DexCrypt MBRLocker exige 30 yuanes para tener acceso a la computadora
Se ha descubierto un nuevo MBRLocker chino llamado DexLocker que solicita 30 Yuan para acceder a una computadora. Descubierto por primera vez por el investigador de seguridad JAMESWT, este ransomware modificará el registro maestro de arranque de la computadora de la víctima para que muestre una nota de rescate antes de que comience Windows.
Lamentablemente, no pude ejecutar esta muestra, por lo que no tengo un análisis de primera mano de este ransomware. El video AnyRun publicado por JAMESWT, sin embargo, muestra que una vez que instala el ransomware, inmediatamente reinicia la computadora y la víctima recibe un cráneo ascii y un mensaje para enviar 30 yaun a la dirección qq 2055965068 con el fin de obtener acceso a su computadora de nuevo.
DexCrypt Lock Screen
El equipo de seguridad de Windows Defender de Microsoft vio el tweet de Jame y tuiteó que etiquetaron el MBRLocker como Ransom: DOS / Dexcrypt.A y que Windows Defender lo puede detectar.
ICYMI: New #ransomware writes code to the Master Boot Record (MBR) and immediately restarts computer to show a note that asks for 30 yuan as ransom. Windows Defender AV detects and blocks this ransomware as Ransom:Win32/Dexcrypt and its MBR-writing code as Ransom:DOS/Dexcrypt.A. https://t.co/wpD0wJeSIu
— Windows Defender Security Intelligence (@WDSecurity) 9 de febrero de 2018
Solución contra DexCrypt MBRLocker
Según kangxiaopao, puede ingresar la contraseña "ssssss" para obtener acceso. Si esta contraseña no funciona y solo reemplaza el MBR, puede solucionarse iniciando en la Consola de recuperación de Windows y restaurando el Registro maestro de arranque utilizando los siguientes comandos:
bootrec /RebuildBcd
bootrec /fixMbr
bootrec /fixboot
Una vez que ingrese estos comandos, puede reiniciar y obtener acceso nuevamente a Windows.
Hashes:
dfc56a704b5e031f3b0d2d0ea1d06f9157758ad950483b44ac4b77d33293cb38
Ransom Note:
.-' '-.
/ \
| |
|, .-. .-. ,|
| )(/ _)( |
|/ /\ |
( ^^ )
_|IIIIII|/
| \IIIIII/ |
\ /
yao mi ma gei 30 yuan jia qq 2055965068