Новый вредоносный код изменяет MBR-запись на жестком диске

Антивирусная компания Trend Micro сообщила об обнаружении нового варианта вредоносного кода, блокирующего загрузку операционной системы Windows путем замены главной загрузочной записи MBR новыми данными, которые при загрузке требуют от пользователя денежный перевод, чтобы возобновить работу компьютера. Новый вредонос-шантажист копирует содержание оригинального MBR в отдельный файл и заменяет MBR-запись своими данными.

Сразу после завершения операций над MBR вредоносный код отдает системе команду на принудительную перезагрузку, после чего восстановить работу Windows без стороннего вмешательства уже нельзя.

Интересно отметить, что троян требует перевести деньги за снятие блокировки в кошелек в платежной системе Qiwi. После перевода денег код должен быть удален. Естественно, что в реальности не происходит никакого восстановления MBR, так как удаленно это сделать просто невозможно.

Также антивирусная компания заявляет, что использование кодом-шантажистом MBR — это новшество, так как прежде подобные программы ограничивались шифрованием каких-либо файлов или системных функций, но не отключали систему полностью.