c'est un Programme malicieux qui chiffre les données de l'utilisateur sur le PC victime. Il s'agit d'une application Windows (fichier PE EXE) de 8030 octets.

Action destructrice
Une fois exécuté, le virus crée en mémoire un identifiant unique (mutex) _G_P_C_, pour indiquer sa présence dans le système.
Le virus passe ensuite en revue tous les disques logiques à la recherche de fichiers appropriés au chiffrement. Le virus chiffre tous les fichiers utilisateurs aux extensions suivantes :

7z, abk ,abd, acad ,arh ,arj ,ace , arx , asm , bz , bz2, bak ,bcb ,c ,cc, cdb , cdw , cdr ,cer , cgi ,chm , cnt, cpp, css, csv, db , db1, db2, db3, db4, dba, dbb, dbc, dbd, dbe, dbf , dbt, dbm , dbo, dbq, dbx, Djvu, doc, dok, dpr, dwg, dxf, ebd, eml, eni , ert, fax, flb, frm, frt, frx, frg, gtd , gz , gzip , gfa, gfr, gfd , h , inc, igs, iges, jar, jad, Java, jpg, jpeg , Jfif, jpe, js , jsp , hpp , htm , html, key, kwm , Ldif , lst , lsp, lzh, lzw, ldr, man, mdb, mht, mmf mns, mnb , mnu , mo , msb, msg, mxl, old, p12 ,pak , pas, pdf, pem, pfx, php, php3, php4, pl, prf ,pgp , prx, pst, pw, pwa , pwl, pwm , pm3, pm4, pm5 ,pm6, rar , rmr, rnd, rtf , Safe, sar, sig, sql, tar, tbb, tbk, tdf, tgz, txt, uue, vb, vcf, wab, xls, xml

Le programme malicieux utilise Microsoft Enhanced Cryptographic Provider v1.0 (intégré dans Windows) pour chiffrer les fichiers. Les fichiers sont cryptés à l'aide de l'algorhitme RC4. La clé de chiffrement est ensuite chiffrée à l'aide d'une clé publique RSA (1024 bit) présente dans le corps du virus.

L'algorithme RSA présente deux types de clés de chiffrement - privée et publique. Pour crypter les messages, une clé publique suffit. Un message chiffré lui ne peut être décrypté qu'à l'aide d'une clé privée.
Le virus crée une copie cryptée de chaque fichier, avec le nom et l'extension d'origine, et y ajoute _CRYPT. Exemple :

Fichier d'origine : WaterLilles.jpg
Fichier chiffré : WaterLilles.jpg._CRYPT
Puis le fichier d'origine est supprimé.
Dans chaque répertoire où des fichiers ont été chiffrés, le programme malicieux place un fichier «!_READ_ME_!.txt» avec le message suivant :
Your files are encrypted with RSA-1024 algorithm.
To recovery your files you need to buy our decryptor.
To buy decrypting tool contact us at: [censored]@yahoo.com
=== BEGIN ===
[key]
=== END ===
[Traduction: Vos fichiers sont chiffrés par un algorithme RSA-1024.
Pour restaurer vos fichiers vous devez acheter notre décodeur.
Pour acheter le décodeur, contactez-nous à l'adresse ********@yahoo.com.]
Les fichiers du répertoire Program Files ne sont pas chiffrés. Ne sont pas non plus chiffrés les fichiers :
aux attributs «système» et «caché»;
dont la taille est inférieure à 10 octets;
dont la taille est supérieure à 734003200.
Tout au long du processus de chiffrement, le virus ne s'enregistre pas dans le système de registre.
Une fois la procédure terminée, le virus crée un fichier VBS qui supprime le code principal du virus et affiche une boite de dialogue sur l'écran .

Invités/Non-Connecté

[vous ne pouvez pas voir le lien sur Forumiste] [Connectez vous] ou [enregistrez vous ici]
Uniquement les personnes enregistrées et les membres actifs peuvent voir les liens sur Forumiste

.

personnellement , j'ai executé de + 3 virus dans mon pc ( trojan-Psw , rayla odinga , worm-win32-autorun , exodia, et bien pleins d'autres ) mais heuresement kaspersky est toujours là ^^
et + de 10 virus a l'ecole et ca a endomagé 2 Pc LoOL

PS: n'executez pas n'importe quel programme que vous trouviez sur le net et surtout un telechargement gratuit est probablement plein de virus

__________________
le monde appartient aux optimistes pourtant , les pessimistes ne sont que des spectateurs !!!!!!!!!!

eh oui tu as raison
ce problème de virus me rend folle,
surtout que j'ai un nouveau pc et je dois à chaque fois me rassurer avant de mettre une clé usb ou de faire un téléchargement
je pense qu'avoir un anti virus c'est pas toujours suffisant!!!

Merci Angel de nous avoir prévenu

oui heureusement j'ai Kaspersky aussi mais j'ai toujours peur de ces virus
je veux pas que mon pc soit endommagé.