Шифровальщики файлов идут на запад

Мы уже писали про вредоносные программы, которые шифруют файлы, а затем требуют оплатить их расшифровку. Подобные троянцы пока что встречались, по большей части, в России. Однако в прошлый четверг мы обнаружили нового червя с немецкими корнями, Email-Worm.Win32.Skowor.b.

У этой программы нет функции размножения по email, но поскольку она очень похожа на Email-Worm.Win32.Skowor.a, мы решили присвоить ей такой же класс.

В отличие от программ типа GPCode, Skowor пытается размножаться самостоятельно через создаваемые ею же расшаренные ресурсы.

После своего запуска червь демонстрирует пользователю сообщение, в котором утверждается, что для получения пароля, который позволит удалить червя необходимо 5 раз перезапустить компьютер. Если пользователь этого не делает, то червь шифрует ряд важных файлов и меняет пароли администратора и текущего пользователя.

Червь также изменяет стартовую страницу IE на веб-сайт своего автора:

К счастью, код червя содержит множество ошибок, и нормально работает лишь небольшая часть функций.

В проведенных нами тестах червь не смог зашифровать файлы, изменить пароли, отобразить предупреждение и даже заменить стартовую страницу IE.

Не менее положительной новостью является то, что веб-сайт автора червя был отключен еще в среду вечером.

Но как бы там ни было, это — признак грядущих перемен.

Публикации на схожие темы

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *