A Randsom.A féreg a fertőzött számítógépeket az azokon tárolt fájlok titkosításával bénítja meg, majd ezáltal próbál meg pénzhez jutni.
A Symantec és az Isidor Biztonsági Központ arról számolt be, hogy egy újabb zsaroló féreg kezdte meg hódító útját. A Randsom.A nevű kártevő néhány fájl létrehozása, és a regisztrációs adatbázis módosítgatása után bizalmas adatokat kezd el gyűjtögetni. A megszerzett információkat egy előre meghatározott, távoli szerverre tölti fel az Interneten keresztül. A féreg ezt követően a Windows, a Program Files és egyéb, a Windows működése szempontjából fontos könyvtárakba titkosítja le a fájlokat. Majd arra próbálja rávenni a felhasználót, hogy vásárolja meg a fájlok visszafejtéséhez szükséges szoftvert. A Randsom.A elsősorban cserélhető meghajtókon és hálózati megosztásokon keresztül igyekszik minél több számítógépre felkerülni.
Amikor a Randsom.A féreg elindul, akkor az alábbi műveleteket hajtja végre:
- Létrehozza a következő fájlokat:
%Windir%\lsass.exe
%Windir%\NeroDigit16.inf
%Windir%\services.exe
%Windir%\UNINSTLV16.exe
%Windir%\NeroDigit32.inf
%Temp%\errir.exe - Megjelenít egy üzenetablakot, amelynek címsorában a “Win32 Application – Not responding” szöveg szerepel.
- Létrehozza az alábbi állományt:
%Windir%\ulodb3.ini - A regisztrációs adatbázishoz hozzáadja a következő bejegyzéseket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\
Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}\
“StubPath” = “%Windir%\UNINSTLV16.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\
Installed Components\{F146C9B1-VMVQ-A9RC-NUFL-D0BA00B4E999}\
“StubPath” = “%Windir%\UNINSTLV16.exe” - Minden cserélhető és hálózati meghajtóra felmásolja az alábbi három állományt:
%DriveLetter%\tg_root\Skype.exe
%DriveLetter%\tg_root\Uninstall.exe
%DriveLetter%\autorun.inf - Létrehozza az alábbi fájlt:
%UserProfile%\feedback.html - Bizalmas adatokat gyűjt össze, amelyeket továbbít egy előre meghatározott távoli szerverre.
- A következő könyvtárakat valamint az azokban található fájlokat letitkosítja:
%Windir%
%UserProfile%
%ProgramFiles%
%SystemDrive%\Boot
%SystemDrive%\ProgramData\Microsoft
%SystemDrive%\users\All Users\Microsoft
A kódolt állományokat .XNC kiterjesztéssel látja el.
A féreg nem titkosítja a következő kiterjesztések valamelyikével rendelkező állományokat:
.COM
.CAB
.COM
.DLL
.INI
.LNK
.LOG
.REG
.SYS
.XNC - Létrehozza a következő fájlokat:
%SystemDrive%\[elérési útvonal]\READ THIS.txt
%SystemDrive%\[elérési útvonal]\!!!!READ THIS!!!!.txt