Virus Messenger - vydírá uživatele Worms

Červ Randsom.A paralyzuje infikované počítače šifrováním souborů uložených na nich a poté se snaží vydělat peníze.

Společnosti Symantec a Isidor Security Center oznámily, že další vydírací červ začal dobývat. THE Ransom.A Po vytvoření některých souborů a úpravě registru začne pojmenovaný malware shromažďovat důvěrné informace. Nahraje získané informace na předdefinovaný vzdálený server přes internet. Červ poté zašifruje soubory v systému Windows, programové soubory a další adresáře, které jsou důležité pro fungování systému Windows. Pak zkuste přesvědčit uživatele, aby si koupil software potřebný k dešifrování souborů. Randsom.A se snaží dostat na co nejvíce počítačů prostřednictvím vyměnitelných jednotek a síťových sdílených složek.

Když se červ Randsom.A spustí, provede následující akce:

1. Vytvořte následující soubory:
   % Windir% \ lsass.exe
   % Windir% \ NeroDigit16.inf
   % Windir% \ services.exe
   % Windir% \ UNINSTLV16.exe
   % Windir% \ NeroDigit32.inf
   % Temp% \ errir.exe
2. Zobrazí v záhlaví okno se zprávou „Aplikace Win32 - nereaguje“.
3. Vytvořte následující soubor:
   % Windir% \ ulodb3.ini
4. Přidejte následující položky do registrační databáze:
   HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Active Setup \
   Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}\
   "StubPath" = "% Windir% \ UNINSTLV16.exe"
   HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Active Setup \
   Installed Components\{F146C9B1-VMVQ-A9RC-NUFL-D0BA00B4E999}\
   "StubPath" = "% Windir% \ UNINSTLV16.exe"
5. Zkopíruje následující tři soubory na každou vyměnitelnou a síťovou jednotku:
   % DriveLetter% \ tg_root \ Skype.exe
   % DriveLetter% \ tg_root \ Uninstall.exe
   % DriveLetter% \ autorun.inf
6. Vytvořte následující soubor:
   % UserProfile% \ feedback.html
7. Shromažďuje důvěrná data a přenáší je na předdefinovaný vzdálený server.
8. Šifruje následující adresáře a soubory v nich:
   % Windir%
   % Uživatelský profil%
   % Programové soubory%
   % SystemDrive% \ Boot
   % SystemDrive% \ ProgramData \ Microsoft
   % SystemDrive% \ users \ All Users \ Microsoft
   Poskytuje šifrované soubory s příponou .XNC.
   Červ nešifruje soubory s žádnou z následujících přípon:
   . Com
   .CAB
   . Com
   . Dll
   INI
   .LNK
   .LOG
   REG
   .sys
   .XNC
9. Vytvořte následující soubory:
   % SystemDrive% \ [cesta] \ PŘEČTĚTE SI TENTO.txt
   % SystemDrive% \ [cesta] \ !!!! PŘEČTĚTE SI TOTO !!!!. Txt