Komunikator wirusów — robaki szantażują użytkowników

Robak Randsom.A paraliżuje zainfekowane komputery, szyfrując przechowywane na nich pliki, a następnie próbując zarobić pieniądze.

Symantec i Isidor Security Center poinformowały, że kolejny robak wymuszający rozpoczął swoją podbój. TEN Losowo.A Po utworzeniu kilku plików i zmodyfikowaniu rejestru, wymienione złośliwe oprogramowanie zacznie zbierać poufne informacje. Przesyła zebrane informacje do predefiniowanego serwera zdalnego przez Internet. Następnie robak szyfruje pliki w systemie Windows, Program Files i innych katalogach, które są ważne dla działania systemu Windows. Następnie spróbuj przekonać użytkownika do zakupu oprogramowania potrzebnego do odszyfrowania plików. Randsom.A próbuje uzyskać dostęp do jak największej liczby komputerów za pomocą dysków wymiennych i udziałów sieciowych.

Po uruchomieniu robak Randsom.A wykonuje następujące czynności:

1. Utwórz następujące pliki:
   % Windir% \ lsass.exe
   % Windir% \ NeroDigit16.inf
   % Windir% \ services.exe
   % Windir% \ UNINSTLV16.exe
   % Windir% \ NeroDigit32.inf
   % Temp% \ errir.exe
2. Wyświetla okno komunikatu z „Aplikacja Win32 - Nie odpowiada” na pasku tytułu.
3. Utwórz następujący plik:
   % Windir% \ ulodb3.ini
4. Dodaj następujące wpisy do bazy danych rejestracji:
   HKEY_LOCAL_MACHINE \ OPROGRAMOWANIE \ Microsoft \ Aktywna konfiguracja \
   Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}\
   "StubPath" = "% Windir% \ UNINSTLV16.exe"
   HKEY_LOCAL_MACHINE \ OPROGRAMOWANIE \ Microsoft \ Aktywna konfiguracja \
   Installed Components\{F146C9B1-VMVQ-A9RC-NUFL-D0BA00B4E999}\
   "StubPath" = "% Windir% \ UNINSTLV16.exe"
5. Kopiuje następujące trzy pliki na każdy dysk wymienny i sieciowy:
   % litera dysku% \ tg_root \ Skype.exe
   % DriveLetter% \ tg_root \ Uninstall.exe
   % litera dysku% \ autorun.inf
6. Utwórz następujący plik:
   % UserProfile% \ feedback.html
7. Gromadzi poufne dane i przesyła je do predefiniowanego serwera zdalnego.
8. Szyfruje następujące katalogi i znajdujące się w nich pliki:
   % wiatru%
   % Profil użytkownika%
   % Pliki programów%
   % Dysk systemowy% \ Rozruch
   % SystemDrive% \ ProgramData \ Microsoft
   % Dysk systemowy% \ użytkownicy \ Wszyscy użytkownicy \ Microsoft
   Koduje zaszyfrowane pliki z rozszerzeniem .XNC.
   Robak nie szyfruje plików o żadnym z następujących rozszerzeń:
   . COM
   .TAKSÓWKA
   . COM
   DLL
   INI
   .LNK
   .LOG
   .REG
   .SYS
   .XNC
9. Utwórz następujące pliki:
   % SystemDrive% \ [ścieżka] \ PRZECZYTAJ TEN.txt
   % SystemDrive% \ [ścieżka] \ !!!! PRZECZYTAJ TO!!!!. Txt