A Randsom.A féreg a fertőzött számítógépeket az azokon tárolt fájlok titkosításával bénítja meg, majd ezáltal próbál meg pénzhez jutni.

A Symantec és az Isidor Biztonsági Központ arról számolt be, hogy egy újabb zsaroló féreg kezdte meg hódító útját. A Randsom.A nevű kártevő néhány fájl létrehozása, és a regisztrációs adatbázis módosítgatása után bizalmas adatokat kezd el gyűjtögetni. A megszerzett információkat egy előre meghatározott, távoli szerverre tölti fel az Interneten keresztül. A féreg ezt követően a Windows, a Program Files és egyéb, a Windows működése szempontjából fontos könyvtárakba titkosítja le a fájlokat. Majd arra próbálja rávenni a felhasználót, hogy vásárolja meg a fájlok visszafejtéséhez szükséges szoftvert. A Randsom.A elsősorban cserélhető meghajtókon és hálózati megosztásokon keresztül igyekszik minél több számítógépre felkerülni.

Vírushíradó - Féreg zsarolja a felhasználókat

Amikor a Randsom.A féreg elindul, akkor az alábbi műveleteket hajtja végre:

  1. Létrehozza a következő fájlokat:
    %Windir%\lsass.exe
    %Windir%\NeroDigit16.inf
    %Windir%\services.exe
    %Windir%\UNINSTLV16.exe
    %Windir%\NeroDigit32.inf
    %Temp%\errir.exe
  2. Megjelenít egy üzenetablakot, amelynek címsorában a “Win32 Application – Not responding” szöveg szerepel.
  3. Létrehozza az alábbi állományt:
    %Windir%\ulodb3.ini
  4. A regisztrációs adatbázishoz hozzáadja a következő bejegyzéseket:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\
    Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}\
    “StubPath” = “%Windir%\UNINSTLV16.exe”
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\
    Installed Components\{F146C9B1-VMVQ-A9RC-NUFL-D0BA00B4E999}\
    “StubPath” = “%Windir%\UNINSTLV16.exe”
  5. Minden cserélhető és hálózati meghajtóra felmásolja az alábbi három állományt:
    %DriveLetter%\tg_root\Skype.exe
    %DriveLetter%\tg_root\Uninstall.exe
    %DriveLetter%\autorun.inf
  6. Létrehozza az alábbi fájlt:
    %UserProfile%\feedback.html
  7. Bizalmas adatokat gyűjt össze, amelyeket továbbít egy előre meghatározott távoli szerverre.
  8. A következő könyvtárakat valamint az azokban található fájlokat letitkosítja:
    %Windir%
    %UserProfile%
    %ProgramFiles%
    %SystemDrive%\Boot
    %SystemDrive%\ProgramData\Microsoft
    %SystemDrive%\users\All Users\Microsoft
    A kódolt állományokat .XNC kiterjesztéssel látja el.
    A féreg nem titkosítja a következő kiterjesztések valamelyikével rendelkező állományokat:
    .COM
    .CAB
    .COM
    .DLL
    .INI
    .LNK
    .LOG
    .REG
    .SYS
    .XNC
  9. Létrehozza a következő fájlokat:
    %SystemDrive%\[elérési útvonal]\READ THIS.txt
    %SystemDrive%\[elérési útvonal]\!!!!READ THIS!!!!.txt