Los expertos han encontrado una pieza de ransomware que, a diferencia de las variantes anteriores, no se conforma con bloquear el escritorio del ordenador. En cambio, infecta el master boot record (MBR), tomándolo como rehén para impedir que el sistema operativo se cargue.

Los investigadores de Trend Micro determinaron que el malware reemplaza el MBR original con su propio código. Después de que se restablezca el sistema, un proceso que se realiza de forma automática una vez que el elemento malintencionado se infiltra en MBR, aparece un mensaje en ucraniano.

Identificado como TROJ_RANSOM.AQB, el troyano exige el pago de una cierta cantidad de dinero en grivnia ucraniano (moneda de Ucrania) a través de QIWI, un servicio de pago en línea.

Justo debajo del mensaje que exige el rescate, hay un indicador de "Introducir código" en el que se puede ingresar el código de desbloqueo una vez que se pague la multa.

En este caso particular, el código realmente funciona. Una vez introducido, el MRB está limpiado.

Sin embargo, esto no significa que los usuarios deben pagar a los estafadores para eliminar la infección. En cambio, deberían utilizar un disco de rescate proporcionado por proveedores de software antivirus, o pedir ayuda profesional.