F-Lovsan W32/Lovsan.E, W32/Lovsan.C, W32/Lovsan.B и W32/Lovsan.A — это кумулятивные черви, которые могут заразить систему, если зараженная система посещается с определенного URL-адреса. Этот вариант программы-вымогателя еще не был обнаружен в онлайн-сканере VirusTotal. Заметки о выкупе F-Lovsan содержат следующее: ■ Ваша последняя попытка найти ключи дешифратора для ваших файлов не удалась. ■ У вас есть всего 10 минут, чтобы решить эту задачу. ■ Ваш ключ шифрования, конечно же, хранится в ваших зашифрованных документах. Вариант W32/Ловсан.Б Вариант W32/Ловсан.Э Вариант W32/Ловсан.С W32/Ловсан.Вариант А W32/Lovsan.H вариант Вариант W32/Ловсан.К Образцы записок о выкупе W32/Lovsan.E записка о выкупе W32/Lovsan.Записка о выкупе W32/Lovsan.B записка о выкупе Записка о выкупе W32/Lovsan.C W32/Lovsan.H записка о выкупе W32/Lovsan.K записка о выкупе Номенклатура: Этот вариант вредоносного ПО использует следующие имена файлов и расширения файлов: ■ W32/Lovsan.E - червь-вымогатель ■ W32/Lovsan.B - червячный ■ W32/Lovsan.C - червячный ■ W32/Ловсан.А - червячный ■ W32/Lovsan.H - червячный ■ W32/Ловсан.К - червячный Связанные угрозы: ■ W32/Delfam: Delfam — это образец угрозы, скорее всего, это неудавшаяся попытка злоумышленников распространить образец на разные компьютеры через съемные носители или USB-накопители. Delfam не работает и не связан с какими-либо текущими угрозами от этих злоумышленников, это образец. ■ Другие названия: ■ инфекции называются «ловсан» ■ вредоносное ПО называется «W32.Lovsan» Руткит: W32/Ловсан.Э ■ Это вирус, который вызывает заражение большего количества наших компьютеров, чем все другие известные вирусы вместе взятые. Самая распространенная версия — W32/Lovsan.E. Этот червь запускает свою копию, добавляя ключ vneqrz в файл wanex@.txt внутри %SystemRoot%/ActiveSync/Microsoft.VNExchangeServices/receivers/MainReceiver. Если почтовое сообщение, отправленное получателю, не удаляется из почтового ящика, вирус копирует себя в каталог документов пользователя. ■ Как только червь скопировал себя в %SystemRoot%/Application Data/Microsoft/Outlook/Profiles/receivers/receivers.taskde, червь начинает работать. Червь контролирует пораженный компьютер до тех пор, пока не обнаружит, что у пользователя есть зараженная система. В этот момент вирус ищет FTP-сервер и пытается скачать оттуда следующую версию. Затем червь отправляет поврежденную версию открытого ключа и копирует себя в файл %SystemRoot%/System32/kfc@. Если пользователь меняет ключ, но червь не имеет доступа к FTP-серверу, червь удаляет себя. ■ О следующей версии вируса должна позаботиться утилита File Chopper, выпущенная McAfee. Выявление инфекции F-Lovsan: ■ F-Lovsan вызовет заражение, если заражение уже есть, и вы пытаетесь создать ярлык, указывающий на ftp://ftp.no-ip.biz/pub/Public/Online/FTP/sources/msftupdate.zip. Червь будет продолжать распространяться на другие файлы и папки, пока не будет выполнено действие по удалению вручную. ■ Если не выполнять никаких действий и зараженный компьютер подключен к Интернету, заражение распространяется по электронной почте на контакты пользователя. Методы удаления F-Lovsan: ■ Сценарий 1. Если на зараженном компьютере установлена версия Windows 95 или Windows 98, удалить червя вручную очень просто. Просто запустите команду «Выполнить», введите %windir%/system32/msconfig.exe и нажмите Enter. Нажмите на вкладку «Автозагрузка», а затем откройте «Дополнительные параметры».На вкладке «Автозагрузка» найдите параметр «Запуск и восстановление» и дважды щелкните строку, содержащую букву диска, содержащего зараженные файлы (для fb6ded4ff2
Related links: