Очередной вариант шифровщика.
Шифрует файлы с расширением .doc .docx .xls .xlsx .rtf .dbf .bmp .jpg .tif .zip .rar .7z (возможно больше), добавляя к ним расширение .LOCKDIR. Создает свою копию со случайным именем во временной папке пользователя, там же создает файл .bmp, также со случайным именем, к-рым заменяет обои Рабочего стола (в приложении).
Прописывает в реестр:
[CODE][HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.LOCKDIR]
[HKEY_CLASSES_ROOT\NMMQLIXLWARCPZN]
@="CRYPTED!"
[HKEY_CLASSES_ROOT\NMMQLIXLWARCPZN\DefaultIcon]
@="C:\\DOCUME~1\\имя_пользователя\\LOCALS~1\\Temp\\x3t7cQ4jOXy8kq
0.exe,0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NMMQLIXLWARCPZN]
@="CRYPTED!"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NMMQLIXLWARCPZN\DefaultIcon]
@="C:\\DOCUME~1\\имя_пользователя\\LOCALS~1\\Temp\\x3t7cQ4jOXy8kq
0.exe,0"[/CODE](конкретные имена и пути могут отличаться в зависимости от разновидности вируса и ОС)
Добавляет в каждую папку файл ДЕБЛОКИРОВКА ФАЙЛОВ.txt с содержимым
[QUOTE]Внимание! На вашем компьютере,обнаружено нелицензионное
программное обеспечение.Доступ к вашим файлам запрещен !
Чтобы восстановить свои файлы и получить к ним доступ,
свяжитесь с нашим отделом безопасности
[email protected] Идентификатор 86548764 (46)
Ваш компьютер поставлен на таймер самоуничтожения 24 часа , по истечении этого времени вся информация будет безвозвратно стёрта. У вас есть 5 попыток ввода кода. При превышении этого количества, все данные необратимо удаляться. Будьте
внимательны при вводе кода !
Заранее благодарим за оплату ! Мы ценим ваш вклад в развитие инновационно-технического прогресса.[/QUOTE]После шифрования выводит сообщение (в приложении).
NOD32 v4.2 детектирует вирус [U]только при включении расширенной эвристики[/U], а поскольку при ее включении выдается предупреждение о возможном снижении производительности системы, то большинство ее (расширенную эвристику) не включают, особенно если речь идет об относительно слабых машинах.
NOD32 v5.0 с базами от 08.2011 и максимальными настройками (стоял на виртуальной машине) вирус "не увидел".
На 06.03.2012, судя по [URL=https://www.virustotal.com/file/5959b16c0075eaaac680946654bbd93879e1e13d640fbf896545cdb0e1551ea2/analysis/1331028339/]virustotal[/URL], детект присутствует только у 8ми антивирусов.
По состоянию на "сейчас" - у 11 ([URL=https://www.virustotal.com/file/5959b16c0075eaaac680946654bbd93879e1e13d640fbf896545cdb0e1551ea2/analysis/1331110920/]virustotal[/URL])
-------------
В наличии есть пример исходного файла, зашифрованного, сам шифровщик, код расшифровки. Если вирлаб заинтересует, могу выложить.