Vírushíradó – Féreg zsarolja a felhasználókat

A Randsom.A féreg a fertőzött számítógépeket az azokon tárolt fájlok titkosításával bénítja meg, majd ezáltal próbál meg pénzhez jutni.

A Symantec és az Isidor Biztonsági Központ arról számolt be, hogy egy újabb zsaroló féreg kezdte meg hódító útját. A Randsom.A nevű kártevő néhány fájl létrehozása, és a regisztrációs adatbázis módosítgatása után bizalmas adatokat kezd el gyűjtögetni. A megszerzett információkat egy előre meghatározott, távoli szerverre tölti fel az Interneten keresztül. A féreg ezt követően a Windows, a Program Files és egyéb, a Windows működése szempontjából fontos könyvtárakba titkosítja le a fájlokat. Majd arra próbálja rávenni a felhasználót, hogy vásárolja meg a fájlok visszafejtéséhez szükséges szoftvert. A Randsom.A elsősorban cserélhető meghajtókon és hálózati megosztásokon keresztül igyekszik minél több számítógépre felkerülni.

Amikor a Randsom.A féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
   %Windir%\lsass.exe
   %Windir%\NeroDigit16.inf
   %Windir%\services.exe
   %Windir%\UNINSTLV16.exe
   %Windir%\NeroDigit32.inf
   %Temp%\errir.exe
2. Megjelenít egy üzenetablakot, amelynek címsorában a “Win32 Application – Not responding” szöveg szerepel.
3. Létrehozza az alábbi állományt:
   %Windir%\ulodb3.ini
4. A regisztrációs adatbázishoz hozzáadja a következő bejegyzéseket:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\
   Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}\
   “StubPath” = “%Windir%\UNINSTLV16.exe”
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\
   Installed Components\{F146C9B1-VMVQ-A9RC-NUFL-D0BA00B4E999}\
   “StubPath” = “%Windir%\UNINSTLV16.exe”
5. Minden cserélhető és hálózati meghajtóra felmásolja az alábbi három állományt:
   %DriveLetter%\tg_root\Skype.exe
   %DriveLetter%\tg_root\Uninstall.exe
   %DriveLetter%\autorun.inf
6. Létrehozza az alábbi fájlt:
   %UserProfile%\feedback.html
7. Bizalmas adatokat gyűjt össze, amelyeket továbbít egy előre meghatározott távoli szerverre.
8. A következő könyvtárakat valamint az azokban található fájlokat letitkosítja:
   %Windir%
   %UserProfile%
   %ProgramFiles%
   %SystemDrive%\Boot
   %SystemDrive%\ProgramData\Microsoft
   %SystemDrive%\users\All Users\Microsoft
   A kódolt állományokat .XNC kiterjesztéssel látja el.
   A féreg nem titkosítja a következő kiterjesztések valamelyikével rendelkező állományokat:
   .COM
   .CAB
   .COM
   .DLL
   .INI
   .LNK
   .LOG
   .REG
   .SYS
   .XNC
9. Létrehozza a következő fájlokat:
   %SystemDrive%\[elérési útvonal]\READ THIS.txt
   %SystemDrive%\[elérési útvonal]\!!!!READ THIS!!!!.txt