Diese Art von Ransom-Trojaner wird von anderer Malware angestoßen oder aus dem Internet heruntergeladen. Der Trojaner infiziert den MBR (Master Boot Record) des Betriebssystems. Wird der Trojaner ausgeführt, überschreibt er den Original-MBR auf der Festplatte, bevor der original MBR in einem zweiten Abschnitt gespeichert wird.
Er zeigt eine bestimmte Nachricht an und informiert den Anwender, dass das System gesperrt ist und er Geld dafür bezahlen muss, um das System wieder zu entsperren. Während dieser Zeit ist die gesamte Boot-Prozedur unterbrochen.
Verhalten der Malware
Der Trojaner kommt über andere vorhandene Malware oder über einen Download durch eine infizierte Website.
- Er macht eine Kopie von sich selbst in folgendem Ordner:
%Userprofil%\Lokale Einstellungen\Temp\x2z8.exe - Er hinterlässt außerdem eine leere Datei in diesem Ordner:
%Userprofil%\Lokale Einstellungen\Temp\fpath.txt
Hinweis
Wurde der Trojaner ausgeführt, überschreibt er den Original-MBR und erzwingt einen Neustart des Betriebssystems. Danach erscheint folgende Nachricht:
Lösung
Während unserer Nachforschungen fanden wir heraus, dass der “Entsperrcode” im infizierten MBR hard-codiert wurde. Der Code ist statisch und nicht zufallsgeneriert. Im Falle einer Infektion geben Sie bitte folgenden Code zum Entsperren ein: 21545455
Derzeit erkennen wir den Trojaner als TR/Crypt.XPACK.Gen und den infizierten MBR als BOO/Ransom.A