Virus Messenger - I worm ricattano gli utenti

Il worm Randsom.A paralizza i computer infetti crittografando i file memorizzati su di essi e quindi cercando di fare soldi.

Symantec e Isidor Security Center hanno riferito che un altro worm di estorsione ha iniziato la sua conquista. IL Ransom.A Dopo aver creato alcuni file e modificato il registro, il malware nominato inizierà a raccogliere informazioni riservate. Carica le informazioni acquisite su un server remoto predefinito su Internet. Il worm quindi crittografa i file in Windows, Program Files e altre directory importanti per il funzionamento di Windows. Quindi prova a convincere l'utente ad acquistare il software necessario per decrittografare i file. Randsom.A si sforza di accedere al maggior numero possibile di computer principalmente tramite unità rimovibili e condivisioni di rete.

Quando il worm Randsom.A si avvia, esegue le seguenti azioni:

1. Crea i seguenti file:
   % Windir% \ lsass.exe
   % Windir% \ NeroDigit16.inf
   % Windir% \ services.exe
   % Windir% \ UNINSTLV16.exe
   % Windir% \ NeroDigit32.inf
   % Temp% \ errir.exe
2. Viene visualizzata una finestra di messaggio con il testo "Applicazione Win32 - Non risponde" nella barra del titolo.
3. Crea il seguente file:
   % Windir% \ ulodb3.ini
4. Aggiungere le seguenti voci al database di registrazione:
   HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Configurazione attiva \
   Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}\
   “StubPath” = “%Windir%\UNINSTLV16.exe”
   HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Configurazione attiva \
   Installed Components\{F146C9B1-VMVQ-A9RC-NUFL-D0BA00B4E999}\
   “StubPath” = “%Windir%\UNINSTLV16.exe”
5. Copia i seguenti tre file su ciascuna unità rimovibile e di rete:
   % DriveLetter% \ tg_root \ Skype.exe
   % DriveLetter% \ tg_root \ Uninstall.exe
   % DriveLetter% \ autorun.inf
6. Crea il seguente file:
   % Profilo utente% \ feedback.html
7. Raccoglie dati riservati e li trasmette a un server remoto predefinito.
8. Crittografa le seguenti directory e i file in esse contenuti:
   % vento%
   % Profilo utente%
   % File di programma%
   % SystemDrive% \ Avvio
   % SystemDrive% \ ProgramData \ Microsoft
   % SystemDrive% \ utenti \ Tutti gli utenti \ Microsoft
   Codifica file crittografati con estensione .XNC.
   Il worm non crittografa i file con una delle seguenti estensioni:
   . COM
   CAB
   . COM
   .DLL
   ini
   .lnk
   .LOG
   .REG
   .SYS
   .XNC
9. Crea i seguenti file:
   % SystemDrive% \ [percorso] \ LEGGI QUESTO.txt
   % SystemDrive% \ [percorso] \ !!!! LEGGI QUESTO !!!!. Txt