Вирус Мессенгер - Корисници црва уцењују

Црв Рандсом.А паралише заражене рачунаре шифрирањем датотека ускладиштених на њима, а затим покушава да заради.

Симантец и Исидор Сецурити Центер известили су да је још један црв за изнуду почео са освајањем. ТХЕ Рандсом.А Након креирања неких датотека и измене регистра, злонамерни софтвер ће почети да прикупља поверљиве информације. Он преузима прикупљене информације на унапред дефинисани удаљени сервер преко Интернета. Црв затим шифрује датотеке у оперативном систему Виндовс, програмске датотеке и друге директоријуме који су важни за рад оперативног система Виндовс. Затим покушајте да убедите корисника да купи софтвер потребан за дешифровање датотека. Рандсом.А покушава да дође на што је могуће више рачунара преко преносивих уређаја и мрежних дељења.

Када се црв Рандсом.А покрене, он врши следеће радње:

1. Креирајте следеће датотеке:
   % Виндир% \ лсасс.еке
   % Виндир% \ НероДигит16.инф
   % Виндир% \ сервицес.еке
   % Виндир% \ УНИНСТЛВ16.еке
   % Виндир% \ НероДигит32.инф
   % Темп% \ еррир.еке
2. Приказује прозор са поруком са текстом „Вин32 Апплицатион – Нот респондинг“ у насловној траци.
3. Направите следећу датотеку:
   % Виндир% \ улодб3.ини
4. Додајте следеће уносе у базу података за регистрацију:
   ХКЕИ_ЛОЦАЛ_МАЦХИНЕ \ СОФТВЕР \ Мицрософт \ Ацтиве Сетуп \
   Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}\
   „СтубПатх“ = „%Виндир%\УНИНСТЛВ16.еке“
   ХКЕИ_ЛОЦАЛ_МАЦХИНЕ \ СОФТВЕР \ Мицрософт \ Ацтиве Сетуп \
   Installed Components\{F146C9B1-VMVQ-A9RC-NUFL-D0BA00B4E999}\
   „СтубПатх“ = „%Виндир%\УНИНСТЛВ16.еке“
5. Копира следеће три датотеке на сваки преносиви и мрежни диск:
   % ДривеЛеттер% \ тг_роот \ Скипе.еке
   % ДривеЛеттер% \ тг_роот \ Унинсталл.еке
   % ДривеЛеттер% \ ауторун.инф
6. Направите следећу датотеку:
   % УсерПрофиле% \ феедбацк.хтмл
7. Он прикупља поверљиве податке и преноси их на унапред дефинисани удаљени сервер.
8. Он шифрира следеће директоријуме и датотеке у њима:
   % Виндир%
   % Профил корисника%
   % Програмски фајлови%
   % СистемДриве% \ Боот
   % СистемДриве% \ ПрограмДата \ Мицрософт
   % СистемДриве% \ усерс \ Сви корисници \ Мицрософт
   Он кодира шифроване датотеке са наставком .КСНЦ.
   Црв не шифрује датотеке са било којим од следећих додатака:
   .ЦОМ
   .ЦАБ
   .ЦОМ
   Длл.
   .ИНИ
   .ЛНК
   .ПРИЈАВА
   .ДАВНО
   .СИС
   .КСНЦ
9. Креирајте следеће датотеке:
   % СистемДриве% \ [патх] \ РЕАД ТХИС.ткт
   % СистемДриве% \ [патх] \ !!!! ПРОЧИТАЈТЕ !!!!. Ткт