El gusano Randsom.A paraliza las computadoras infectadas al encriptar los archivos almacenados en ellas y luego tratar de ganar dinero.

Symantec e Isidor Security Center informaron que otro gusano de chantaje había comenzado su conquista. LA Ransom.A Después de crear algunos archivos y modificar el registro, el malware nombrado comenzará a recopilar información confidencial. Carga la información adquirida a un servidor remoto predefinido a través de Internet. Luego, el gusano encripta los archivos en Windows, Archivos de programa y otros directorios que son importantes para el funcionamiento de Windows. Luego intente persuadir al usuario para que compre el software necesario para descifrar los archivos. Randsom.A intenta acceder a tantas computadoras como sea posible a través de unidades extraíbles y recursos compartidos de red.

Virus Messenger: los gusanos chantajean a los usuarios

Cuando se inicia el gusano Randsom.A, realiza las siguientes acciones:

  1. Cree los siguientes archivos:
    % Windir% \ lsass.exe
    % Windir% \ NeroDigit16.inf
    % Windir% \ services.exe
    % Windir% \ UNINSTLV16.exe
    % Windir% \ NeroDigit32.inf
    % Temp% \ errir.exe
  2. Muestra un cuadro de mensaje con "Aplicación Win32 - No responde" en la barra de título.
  3. Crea el siguiente archivo:
    % Windir% \ ulodb3.ini
  4. Agregue las siguientes entradas a la base de datos de registro:
    HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Active Setup \
    Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}\
    "StubPath" = "% Windir% \ UNINSTLV16.exe"
    HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Active Setup \
    Installed Components\{F146C9B1-VMVQ-A9RC-NUFL-D0BA00B4E999}\
    "StubPath" = "% Windir% \ UNINSTLV16.exe"
  5. Copia los siguientes tres archivos en cada unidad extraíble y de red:
    % DriveLetter% \ tg_root \ Skype.exe
    % DriveLetter% \ tg_root \ Uninstall.exe
    % DriveLetter% \ autorun.inf
  6. Crea el siguiente archivo:
    % UserProfile% \ feedback.html
  7. Recopila datos confidenciales y los transmite a un servidor remoto predefinido.
  8. Cifra los siguientes directorios y los archivos que contienen:
    % Viento%
    % Perfil del usuario%
    % ProgramFiles%
    % SystemDrive% \ Boot
    % SystemDrive% \ ProgramData \ Microsoft
    % SystemDrive% \ usuarios \ Todos los usuarios \ Microsoft
    Proporciona archivos cifrados con extensión .XNC.
    El gusano no cifra archivos con ninguna de las siguientes extensiones:
    . COM
    .CAB
    . COM
    . Dll
    .INI
    .LNK
    .LOG
    .REG
    .SYS
    .XNC
  9. Cree los siguientes archivos:
    % SystemDrive% \ [ruta] \ LEER ESTO.txt
    % SystemDrive% \ [ruta] \ !!!! LEA ESTO !!!!. Txt