Questo trojan prende di mira il Master Boot Record, ovvero il settore zero del disco rigido che serve ad avviare il sistema operativo e si innesta sostituendo il codice presente in esso con il proprio. Infatti, non appena abbiamo provato ad effettuare il boot del computer è comparso uno strano messaggio che, spacciandosi per Microsoft, avverte che la licenza d’uso del sistema operativo è scaduta ed è necessario acquistare (a caro prezzo) un nuovo codice di attivazione chiamando un numero italiano a pagamento, iniziante con il famigerato prefisso 899.
Nulla di più falso! Il trojan MBRLock è un perfetto esempio di utilizzo di tecniche di ingegneria sociale: abbiamo potuto verificare infatti che il trojan non blocca l’accesso ai dati, né li cancella o li cripta, ma previene solamente il caricamento del sistema operativo. Ma tanto basta a spaventare la maggior parte degli utenti, mettendoli in allarme e convincendoli ad effettuare la “carissima” telefonata.
Da un'analisi più approfondita abbiamo scoperto che il trojan è programmato per capire la provenienza geografica del PC infetto, al fine di mostrare numeri di telefono differenti e specifici (gli utenti maggiormente presi di mira sono quelli italiani, austriaci, svizzeri e belgi). Fortunatamente il codice di sblocco richiesto da MBRLock non è complesso. Il meccanismo di verifica usato dal trojan, infatti, controlla solo la lunghezza del codice inserito: inserendo un qualsiasi codice di 14 cifre (ad esempio "12345678901234") il trojan lo accetta, si auto-rimuove e consente il normale avvio del sistema operativo. Insomma, una grande paura ma fortunatamente nient’altro. Tuttavia, l’unico vero modo effettivo di contrastare tali infezioni è quello di effettuare costantemente backup dei propri dati, perché la prossima volta potremmo non essere così fortunati e il trojan potrebbe essere molto più “duro a morire“!
Ma come possiamo eliminare il trojan? Se il nostro PC cade vittima di un’infezione da ransomware, le procedure da seguire sono molto diverse tra di loro, come pure sono tanti i sintomi per rilevare la presenza di questo tipo di trojan. Potrebbe ad esempio comparire un messaggio di richiesta riscatto sul desktop, oppure in un file di testo o in ogni cartella del disco fisso contenenti i dati che sono stati crittografati.
In tutti i casi l’unico consiglio valido è quello di spegnere immediatamente il PC staccando la spina della corrente o premendo manualmente il tasto di spegnimento del computer. Questa procedura, solitamente sconsigliata perché rischia di danneggiare il sistema, in caso di infezioni da ransomware potrebbe risultare molto efficace perché interrompe il lavoro di analisi del disco fisso da parte del trojan alla ricerca dei dati da crittografare.
Fatto questo, possiamo provare ad effettuare una scansione del PC tramite un Live CD Antivirus, come ad esempio il Kaspersky Rescue Disk, scaricabile gratuitamente questa pagina Web. Per creare il CD, avviamo Nero Burning Rom e masterizziamo l’immagine kav_rescue_10.iso su un CD vergine cliccando Masterizzatore/Scrivi immagine.
![[Immagine: MBRLock-Rimozione-02.jpg]](https://lh3.googleusercontent.com/blogger_img_proxy/AEn0k_t2OvaBNgIf4CCts6wjTVH7PfRYu2J-ElmL_SsPL_VoP75gA5qoyBd2u6H8tUc4PfEiKtxJS6NBzmF57i9V9Ty2eAh1pxvIki1D5pzgUFrTvUg113gTuX6Tfka5kB9n9-ViMCVWFekEcco=s0-d)
In caso di infezione da virus, inseriamo il Rescue Disk nel sistema da controllare e riavviamo il PC dal CD (accediamo al BIOS premendo Canc, da Boot/Boot Driver Order selezioniamo DVD-ROM e confermiamo con F10). Nella schermata di Kaspersky, premiamo Invio e selezioniamo Italiano. Lasciamo la prima opzione selezionata (Modalità grafica) e premiamo ancora Invio. Attendiamo che il processo di caricamento termini: quando appare la schermata relativa alla licenza d’uso, premiamo A per accettarla e accedere all’interfaccia principale del programma. Automaticamente, il Rescue Disk scaricherà le firme virali aggiornate, per garantire sempre la massima protezione. Verrà quindi mostrata la schermata per effettuare la scansione del sistema. Per impostazione predefinita, solo i settori di avvio e gli oggetti nascosti archiviati nell’hard disk verranno analizzati. Se lo desideriamo, spuntiamo tutte le voci presenti per un controllo completo.
![[Immagine: MBRLock-Rimozione-03.jpg]](https://lh3.googleusercontent.com/blogger_img_proxy/AEn0k_u1w93oxLHnbErHN0M51VPgG_4wF4rrNi4s_yKUyXDnIZlByBZr1kdCz3fsmF0-QByMjRWiK-d6iVsLJpgiJdZCIkwi7P7pFjlPAgrlrdnUvmCRKy_xcb69CdsMC4ONzlowypG2mLtLKlk=s0-d)
Una volta deciso su quali oggetti effettuare il controllo, clicchiamo sulla voce in alto Avvio Scansione Personalizzata. A seconda delle opzioni selezionate al passo precedente, questo controllo potrebbe durare anche diversi minuti. Attendiamo che venga completato. Al termine della scansione, possiamo vedere i risultati dei file messi in quarantena, le minacce rilevate e i virus eliminati semplicemente cliccando in alto su Minacce rilevate e su Rapporto.
Fonte: Wintricks; Forum: istitutomajorana
![[Immagine: MBRLock-Messaggio.jpg]](https://lh3.googleusercontent.com/blogger_img_proxy/AEn0k_ugUK3VhEyLdrhjNjllHGI0mVOg-Po5DLLFTaYc2pYrHXqBxce63aeT8Th685FgjCcVw2bnaIN9q6XYxr45VIixJZoANoBQe7ndcnY2rIB2g6HdeKRSROgoCVD1n3dmxNMorvZQxK4=s0-d)
![[Immagine: MBRLock-Rimozione-01.jpg]](https://lh3.googleusercontent.com/blogger_img_proxy/AEn0k_uyLK4xDMiKisoxHCTZP1rNBvBygb8mq3LZMVyfJGe-uMdcLgg61gzbHuG2h1hmu0F7P39psdP2Z9KWneHlNXiq0RkOD_aNSUv57FgpsRz2DgDKG6fz8iVKQHjSQ3vxX0UETSg-UmW8xDc=s0-d)
![[Immagine: MBRLock-Rimozione-04.jpg]](https://lh3.googleusercontent.com/blogger_img_proxy/AEn0k_vrSASBorrBFD99zwxVyxEOvSN2PrZmm2LpALxcDZoa3p_5mUY-ZKLkN_B9DNUTDUGGL9gETbmlq6NQ8IMsLBSi9NhcFkcbNIZdhqYmywcsZ34rKnsDn3wHds9XRX-9_Fvn1w9JjkIRJek=s0-d)
