微软通过其恶意软件保护中心,发现一种新类型的勒索程序,具有自我复制能力,并从一台电脑,通过闪存驱动器,以及网络驱动器移动到另一个电脑。这种勒索程序称为Ransom:Win32/ZCryptor.A或者简称ZCryptor,通常借由垃圾邮件附件感染电脑,一旦执行,恶意软件可以确保它随系统启动运行。
此外,为了能够复制自己,它在可移动驱动器当中植入一个autorun.inf,在启动文件夹中放入zycrypt.lnk,并且复制自身,成为驱动器:\system.exe和%APPDATA%\zcrypt.exe文件,最后,它改变了文件属性从文件浏览器隐藏自身。它会搜索JPEG,.MP4,.DOCX,.XLSX,.PPTX,.TXT,.WMV和.zip文件,并且对它们进行加密。
一旦加密过程完成后,将显示一个HTML文件,指出“您的个人文件已经加密。”解密需要1.2个比特币,这相当于约$ 500。它给受害人四天时间支付赎金。超期之后,它会把赎金提升到5个比特币。
如果用户被感染,微软建议从备份文件进行恢复。不过,微软本身似乎也怀疑是否有用,因为这个恶意程序会花时间来搜索删除备份文件,消灭恢复文件的可能性。目前还不知道是否有解密文件,而无需支付任何赎金的方式。
