Virus Messenger - Черви шантажируют пользователей

Червь Randsom.A парализует зараженные компьютеры, шифруя файлы, хранящиеся на них, а затем пытается заработать деньги.

Symantec и Isidor Security Center сообщили, что другой червь-шантажист начал свое завоевательное путешествие. THE Рэндсом.А После создания некоторых файлов и изменения реестра указанная вредоносная программа начнет сбор конфиденциальной информации. Он загружает полученную информацию на заранее определенный удаленный сервер через Интернет. Затем червь шифрует файлы в Windows, Program Files и других каталогах, которые важны для работы Windows. Затем попробуйте убедить пользователя купить программное обеспечение, необходимое для расшифровки файлов. Randsom.A стремится получить доступ к как можно большему количеству компьютеров, в первую очередь через съемные диски и сетевые ресурсы.

При запуске червь Randsom.A выполняет следующие действия:

1. Создайте следующие файлы:
   % Windir% \ lsass.exe
   % Windir% \ NeroDigit16.inf
   % Windir% \ services.exe
   % Windir% \ UNINSTLV16.exe
   % Windir% \ NeroDigit32.inf
   % Temp% \ errir.exe
2. Отображает окно сообщения с надписью «Приложение Win32 - Не отвечает» в строке заголовка.
3. Создайте следующий файл:
   % Windir% \ ulodb3.ini
4. Добавьте следующие записи в базу данных регистрации:
   HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Active Setup \
   Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}\
   "StubPath" = "% Windir% \ UNINSTLV16.exe"
   HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Active Setup \
   Installed Components\{F146C9B1-VMVQ-A9RC-NUFL-D0BA00B4E999}\
   "StubPath" = "% Windir% \ UNINSTLV16.exe"
5. Он копирует следующие три файла на каждый съемный и сетевой диск:
   % DriveLetter% \ tg_root \ Skype.exe
   % DriveLetter% \ tg_root \ Uninstall.exe
   % DriveLetter% \ autorun.inf
6. Создайте следующий файл:
   % UserProfile% \ feedback.html
7. Он собирает конфиденциальные данные и передает их на заранее определенный удаленный сервер.
8. Он шифрует следующие каталоги и файлы в них:
   % Windir%
   % Профиль пользователя%
   %Программные файлы%
   % SystemDrive% \ Boot
   % SystemDrive% \ ProgramData \ Microsoft
   % SystemDrive% \ users \ All Users \ Microsoft
   Предоставляет зашифрованные файлы с расширением .XNC.
   Червь не шифрует файлы со следующими расширениями:
   . COM
   .cab
   . COM
   . Dll
   INI-
   .LNK
   .LOG
   .ДАВНЫМ-ДАВНО
   .SYS
   .XNC
9. Создайте следующие файлы:
   % SystemDrive% \ [путь] \ ПРОЧИТАЙТЕ ЭТОТ.txt
   % SystemDrive% \ [путь] \ !!!! ПРОЧИТАЙТЕ ЭТО !!!!. Txt