Randsom.A Trojan иска пари от собствениците на заразени компютри, за да не изтрие файловете на компютъра.
Троянският кон Randsom.A създава редица файлове на целеви компютри и след това променя системния регистър. След това показва поле със съобщение, което информира потребителя да плати $10.99 възможно най-скоро или в противен случай един от техните файлове ще бъде изтрит на всеки 30 минути. Съобщението на троянския кон показва, че след като плати парите, собственикът на компютъра получава код, който може да се използва за деактивиране на троянския кон.
Други известни имена на Randsom.A са: Troj/Ransom-A [Sophos].
Когато Randsom.A стартира, той изпълнява следните действия:
1. Създайте следните файлове:
corpstats.exe
winstart.exe
004.exe
005.exe
006.exe
007.exe
008.exe
009.exe
svchost.exe
data3.exe
data2.exe
data4.exe
dat1.bat
wpd.exe
ShutdownUtility.exe
2. Базата данни за регистрация
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
добавя към вашия ключ
“почистване” = “%System%\oobe\setup\corpstats.exe”.
3. Създайте безвреден временен файл в следната директория:
C:\Documents and Settings\All Users\Application Data\OZ
4. Създайте временен запис в следния ключ на системния регистър:
HKEY_CURRENT_USER\SOFTWARE\OZ Development\Applications
5. Ще се появи следният прозорец:
6. Създайте следните файлове и ги стартирайте:
%Windir%\dat1.bat
%System%\bat.bat.
