Ce type de cheval de Troie rançongiciel est disséminé par d’autres logiciels malveillants ou téléchargé sur internet.
Il infecte le MBR (Master Boot Record) du système d’exploitation. Une fois exécuté, le cheval de Troie écrase le MBR du disque dur et enregistre le MBR d’origine dans une autre section.
Il affiche alors un message vous informant que le système est verrouillé et que vous devez payer pour le déverrouiller. L’intégralité de la procédure de démarrage de la session est interrompue.
Comportement du logiciel malveillant
Le cheval de Troie est propagé par le biais d’un autre logiciel malveillant ou téléchargé suite à la visite d’un site internet malveillant.
- Il génère une copie de lui-même dans le dossier suivant :
%Profilutilisateur%\Local Settings\Temp\x2z8.exe - Il génère par ailleurs un fichier propre dans le dossier suivant :
%Profilutilisateur%\Local Settings\Temp\fpath.txt
Remarque
Si le cheval de Troie est exécuté, il écrase le MBR d’origine et effectue un redémarrage forcé du système d’exploitation. Le message suivant s’affiche alors :
Solution
Notre analyse a permis de déterminer que le « Code de déverrouillage » était codé en dur dans le MBR infecté. Ce code est donc statique et non pas généré aléatoirement. Par conséquent, si vous êtes infecté, utilisez la clé de déverrouillage suivante : 21545455
Ce cheval de Troie est détecté en tant que TR/Crypt.XPACK.Gen et le MBR infecté comme BOO/Ransom.A