Questo tipo di ransom trojan viene rilasciato da altro malware o viene scaricato da Internet.
Esso infetta l'MBR (Master Boot Record) del sistema in esecuzione. Se il trojan viene eseguito, sovrascrive l'MBR sul disco fisso prima che l'MBR originale venga salvato in una seconda sezione.
Visualizza un messaggio che la informa che il sistema è bloccato e che per sbloccarlo nuovamente deve pagare. Durante questa sessione viene interrotta l'intera procedura di avvio.
Comportamento del malware
Il trojan proviene da altro malware oppure viene scaricato mentre si sta visitando un sito web maligno.
- Crea una copia di sé stesso nella seguente cartella:
%Userprofile%\Local Settings\Temp\x2z8.exe - Inoltre, crea un file pulito in questa cartella:
%Userprofile%\Local Settings\Temp\fpath.txt
Nota
Se il trojan viene eseguito, sovrascrive l'MBR originale e forza un riavvio del sistema operativo. Successivamente viene visualizzato il seguente messaggio:
Soluzione
Durante le nostre indagini, abbiamo scoperto che il "codice di sblocco" era codificato in forma fissa all'interno dell'MBR infettato. Il codice è statico e non generato casualmente. Così, se è stato infettato, utilizzi la seguente chiave di sblocco: 21545455
Rileviamo il trojan come TR/Crypt.XPACK.Gen e l'MBR infetto come BOO/Ransom.A