Virus Messenger - Потребители на изнудване на червеи

Червеят Randsom.A червеят парализира заразените компютри, като криптира файловете, съхранявани на тях, и след това се опитва да печели пари.

Symantec и Центърът за сигурност Isidor съобщиха, че друг изнудващ червей е започнал своето завладяване. НА Randomom.A След създаването на някои файлове и модифицирането на системния регистър, посоченият зловреден софтуер ще започне да събира поверителна информация. Той качва придобитата информация на предварително дефиниран отдалечен сървър през Интернет. След това червеят кодира файловете в Windows, Program Files и други директории, които са важни за работата на Windows. След това се опитайте да убедите потребителя да закупи софтуера, необходим за дешифриране на файловете. Randsom.A се опитва да се качи на възможно най-много компютри чрез сменяеми устройства и мрежови споделяния.

Когато червеят Randsom.A стартира, той изпълнява следните действия:

1. Създайте следните файлове:
   % Windir% \ lsass.exe
   % Windir% \ NeroDigit16.inf
   % Windir% \ services.exe
   % Windir% \ UNINSTLV16.exe
   % Windir% \ NeroDigit32.inf
   % Temp% \ errir.exe
2. Показва поле за съобщение с „Приложение Win32 - Не отговаря“ в заглавната лента.
3. Създайте следния файл:
   % Windir% \ ulodb3.ini
4. Добавете следните записи към базата данни за регистрация:
   HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Active Setup \
   Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}\
   "StubPath" = "% Windir% \ UNINSTLV16.exe"
   HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Active Setup \
   Installed Components\{F146C9B1-VMVQ-A9RC-NUFL-D0BA00B4E999}\
   "StubPath" = "% Windir% \ UNINSTLV16.exe"
5. Той копира следните три файла във всяко сменяемо и мрежово устройство:
   % DriveLetter% \ tg_root \ Skype.exe
   % DriveLetter% \ tg_root \ Uninstall.exe
   % DriveLetter% \ autorun.inf
6. Създайте следния файл:
   % UserProfile% \ feedback.html
7. Той събира поверителни данни и ги предава на предварително дефиниран отдалечен сървър.
8. Той криптира следните директории и файловете в тях:
   % Windir%
   % UserProfile%
   % Програмните файлове%
   % SystemDrive% \ Boot
   % SystemDrive% \ ProgramData \ Microsoft
   % SystemDrive% \ users \ Всички потребители \ Microsoft
   Той кодира криптирани файлове с разширение .XNC.
   Червеят не криптира файлове с нито едно от следните разширения:
   . COM
   .cab
   . COM
   . Dll
   .INI
   .LNK
   .ЛОГ
   .reg
   .SYS
   .XNC
9. Създайте следните файлове:
   % SystemDrive% \ [път] \ ПРОЧЕТЕТЕ ТОВА.txt
   % SystemDrive% \ [път] \ !!!! ПРОЧЕТЕТЕ ТОВА !!!!. Txt