtube-videó mutat be.

This trojan.blocker ( MD5: 25bebaff16f81c66cda35221c3863c74 ) prevent hard drive booting
To remove the Trojan (and unlock windows), infected users need to enter a valid serial number.

Hiren's BootCD download:

http://www.hirensbootcd.org/download.html?start=8

A Kaspersky víruslabor azonban felhívja a figyelmet, hogy más helyreállító módszerrel ne próbálkozzunk, mert pl. a csupasz FixMBR parancs futtatása javítás helyett nagy valószínűséggel véglegesen indításra képtelenné teszi a telepített Windows-t!

Letöltés

Kaspersky Rescue Disk 10 (".iso" - lemezkép)

Kaspersky Rescue Disk to USB Media (".exe")

AVP Tool (Kaspersky Virus Removal Tool".exe")

Utóbbi letöltése közben az oldalon zenét is hallgathatunk ... ügyes ötlet!

BriefLove a biztonsági cég kedvence.

(forrás: virushirado.hu)