Спосіб заробити на необережних користувачів Інтернету набуває несподівані відтінки. Стали "популярні" програми, віруси - здирники, при спрацьовуванні вимагають той чи інший спосіб перерахувати гроші зловмиснику. Вагомий аргумент змушує сплатити це: різні блокування панелей завдань і редактора реєстру або повне блокування системи, постійно миготять вікном, систематичними перезавантаженнями системи, Але є серед вірусів - здирників найстрашніші, що працюють ще до початку запуску системи. Для антивіруса ця програма стає недоступна, з тієї причини, що система ще й не почала завантажуватися і вже не завантажиться. Це нові варіанти древніх boot вірусів. Вони модифікують головний завантажувальний запис MBR (Master Boot Record) жорсткого диска.
Таких вірусів з'явилося кілька з десятками модифікаціями. Розглянемо на прикладі найяскравішого представника сучасних boot вірусів - Trojan.MBRlock або як його обізвав касперский - Trojan-Ransom.Boot.Mbro.d
Запускає механізм вірусу як зазвичай сам користувач, клацаючи по прикріпленому файлу, отриманого електронною поштою. Після перезавантаження, зазвичай ініціюється самим вірусом, звичної завантаження системи ми вже не побачимо, а замість цього спостерігаємо віконце з лякаючою написом "Увага! Ваш ПК заблокований за перегляд та тиражування порнографії за участю неповнолітніх гомосексуалістів ... і т.д .:
До речі, жадібність цих писак все більше і більше, в перших версіях вірусу запитувані суми були в сотню разів менше і на цьому лохотроне розводять десятки, а то і сотні необережних користувачів мережі.
Буває результат трохи іншим. Система запуститься і користувач може і не здогадується, що його машина несе в собі троянську програму Trojan.Rmnet, яка також модифікують MBR, але спеціалізуються на крадіжці паролів до FTP, може навчатися красти і інші. Лікування теж - відновлювати MBR
Відновити MBR можна різними способами: банальне затирання перших 100 секторів диска древньої DOS-івської програмою Clearhdd, перезапис командою fdisk / mbr тому ж DOS -e або командою CLRMBR в програмі MHDD з повною втратою даних. Якщо дані на диску нам втрачати не хочеться, а зазвичай це так, то операція виправлення MBR повинна бути більш акуратна, наприклад застосувати спеціальну функцію програми Paragon Partition Manager або подібного монстра для роботи з жорсткими дисками.
Для початку скористаємося легкої програмою Bootice і для її запуску потрібен завантажувальний диск LiveCD з системою на основі Windows, я для цих цілей краще ERD commander.
Зазвичай програма сама визначає активний диск з системою, а іноді потрібно в цьому їй допомогти. Після вибору диска тиснемо кнопочку Process MBR.
на цьому етапі система вибирає файлову систему диска, хоча і це не завжди це їй вдається, значить допомагаємо. Для Windows XP, Windows 2000 виберемо Windows NT 5.х MBR, для систем Windows 2003, Windows 2008, Windows Vista, Windows Seven - Windows NT 6.x MBR.
Backup MBR - зберігаємо існуючу таблицю в файл, хоча збереження можна і не робити, для чого нам такий запис, а ось для виправлення головного завантажувального запису диска тиснемо кнопку Install / Config, далі за програмою всюди погоджуємося натиснути ОК.
Перезавантажуємо машину, нацьковувати свій антивірус на всі розділи всіх визначених системою дисків і виловлюємо файл - носія вірусу, він їх може ховати в різних бінарниках, бібліотеках, тимчасових файлах, на різних розділах диска, хоча можливо інше ...
Качаємо програмку Bootice.
ПС
Даний спосіб лікування хороший, тому, що простий. Саме тіло вірусу ховається в видозміненому завантажувач в першому секторі за адресою з 0х000 по 0х1B7 і заміною MBR (зазвичай першого сектора диска) програмою Bootice всі сліди вірусу очищаються. Його частини розкидані в початкових секторах. Але при видалення його частини з MBR працездатність його порушується. У наведеному тут прикладі напис про блокування була знайдена за адресою 0х0800 - 0х0AE7. Для знищення цих слідів потрібні кошти з повним очищенням початкових секторів диска, що може призвести до втрати даних або ручне редагування заголовка диска. Останній спосіб в наш час, як би з області фантастики .....
