MrsMajor 3.0 — Страшный вирус, новая версия. Как его удалить?

Статья о страшном вирусе MrsMajor2.0, второй версии, которая была написана еще в 2018 году, как ни странно была и остаётся популярной. Не так давно, появилась уже третья версия этого файла, а также запросы, которые поступают в Метрику дают об этом понять, насколько многих это интересует.

MrsMajor 3.0 это вирус с графическим интерфейсом, который одновременно и жуткий и интересный. Сегодня, как раз рассмотрим 3 версию этого вируса, которая может удивить не меньше, чем предыдущая. И как итог, попробуем запустить на виртуальной машине данный вирус, и понять, как он работает, и как от него мы сможем защититься.

Запуск

На нашем рабочем столе находится архив под названием MrsMajor_3.0.rar, который мы разархивируем. Внутри имеем всего один файл MrsMajor 3.0.exe, весом в 382 КБ. В этот раз нас встречает ярлык в виде необычной матрёшки, с привычными вирусу цветами красный и чёрный.

После запуска встречаем окно авторизации с надписью MrsMajor 3.0 Dropper, с текстом «Type your authorization code bellow to continute:». Вводим ключ для авторизации и нажимаем кнопку «Decrypt».

Выскакивает красное окно с надписью «Attention», с текстом «Be patient while MrsMajor infects your system. This usually takes about 23 seconds. Your computer will be forced to restart afterwards».
Это говорит о том, что мы должны подождать 23 секунды, дабы вирус заразил нашу систему.

MrsMajor3.0 Attention infects your system

Ниже вопрос «Do you want to view the screen of Rules?», спрашивает хотим ли мы посмотреть экран правил. По нажатию кнопки «Nah, wait here» выкидывает те самые правила.

«Searching keywords on google such as “antivirus download”, “malwarebytes download”, “do I have a virus” is not allowed. If you do, you’ll get prompted with a blue screen explaining you why your computer just ran into a crash.
Using 3rd party tools is not allowed. You’ll get a BSoD again.
Once the malware runs out of blood, you’ll get your LogonUI overwritten. If you fix your LogonUI, you’ll get your boot sector overwritten just like your System32 files. So don’t do that ig.
This program can’t be ran on a real machine. (VM Only). Have fun!»

Здесь простая информация о том, чтобы мы в поиске Google не искали связанное с антивирусами, и о том, что если загуглить у Вас появится синий экран смерти.

MrsMajor-3.0-keywords-antivirus

В целом эти правила можно не успеть дочитать, так как Ваш ПК начнёт перезагрузку. Кстати перед перезагрузкой было заметно создание файла ReadMe (MrsMajor 3.0).txt на рабочем столе с ярлыком глаза, и весом в 606 байт.

После перезагрузки

После перезагрузки ПК, нас встречает та самая криповая девочка Аннабель, рядом с ней уровень крови «Blood Left», фоновая музыка, и через пару мгновений кровавый экран. Все остальные иконки, которые располагались на рабочем столе также применили вид жуткого глаза.

Откроем тот самый файл ReadMe (MrsMajor 3.0).txt, хотя читать конечно уже не так легко, через кровавый экран. При этом мы пока не будем пытаться избавиться от этого вируса, и посмотрим, что будет дальше.

В файле ReadMe написано, о том, что мы запустили вирус Миссис Мажор 3.0, и наша система сейчас инфицирована. И если мы запустим какое-либо ПО для отладки, например, «Process Hacker», «Fiddler» и т.д., то это приведёт к синему экрану смерти. Поиск таких слов как «Антивирус», также не разрешен. Нужно следить за уровнем крови, после того как этот уровень закончится, нашей системе будет конец.

Прошло 2 минуты, и в целом забавно то, что данная версия вируса заливает весь экран красными красками, в итоге использовать какое-то ПО становится сложнее.

Через «Пуск» мы можем открыть «Мой компьютер».
Комбинация клавиш Ctrl+Shift+Esc, диспетчер задач не вызывает.
Клавишами Ctrl+Alt+Delete, диспетчер задач также не вызывает, хотя это логичная блокировка.
Win+R и Win+X, у нас также не работают.
Открытие командной строки (cmd.exe) из папки Windows, также работать не будет.

Кстати, подождав пока уровень крови закончится нам выскакивает синий экран смерти. И даже если система выполнила восстановление, то всё равно уходит в синий экран.

Ну а после перезагрузки наконец всплыло на весь экран окно о том, что мы не очень умны. А ситуация с диском ещё более хуже. («You are not very smart. Are you? Situation of your disk is even worse now»). И это правда, так как дело даже не доходит до загрузки Windows, и данная заставка находится в загрузочном секторе жёсткого диска. Все разделы у нас сейчас удалены, а данные потеряны. И глядя уже на эту картинку становится ясно, что вирус действительно серьёзный.

Но раз уж мы находимся на виртуальной машине, то нас это дело не очень пугает. Откатываемся назад, нажав кнопку «Revert this virtual machine to snapshot» на нашей виртуальной машине. И восстанавливаемся к последней рабочей копии системы.

Лечение MrsMajor 3.0

Ну а теперь попробуем ликвидировать уже данный вирус стандартными средствами Windows. Попробуем не использовать программы «Process Hacker», «CCleaner» и антивирусы.

