Trojan-Ransom.Boot.Mbro.d — как победить?

Добавлю еще, что хозяин утверждал, что вызывали мастера неоднократно, и тот поставил диагноз, мол жесткому диску «хана», из-за износа и плохих секторов — пора менять. Естественно хозяева раскошелились и заменили винчестер, а из этого хотели сделать хоть что-то, типа большой флешки. Я вообще-то не сторонник восстановления бэд-секторов на дисках, всякими там программками. Потому, что если жесткий диск начал «сыпаться», то никакими залечивалками ситуацию не исправить. А хранить данные на заведомо неисправном носителе довольно нервенно.

Как обычно я начал диагностику с проверки SMART– статуса моего безнадежного пациента. Для этого отключил на своем компьютере все жесткие диски, подсоединил «больного», а сам загрузился с диска с утилитами Hiren’s BootCD. К слову, моя материнская плата с трудом определила жесткий диск, и окончательно сделала это только после нескольких перезагрузок. Однако когда же мне все таки удалось заставить видеться жесткий диск в BIOS, и загрузиться с Hiren’s BootCD, я с удивлением обнаружил, что значение параметра Raw Read Error Rate оказалось нулевым, что означало, что диск не имеет ошибок. Мало того, значение параметра Reallocated Sector Count также было на нуле! То есть диск бы в идеальном рабочем состоянии, и ни один сектор с момента выпуска жесткого диска на заводе не был замещен резервным! Для пущей надежности исследования я запустил утилиту MHDD, и протестировал поверхность жесткого диска. Оказалось, что на нем отсутствовали не только сбойные кластеры, а и даже медленные. Хозяина банально развели на новый винт, подумал я, но почему же Windows не устанавливается?

Загрузил компьютер с диска Linux Ubuntu…

Первое, что бросилось в глаза — это то, что на вверенном мне пациенте было аж… 9 логических разделов! Зачем ломастер так распределил 160 Гиговый диск, и какими соображениями при этом руководствовался — остается загадкой. Каждый раздел был заботливо помечен меткой, согласно содержимому в нему хранящемуся. Диск «Система», диск «Фотки», диск «Музыка», диск «Видео» и т.д. Поулыбавшись с этого идиотизма, и кратко ознакомившись с содержимым, я заметил, что в корневой папке каждого логического диска по две папки, принадлежащие Корзине: $RECYCLE.BIN (говорящая, что скорее всего операционная система установлена Windows 7) и Recycler… Вот Recycler то меня и заинтересовал, так как зачастую эта папка является излюбленным местом «проживания» сетевых червей и троянских программ типа Trojan-Ransom. Поскольку задачи сохранять данные у меня не было, кроме 4-х Гигабайт фотографий — я без сожаления «прибил» все разделы, кроме раздела Фотки, а в нем самом удалил папки обеих корзин, и System Volume Information, в которую наверняка червячок успел «нарожать» своих «деток»…

Далее, чтобы перенести драгоценные фотки в укромное место, и разобраться окончательно с жестким диском, я выключил свой компьютер, и подсоединил свой системный жесткий диск, а подопытного прикрутил как второй жесткий диск. Как только я загрузил компьютер, мой Kaspersky Internet Security 2013 начал истошно вопить, мол обнаружена угроза! Ею оказался Trojan-Ransom.Boot.Mbro.d, который молниеносно успел набедокурить и у меня на диске. Причем Касперский хоть и смог обнаружить заразу, но после процедуры «Лечение активных заражений» уводил систему в перезагруз, попутно выдавая какую-то «ошибку образа», а перезагрузив компьютер, начинал процедуру сначала. Понаблюдав за этим 5-6 раз, я решил приструнить беспокойный антивирус, и поступить радикально — полез в интернет, на сайт Касперского…

Там, на одном из форумов поддержки опубликован код разблокировки Trojan-Ransom.Boot.Mbro.d – 8898980, а на сайте virusinfo.info предложили скачать утилитку от того же Касперского – tdsskiller.exe. Вот она мне и помогла не только прибить Trojan-Ransom.Boot.Mbro.d на обоих жестких дисках, но и предложила восстановить Master Boot Record на них же (моем и принесенном), чем я с удовольствием и воспользовался. Естественно после всех мероприятий я выполнил полную проверку компьютера на вирусы, а также сделал «Восстановление после заражения» — инструмент входящий в состав антивирусов Касперского.

После всего этого мой пациент ожил. Его стало не узнать. Я снес на нем последний раздел, а фотки водрузил назад после создания и форматирования нового тома на всю емкость винта, как хотел заказчик. Хозяин еще не приходил, а потому не знает, как «развели» его «умельцы». Ну что же… будет теперь у него еще один жесткий диск. Довольно редко встречаются сейчас вирусы, умеющие записывать себя в основную загрузочную запись жесткого диска, и вирусы эти весьма коварны. Trojan-Ransom.Boot.Mbro.d – один из таких представителей целого семейства. Берегите свои жесткие диски и не доверяйте приходящим умельцам.

Удачи!