MBR Ransomware Seftad Removal Guide

This trojan.blocker ( MD5: 25bebaff16f81c66cda35221c3863c74 ) prevent hard drive booting
To remove the Trojan (and unlock windows), infected users need to enter a valid serial number.

Hiren's BootCD download:
http://www.hirensbootcd.org/download.html?start=8

Itt kamu, de nem mindenhol az, lásd a videóban az egyik módot (szakértőknek!) vagy a belinkelt blogomat olvasd el! (lentebb)
http://szamitastechnika.network.hu/blog/szamitastechnika_klub_hirei/szaz-dollaros-zsarolo-kamu-trojai-seftad-a


Száz dollárért indítja a gépet az új kártevő

(2010. december 02.)
- Kaspersky Viruslist nyomán -
Szó sincs titkosításról, kamuzik a váltságdíjjal zsaroló trójai.

A Gpcode lemez-titkosító kártevő új AX jelű változatának megjelenése után nem sokkal egy másik, az adatok visszaszolgáltatásáért váltságdíjat követelő fertőzésről is beszámoltak a Kaspersky Lab antivírus cég kutatói.

A Seftad.a nevű új fertőzés a számítógép merevlemezének boot-szektorára hat és a fejlett AES/RSA algoritmusokat alkalmazó Gpcode-dal ellentétben nem önálló kártevő, hanem az "Oficla.cw" trójai egyik kiegészítője. Ráadásul a Seftad-fertőzés során a felhasználókat ijesztgető fenyegetés még kamu is - ez azonban nem akadályozza a trójait abban, hogy tényleg komoly adatvesztést okozhasson a megtámadott rendszerben.

A Seftad-dal fertőződött gép előtt ülők arra figyelhetnek fel, hogy a rendszer újraindul, majd a folyamat a Windows logó megjelenése előtt leáll és a fekete-fehér képernyőn egy szöveges üzenet jelenik meg. A zsaroló hackerek ebben kerek 100 dollárt követelnek az "eltitkosított" lemeztartalom feloldásáért - a rendszer pedig a továbbiakban csak egy titkos jelszó beírása után indítható.

A felhasználó hibás döntése esetén tud ártani a trójai

Denis Maslennikov víruselemző szerint az átverésnek nem szabad bedőlni: a Seftad.a kártevő valójában nem is kódolta el az adatokat, mindössze az eredeti MBR indító-blokkot mozgatta át a merevlemez negyedik szektorába, hogy megakadályozza a gép használatát. Nincs értelme annak, hogy a netezők a hackerek által üzemeltetett webhelyen drága pénzért kvázi visszavásárolják a PC használati jogát, mert a mentesítés egyszerűbben megoldható!

* A fertőzött gép indítását az aaaaaaciip vagy aaaaadabia titkos jelszó beírásával hajthatjuk végre és utána a Windows alóli vírusmentesítés az AVP-Tool eszközzel megkezdhető. Egyes esetekben azonban ez a módszer sikertelen lehet, de még ilyenkor is háromféle lehetőség kínálkozik a Seftad.a trójaitól való megszabadulásra!

* A Kaspersky cég Rescue Disk elnevezésű, gépindításra alkalmas lemezképet egy másik számítógépen le lehet tölteni és CD-R nyersanyagra kiírni, hogy ilyen módon optikai meghajtóról bootolhassuk a fertőzéstől indításra képtelenné vált, mentesítésre szoruló számítógépet

* A fertőzött gép lemezegységét kiszerelve és egy másik gépbe áthelyezve, ott is futtathatjuk az AVP-Tool elnevezésű egyedi vírus-mentesítő eszközt.
(Ez a módszer szakértelmet igényel, mert a merevlemez óvatlan áthelyezése a fertőzés további terjedését okozhatja!)

* A számítógéphez rendszergazdai szinten értő netezők egy harmadik, meglehetősen bonyolult, további programokat igénylő módszerrel is próbálkozhatnak, amelyet ez a Youtube-videó mutat be.


A Kaspersky víruslabor azonban felhívja a figyelmet, hogy más helyreállító módszerrel ne próbálkozzunk, mert pl. a csupasz FixMBR parancs futtatása javítás helyett nagy valószínűséggel véglegesen indításra képtelenné teszi a telepített Windows-t!