Virus Messenger - červy, ktoré vydierajú používateľov

Červ Randsom.A paralyzuje infikované počítače šifrovaním súborov, ktoré sú na nich uložené, a potom sa pokúša zarobiť peniaze.

Spoločnosť Symantec a Centrum zabezpečenia Isidor oznámili, že s jeho dobývaním začal ďalší vydieračský červ. THE Náhodný A. Po vytvorení niektorých súborov a úprave registra začne pomenovaný malware zhromažďovať dôverné informácie. Odošle získané informácie na preddefinovaný vzdialený server cez internet. Červ potom zašifruje súbory v systéme Windows, Program Files a ďalších adresároch, ktoré sú dôležité pre fungovanie systému Windows. Potom skúste používateľa presvedčiť, aby si kúpil softvér potrebný na dešifrovanie súborov. Randsom.A sa pokúša dostať sa na čo najviac počítačov prostredníctvom vymeniteľných jednotiek a zdieľaní v sieti.

Keď sa červ Randsom.A spustí, vykoná nasledujúce akcie:

1. Vytvorte nasledujúce súbory:
   % Windir% \ lsass.exe
   % Windir% \ NeroDigit16.inf
   % Windir% \ services.exe
   % Windir% \ UNINSTLV16.exe
   % Windir% \ NeroDigit32.inf
   % Temp% \ errir.exe
2. Zobrazí okno správy s textom „Aplikácia Win32 – Neodpovedá“ v záhlaví.
3. Vytvorte nasledujúci súbor:
   % Windir% \ ulodb3.ini
4. Pridajte nasledujúce položky do registračnej databázy:
   HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Active Setup \
   Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}\
   “StubPath” = “%Windir%\UNINSTLV16.exe”
   HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Active Setup \
   Installed Components\{F146C9B1-VMVQ-A9RC-NUFL-D0BA00B4E999}\
   “StubPath” = “%Windir%\UNINSTLV16.exe”
5. Skopíruje nasledujúce tri súbory na každú vymeniteľnú a sieťovú jednotku:
   % DriveLetter% \ tg_root \ Skype.exe
   % DriveLetter% \ tg_root \ Uninstall.exe
   % DriveLetter% \ autorun.inf
6. Vytvorte nasledujúci súbor:
   % UserProfile% \ feedback.html
7. Zhromažďuje dôverné údaje a prenáša ich na preddefinovaný vzdialený server.
8. Šifruje nasledujúce adresáre a súbory v nich:
   % Windir%
   % Užívateľský profil%
   % Programové súbory%
   % SystemDrive% \ Boot
   % SystemDrive% \ ProgramData \ Microsoft
   % SystemDrive% \ users \ Všetci používatelia \ Microsoft
   Kóduje šifrované súbory s príponou .XNC.
   Červ nešifruje súbory s žiadnou z nasledujúcich prípon:
   . Com
   .TAXÍK
   . Com
   . Dll
   .INI
   .LNK
   .log
   REG
   .SYS
   .XNC
9. Vytvorte nasledujúce súbory:
   % SystemDrive% \ [cesta] \ PREČÍTAJTE SI TOTO.txt
   % SystemDrive% \ [cesta] \ !!!! PREČÍTAJTE SI TOTO !!!!. Txt