Les experts de chez Trend Micro ont découvert un ransomware qui bloque le système à son démarrage.
Par rapport aux trojans localisés, qui sont largement répandus à travers l'Europe, ce malware s'inocule dans le Master Boot Record (MBR). Il redémarre ensuite le système et indique à l'utilisateur de payer une rançon de 930 hryvnia Ukrainien (équivaut à environ 90 euros) aux pirates par le biais du service de paiement QIWI.
Si les victimes paient, les pirates leur envoient un code pour débloquer leur ordinateur. Les utilisateurs peuvent cependant s'en sortir sans payer en suivant les instructions pour supprimer le malware. Il s'agit d'exécuter la console de récupération à partir du DVD d'installation de Windows afin de restaurer le MBR d'origine en utilisant la commande fixmbr.
Selon Trend Micro, le virus se propage via des sites web malveillants ou est injecté dans le système via d'autres malwares. Ce malware qui écrase le MBR pour empêcher le démarrage a été découvert début 2010 même si au départ celui-ci n'exigeait pas de rançon. Il existe des dizaines de variantes de ce malware dont la plupart ne corrompent pas le MBR mais s'appuient sur le démarrage automatique et en particulier les entrées de registre pour s'ancrer sur le système.
