Virus Messenger - Le ver fait chanter les utilisateurs

Le ver Randsom.A paralyse les ordinateurs infectés en cryptant les fichiers qui y sont stockés, puis en essayant de gagner de l'argent.

Symantec et le centre de sécurité d'Isidor ont signalé qu'un autre ver de chantage avait commencé sa conquête. LES Ransom.A Après avoir créé certains fichiers et modifié le registre, le malware nommé commencera à collecter des informations confidentielles. Il télécharge les informations acquises sur un serveur distant prédéfini via Internet. Le ver crypte ensuite les fichiers dans Windows, Program Files et d'autres répertoires importants pour le fonctionnement de Windows. Essayez ensuite de persuader l'utilisateur d'acheter le logiciel nécessaire pour décrypter les fichiers. Randsom.A essaie d'accéder à autant d'ordinateurs que possible via des lecteurs amovibles et des partages réseau.

Lorsque le ver Randsom.A démarre, il effectue les actions suivantes :

1. Créez les fichiers suivants :
   % Windir% \ lsass.exe
   % Windir% \ NeroDigit16.inf
   % Windir% \ services.exe
   % Windir% \ UNINSTLV16.exe
   % Windir% \ NeroDigit32.inf
   % Temp% \ errir.exe
2. Il affiche une fenêtre de message avec le texte « Application Win32 – Ne répond pas » dans la barre de titre.
3. Créez le fichier suivant :
   % Windir% \ ulodb3.ini
4. Ajoutez les entrées suivantes à la base de données d'enregistrement :
   HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Active Setup \
   Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}\
   « StubPath » = « %Windir%\UNINSTLV16.exe »
   HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Active Setup \
   Installed Components\{F146C9B1-VMVQ-A9RC-NUFL-D0BA00B4E999}\
   « StubPath » = « %Windir%\UNINSTLV16.exe »
5. Il copie les trois fichiers suivants sur chaque lecteur amovible et réseau :
   % DriveLetter% \ tg_root \ Skype.exe
   % DriveLetter% \ tg_root \ Uninstall.exe
   % DriveLetter% \ autorun.inf
6. Créez le fichier suivant :
   % UserProfile% \ feedback.html
7. Il collecte des données confidentielles et les transmet à un serveur distant prédéfini.
8. Il crypte les répertoires suivants et les fichiers qu'ils contiennent :
   % de vent%
   % Profil de l'utilisateur%
   % ProgramFiles%
   % SystemDrive% \ Démarrage
   % SystemDrive% \ ProgramData \ Microsoft
   % SystemDrive% \ utilisateurs \ Tous les utilisateurs \ Microsoft
   Fournit des fichiers cryptés avec une extension .XNC.
   Le ver ne crypte pas les fichiers avec l'une des extensions suivantes :
   . COM
   .CAB
   . COM
   . Dll
   .INI
   .lnk
   .LOG
   .REG
   .SYS
   .XNC
9. Créez les fichiers suivants :
   % SystemDrive% \ [chemin] \ LISEZ CECI.txt
   % SystemDrive% \ [chemin] \ !!!! LIRE CECI !!!!. Txt