Virus Reporter - Windows è bloccato dall'estorsione Ransomlock Trojan
Il Trojan Ransomlock può causare fastidi molto seri e danni non trascurabili bloccando completamente i computer infetti.
A Riscatto I trojan, a differenza di molti malware nascosti, eseguono azioni molto sorprendenti bloccando completamente l'accesso a Windows sui sistemi infetti. Il malware visualizza una finestra in cui informa l'utente, in russo, che deve inviare un codice generato dal trojan in un SMS, al quale riceve in cambio un codice di attivazione. Se inserisci questo codice nel campo di immissione nella finestra, puoi utilizzare nuovamente Windows. In realtà, però, non c'è alcuna garanzia che ciò accada, principalmente perché Symantec analizza che il codice da inviare in un SMS viene generato in modo del tutto casuale.
Sebbene finora sia apparso malware esorbitante, hanno cercato di estorcere denaro agli utenti principalmente crittografando i file. Al contrario, Ransomlock cerca di rendere impossibile l'accesso a Windows completo. I creatori di Ransomlock si sono anche assicurati che il loro malware potesse caricarsi anche quando si riavvia Windows in modalità provvisoria.
Quando il Ransomlock Trojan si avvia, esegue le seguenti azioni:
- Crea il seguente file:
% Temp% \ don [caratteri casuali] .tmp - Nel database di registrazione, modificare il seguente valore:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \
Windows NT\CurrentVersion\Winlogon”Userinit” = “%System%\userinit.exe
% Temp% \ don [caratteri casuali] .tmp ” - Visualizza una finestra che rende inaccessibili gli altri componenti di Windows. La finestra mostra anche un numero generato casualmente e un numero che può essere utilizzato per inviare un SMS. Secondo il messaggio di Trojan, la finestra può essere chiusa solo se l'utente inserisce il codice di attivazione appropriato, ricevuto tramite SMS.
- Il Trojan assicura inoltre che possa caricarsi anche quando si avvia Windows in modalità provvisoria.
