Virus – Come rimuovere Trojan.MBRLock

Creato il 19 settembre 2011 da Maclamente @liberamentenet

Dopo aver scongiurato ed eliminato un’infezione legata al pacchetto wordpressqui l’articolo – che Libera-mente.net ha avuto modo di vivere in prima persona, ritorno ad occuparmi di virus, trojan, malware e famiglia che attaccano i pc e che mettono a rischio tutti i file in essi presenti.

In questo articolo presento Trojan.MBRLock, un trojan nato da poco tempo ma che si sta diffondendo a macchia d’olio e che risulta essere pericoloso!

Prima però una breve parentesi, necessaria, su che cosa è l’MBR presente in ogni computer.

L’MBR o master boot record è il settore zero ospitato su un hard disk e contiene una sequenza di comandi utili al caricamento del sistema operativo che viene utilizzato. E’ una parte molto molto importante, senza di questo un computer non funziona. Generalmente risiede nella memoria ROM, una parte non accessibile al normale utilizzatore di pc perchè programmata in precedenza.

Bene, questo Trojan riesce in qualche modo ad infettare il livello più basso del sistema operativo e a modificarlo facendo comparire un messaggio di riscatto, un avvertimento che si è stati infetti e che oltre questo punto non è possibile andare.

Il Trojan.MBRLock simula un messaggio di Microsoft che annuncia la scadenza della licenza del sistema operativo Windows. A volte può comparire all’avvio altre invece, se preso più seriamente come infezione, cambia lo sfondo del desktop e inserisce in tutte le directory infettate un file di testo con questo messaggio:

“Attention!!!!
All your personal files were encrypted with a strong algorithm RSA-1024 and you can’t get an access to them without making of what we need.

Read ‘How to decrypt’ txt-file on your desktop for details.

Just do it as fast as you can!

Remember: don’t try to tell someone about this messagge if you want to get your files back! Just do all we told.”

Come rimuoverlo? Il primo passo è quello di forzare lo spegnimento del computer tramite il tasto di accensione, generalmente è sconsigliabile questa procedura perchè potrebbe portare ad errori successivi ma in questo caso necessaria per fermare la diffusione del trojan all’interno del pc.

Fatto questo, bisogna procurarsi un antivirus live partente da cd e in grado di analizzare il sistema e trovare eventuali file danneggiati. Uno programma consigliato è Kaspersky Rescue Disk che è possibile scaricare dal sito ufficiale del costruttore a questo link: Download di Kaspersky Rescue Disk.
Una volta ottenuto il file .iso, masterizzarlo e impostare come prima unità di avvio quella del cd.

Per impostare quale unità deve partire per prima sul proprio computer bisogna accedere al BIOS. Accendiamo la macchina, premiamo subito Canc, o F8 o un altro tasto che verrà indicato in basso a sinistra (questo cambia da computer a computer) e dopo l’accesso al BIOS trovare la voce Boot Driver Order e cambiare l’ordine mettendo al primo posto DVD-ROM. Salvare e riavviare con il cd inserito.

Kaspersky Rescue Disk comincerà a scansionare il sistema alla ricerca di infezioni e sposterà quelle trovate in quarantena per poi eliminarle del tutto.

Al momento questo è l’unico modo per risolvere la minaccia e far ritornare il pc funzionante! Gli antivirus piano piano si stanno aggiornando, spero lo facciano presto!

I trojan sono infezioni subdole che operano di nascosto ma questa volte si fanno sentire, purtroppo.

Scritto da Mac La Mente


Potrebbero interessarti anche :

Possono interessarti anche questi articoli :