Кстати, при попытке поиска антивируса в браузере, если ввести «antivirus download», то система действительно зависает, однако синего экрана не было.

Копирование файла cmd.exe (командной строки) на рабочий стол, не помогло открыть приложение. Зато помогло, плюс к этому, переименование файла! Допустим «123.exe», и таким образом её получается уже открыть!

Если проделать тоже самое с taskmgr.exe (диспетчером задач), переместить на рабочий стол и переименовать, то выдаёт ошибку.

Попробуем вытащить powershell.exe (это та же командная строка, только с гораздо большим функционалом, чем стандартная cmd.exe). Находим его, перемещаем и переименовываем. Открываем и вводим команду «ps». Смотрим список процессов. При этом имейте ввиду, что экран понемногу наполняется красными красками, что мешает работе, время идёт и действовать нужно быстрее.

Нашёлся в списке процесс tobi0a0c.exe (его ID — 2164).
Пробуем убить этот процесс, вводим команду «kill 2164». Выяснилось, что здесь стоит защита, и компьютер снова зависает и выдаёт синий экран. Основной процесс убить не вышло.

Перезагружаемся, заходим снова в powershell.exe и ищем что-нибудь ещё.
Процесс dwm.exe отвечает за графическую часть вируса (кровь на экране, пиксели и уровень крови), если этот процесс убить, то получается заморозить уровень, и обновить графическую часть.

Пробуем открыть msconfig.exe (конфигурацию системы).
Вводим команду «msconfig» через PowerShell, и приложение открывается, но в автозагрузке и службах мы ничего плохого не наблюдаем.

Ищем в стандартном поиске по файлам, приложение tobi0a0c.exe в папке Windows.
Находится он по пути: C:\Windows\winbase_base_procid_none\secureloc0x65
Размер: 5,06 МБ
Ну а как только мы переходим в папку winbase_base_procid_none, то система подвисает и в итоге снова срабатывает Blue screen — синий экран.

Перезагружаем, ищем еще раз этот файл в поиске, и пробуем открыть его уже через «Расположение файла». И попадаем прямо туда куда нам и нужно.

В этой папке находятся 4 приложения, 2 звуковых Wav файла, vbs-файл скрипт запуска, указатель и иконка глаза. Это как раз всё то, что связано с этим вирусом. Возможно, как раз файл bsector3.exe затирает загрузочный сектор.

Список файлов MrsMajor 3.0, в папке secureloc0x65 :

  • tobi0a0c.exe (5 191 КБ)
  • ui65.exe (116 КБ)
  • ui66.exe (2 969 КБ)
  • bsector3.exe (72 КБ)
  • mainbgtheme.wav (2 466 КБ)
  • 0x000F.wav (2 466 КБ)
  • WinRapistI386.vbs (1 КБ)
  • rcur.cur (5 КБ)
  • winsxs.ico (492 КБ)

Попробуем удалить файлы из этой папки. Удалить получается всё кроме файла tobi0a0c.exe, который на данный момент запущен. Но в любом случае мы удалили часть важных файлов, среди которых был запускаемый скрипт-файл.

Перезагружаем теперь нашу виртуальную машину, и смотрим что из этого вышло.

Результат отличный! При загрузке выходит окно с надписью Windows Script Host и текстом о том, что «Файл сценария не удаётся найти», по пути на файл WinRapistI386.vbs.

Как итог, после удаления данных файлов вируса, заметно сразу, что потрепались иконки наших ярлыков, звуковые файлы мы удалили, также графическая часть восстановлена.

Проверим работает ли диспетчер задач.
Открываем PowerShell, и вводим команду taskmgr, и нам выводит окно, о том, что диспетчер задач отключен администратором.

Также если ввести команду regedit, выводит окно «Редактирование реестра запрещено администратором системы».

Чтобы решить эти проблемы, вводим некую команду gpedit.msc (Редактор групповой локальной политики).

Проходим по пути «Конфигурация пользователя» — «Административные шаблоны» — «Система» — «Запретить доступ к средствам редактирования реестра». И ставим «Отключить».

Проходим также по пути «Конфигурация пользователя» — «Административные шаблоны» — «Система» — «Варианты действий после нажатия Ctrl+Alt+Del» — «Удалить диспетчер задач». И ставим «Отключить».

Как итог комбинация клавиш Ctrl+Shift+Esc теперь будет работать и запускать диспетчер задач. Редактор реестра также будет работать.

Теперь удалим из автозагрузки оставшееся событие от скрипта который мы удалили, что бы оно не выскакивало, при следующей загрузке системы. При этом, мы не найдём это событие в Автозагрузке, через msconfig, его там нет! Его нет не в списке автозагрузки, не в планировщике задач, при этом событие каждый раз срабатывает при включении ПК! Это странно.

Поэтому ищем WinRapistI386.vbs по поиску в редакторе реестра.
Как оказалось это событие скрипта vbs прописалось к запуску рабочего стола (Shell).
Поэтому, редактируем значение этого параметра Shell, оставив только explorer.exe

После этих действий, событие исчезнет, и не будет появляться при перезагрузке.
Ну а иконки я думаю Вы и сами легко сможете исправить через «Свойства». На этом всё!

Предыдущая статья:

Ужасно..Плохо..Нормально!Хорошо!Отлично! (1 оценок, среднее: 5,00 из 5)
Загрузка...

Поделиться:

1 комментарий

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *