DexCrypt MBRLocker exige 30 yuanes para tener acceso a la computadora

Se ha descubierto un nuevo MBRLocker chino llamado DexLocker que solicita 30 Yuan para acceder a una computadora. Descubierto por primera vez por el investigador de seguridad JAMESWT, este ransomware modificará el registro maestro de arranque de la computadora de la víctima para que muestre una nota de rescate antes de que comience Windows.

Lamentablemente, no pude ejecutar esta muestra, por lo que no tengo un análisis de primera mano de este ransomware. El video AnyRun publicado por JAMESWT, sin embargo, muestra que una vez que instala el ransomware, inmediatamente reinicia la computadora y la víctima recibe un cráneo ascii y un mensaje para enviar 30 yaun a la dirección qq 2055965068 con el fin de obtener acceso a su computadora de nuevo.

DexCrypt Lock Screen

El equipo de seguridad de Windows Defender de Microsoft vio el tweet de Jame y tuiteó que etiquetaron el MBRLocker como Ransom: DOS / Dexcrypt.A y que Windows Defender lo puede detectar.

Solución contra DexCrypt MBRLocker

Según kangxiaopao, puede ingresar la contraseña "ssssss" para obtener acceso. Si esta contraseña no funciona y solo reemplaza el MBR, puede solucionarse iniciando en la Consola de recuperación de Windows y restaurando el Registro maestro de arranque utilizando los siguientes comandos:

bootrec /RebuildBcd
bootrec /fixMbr
bootrec /fixboot

Una vez que ingrese estos comandos, puede reiniciar y obtener acceso nuevamente a Windows.

Hashes:

dfc56a704b5e031f3b0d2d0ea1d06f9157758ad950483b44ac4b77d33293cb38

Ransom Note:

.-' '-.
/ \
| |
|, .-. .-. ,|
| )(/ _)( |
|/ /\ |
(
^^ )
_
|IIIIII|
/
| \IIIIII/ |
\ /
yao mi ma gei 30 yuan jia qq 2055965068